GDPR Sürecini Nasıl Yönetmeliyiz?
GDPR uyumluluğunu yönetme sürecinde şirketler, verilerin sınıflandırılması, veri akışının kontrolü, veri güvenliğinin sağlanması, olası bir veri ihlali durumunda eylem planının oluşturulması, hesap verebilirlik ilkesine bağlı olarak veri koruma sorumlularının belirlenmesi, sürecin izlenebilmesi için veri kaydının tutulması ve mevcut politikaların güncellenerek gerekli politika ve sözleşmelerin tamamlanması gibi hususlar üzerinde önemle durmalı ve kişisel verilerin korunması adına süreci sürekli olarak kontrol altında bulundurmalıdır.
Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanan GDPR (General Data Protection Regulation), yani Genel Veri Koruma Tüzüğü, kişisel verilerin korunması adına dünya çapında büyük yankı uyandıran yasa, ayrıntılı içeriği ve akılda bıraktığı sorularla özellikle Mayıs ayında hareketliliğe bir dalgalanmaya yol açtı. Yasanın etkisi uzun bir süre daha gündemleri meşgul edecek gibi.
25 Mayıs 2018 tarihinde yürürlüğe girmesi ile birlikte birçok şirket mail yoluyla, GDPR’ a göre yeniden düzenlenmiş gizlilik ve veri koruma politikalarını kullanıcılarına göndermiştir.
Bu yazımızda 99 maddeden ve 173 paragraflık resitalden oluşan oldukça kapsamlı GDPR metni içerisinde dikkatleri çekmek istediğimiz ana hatlar üzerinde duracağız.
1- Verilerin Sınıflandırılması ve Veri Akışının Kontrolü
Şirketler içerisinde sınıflandırılması gereken en önemli kavramlar “Kişisel veri” ve “Hassas veri” kavramlarıdır. Şirket içerisinde akan verinin sınıflandırılmasının yanı sıra, veri akışının kontrolü için bir diyagramın hazırlanması ve belirli periyotlarla bu akış sırasında verilerin uygun teknik önlemler ile aktarımının sağlanıp sağlanmadığının düzenli bir şekilde izlenmesi ve kontrol edilmesi gereklidir.
Öncelikle bu tanımları inceleyecek olursak;
2. Veri Güvenliğinin Sağlanması
Veriler sınıflandırıldıktan ve şirket içi veri akışı belirlendikten sonra en önemli aşama bu akış sırasında verilerin korunması için gerekli teknik önlemlerin alınmasıdır. Verilerin depolanması, transferi ve üçüncü parti uygulamaların kullanımı büyük önem arz etmektedir. Verilerin güvenliğinin sağlanması için aşağıda belirttiğimiz 4 kavramı dikkate alabiliriz.
1- Verilerin şifrelenmesi/ bulanıklaştırılması (Encryption/Pseudonymisation):
GDPR içerisinde sıkça üzerinde durulan bu iki kavram verilerin korunması için ilk akla gelen vazgeçilmez yöntemlerdir. Kişisel veriler saklanırken veya taşınırken güçlü şifreleme algoritmaları kullanılmalıdır. Veri bulanıklaştırma ise anonimleştirmeden farklı olarak, verilerin ek bilgi kullanılmaksızın belirli bir veri sahibine atfedilemeyecek biçimde işlenmesidir. Burada fark edilmesi gereken önemli nokta bu iki yöntemin her ikisinin de aynı anda sağlanma zorunluluğu bulunmamasıdır. Şirketler kendilerine en uygun yöntemi belirleyerek veriyi korumakla yükümlüdür.
2- Veri minimizasyonu
Veri koruma ilkeleri arasında yer alan minimizasyon kavramı, mümkün olduğunca az miktarda işlenecek veya saklanacak veri tutma prensibidir. Böylece sorumluluğu altına girilen kişisel veri sayısı azaltılmış ve bununla birlikte veri ihlali riski de azalmış olur.
3- Erişim kontrolünün sağlanması
Şirket içerisinde depolanan ve transfer edilen verilere erişimin kısıtlanması ve sadece sorumlu olan kişilerin erişiminin sağlanması gerekir. Kişisel verilerin kullanımı sırasında üçüncü parti uygulamalar devreye giriyorsa bu noktada gerekli veri koruma sözleşmeleri imzalandıktan sonra verilerin korunması ve sorumluluğu üçüncü parti uygulamaların sağlamış olduğu teknik önlemlere emanet edilmelidir (Fakat GDPR, herhangi bir veri ihlali durumunda veri işleyicisi yani üçüncü parti uygulamalar ile birlikte veri kontrolörü yani şirketi de sorumlu tutmakta ve cezai yükümlülüğü her ikisi için de uygulamaktadır.) Üçüncü parti uygulamalar içerisinde bulunan kişisel veriler için şirket içinde alınması gereken önlem ise bu verilere erişimin kontrolünün sağlanmasıdır.
4- Veri saklama süresinin belirlenmesi
Verilerin işlenmesi sırasında belirlenmesi ve veri sahibine bildirilmesi gereken bu süre, kullanılmış ve artık kullanımına gereksinim duyulmayan verilerin silinmesi için oldukça önemlidir. Bu süre, işlenecek veriye ve işlenme amacına göre çeşitlilik gösterebileceği için en uygun sürenin veri kontrolörü tarafından belirlenmesi ve kayıt altına alınması gerekmektedir.
3. Kişilere Verilen Hakların Sunulması
Kişilerin verileri üzerinde sahip oldukları haklara dair bilgilendirilmesi ve bu tanınan hakların kullanılabilmesi en önemli noktalardan biridir. “Privacy by design” (Tasarımdan itibaren veri gizliliği) ilkesi ile kişilerin taleplerini iletebilmeleri ve haklarından yararlanabilmeleri için onlara uygun seçeneklerin sunulması ve teknik yeterliliğin bunu sağlaması gerekmektedir.
Kişilerin sahip olduğu bu hakların belirtilen süreler içerisinde gecikmeksizin sağlanması gerekir. Fakat unutulmamalıdır ki verilen her bir hak için uygulanma şartları ve istisnaları bulunmaktadır. Yasal çerçevede belirtilen süre 1 ay olmakla birlikte bu süre uzatılabilir veya talep reddedilebilir.
4. Veri İhlali Durumunda Eylem Planı Oluşturulması
Herhangi bir veri sızıntısında kişilerin haklarının korunması adına denetim otoritelerine 72 saat içerisinde bu ihlalin bildirilmesi, ayrıca bu veriler yüksek risk taşıyor ise veri sahiplerinin de gecikmeksizin haberdar edilmesi gerekiyor. Böyle bir durumda atılacak adımların da belirlenmesi ve bu ihtimale karşı hazır olunması adına bir politika oluşturup organizasyonun ayarlanması gerekmektedir. İhlalin tespit edilmesi ve raporlanması aşamasında teknik gerekliliklerin yerine getirileceğinden emin olunmalıdır.
5. Veri Koruma Sorumlularının Belirlenmesi ve Hesap Verebilirlik İlkesi
GDPR ile birlikte hayata geçirilen görev tanımları ve cezai yükümlülükler, sorumlulukları üstlenecek kişi/kişiler ya da tüzel kişilerin belirlenmesi ihtiyacını ortaya çıkarıyor. Veri koruma sorumlusu (Data Protection Officer) atanması büyük kamu kurumları için zorunlu olup, bir sorumlu birden fazla kurumun sorumlusu da olabiliyor. Bunun dışında veri kontrolörü ve işleyicilerine veri işleme sürecinde önemli görevler düşüyor.
Hesap verebilirlik (accountability) ilkesine göre veri işlemenin yasal dayanağını belirlemek işleme faaliyetleri için temel taşlardan biridir. Veri toplama amacı ve yöntemi belirlenerek her türlü işleme faaliyeti bu dayanağa binaen yapılır. Bu yasal dayanaklar, açık onay, sözleşme, hayati çıkarlar, yasal zorunluluk, kamu görevi ve meşru çıkarlar olarak sınıflandırılmıştır. Veri işlemeye başlamadan önce yasal dayanağın belirlenmesi gerekir. Kişilerin onayının açık, şeffaf, opt-in bir şekilde alınması GDPR’ın üzerinde önemle durduğu en önemli noktalardan biridir. Açık onay için bir dizi yazılı prosedür ve ayrıntı bulunmaktadır. Ayrıntılı bilgi için Information Commissioner’s Office (ICO) denetim otoritesinin yayınlamış olduğu rehberi inceleyebilirsiniz.
6. Veri Kaydının tutulması ve sürecin izlenmesi
İşlenen verilerin kaydının tutulması 250’den fazla çalışan bulunduran kuruluşlar için zorunlu olmakla beraber daha az çalışan bulunduran kuruluşlar için yüksek risk taşıyan veriler dışında böyle bir yasal zorunluluk yok. Sürecin iyi izlenebilmesi ve değerlendirilebilmesi için yasal zorunluluğu bulunmayan şirketler için de genel bir kaydın tutulması öneriliyor. Denetim otoriteleri için önemli noktalardan biri olacak veri kayıt sistemi, ayrıntılı içerik gereksinimleri ile birçok kuruluş için zorlayıcı ve zahmetli olacak gibi gözüküyor.
7. Politikaların Güncellenmesi ve Sözleşmeler
GDPR’ın hayatımıza getirdiği yeniliklerden sonra elbette gizlilik politikalarının ve hizmet koşullarının yeniden gözden geçirilmesi ve tamamlanması ihtiyacı oluştu. Bu politikalar dışında GDPR sürecini ve veri koruma politikalarını ayrıntılı bir şekilde içeren bir Data Protection Policy hazırlandı. Tüm bu politikaların GDPR uyumlu ve herhangi bir değişiklik yapıldığında güncellenmiş ve kullanıcıların bilgilendirilmiş olması gerekmektedir.
Hukuki boyutta bir diğer önemli nokta ise kullanılan üçüncü parti uygulamalarla yapılan ve DPA (Data Processing Agreement) adı verilen sözleşmelerdir. Veri akışı sırasında transfer edilen ya da verilerin saklanması aşamasında kullanılan bu uygulamalarla yapılan sözleşme, veri koruması için güvence sağlamak adına büyük bir önem arz ediyor.
GDPR uyumluluğunu yönetme sürecinde devamlı kontrol altında bulunması gereken vazgeçilmez noktalar üzerinde durduk. Veri gizliliği ve mahremiyeti için yapılan çalışmalar ve gösterilmesi gereken hassasiyet herkes için büyük bir önem taşıyor. Bunun için sürecin özenle yönetilmesi şirketler için unutulmaması gereken bir öncelik olmalıdır.