Bilgi ve iletişim teknolojilerinin çeşitlenmesi, ülkeler ve şirketler arasında veri
trafiğinin büyümesi, bu süreçte kötü amaçlı veri
kullanımının artması ve bu kullanımlara yönelik
yasal yaptırımların zayıf kalması; kişisel verilere erişim, verilerin
toplanması ve kullanımı konusunda mevcut düzenleme ve altyapılar çerçevesinde
ciddi bir reforma gidilmesi gerekliliğini ortaya koydu. Geçtiğimiz yıl 25 Mayıs Cuma günü AB genelinde uygulamaya konan yönetmelikle, bireysel hak ve özgürlüklerden demokratik toplum ve insan
hakları tartışmalarına uzanan geniş bir yelpazede bu reform hayata geçti. Yönetmelik,
müşteri veritabanında AB vatandaşlarının veya AB ülkelerinde ikamet eden
kişilerin bilgilerini bulunduran Türkiye’deki veya AB dışındaki ülkelerde
faaliyet gösteren işletmeleri
de kapsıyordu.
Veri Koruma Görevlisi gibi yeni bir unvanı hayatımıza sokan
bu yönetmelik, veri güvenliği konusunda şirket ve
kurumlara sosyal ve ekonomik düzeyde önemli
yükümlülükler getirdi. Pek çok
işletme iş süreçlerini
yeni tüzükle uyumlu hale getirmeye çalışırken,
bazıları da geçici çözümlerle
açıkları yamalama yoluna gitti.
Peki, gerek müşteriler, gerekse çalışanlar bazında kullanıcı haklarını öne çıkaran
GDPR’ın uygulama aşamalarında bir yıl içerisinde
nasıl bir yaklaşım sergilendi? Bu süreçte önümüzdeki yıllarda bizi bekleyen gizlilik ve
uyumluluk gereksinimlerine dair herhangi bir ders çıkartabildik mi?
GDPR bazı şirketler için varoluşsal bir tehdit
GDPR yürürlüğe girdikten
sonra işletmeler bazında iki farklı yaklaşım görüldü. İlki; GDPR uyumluluğunu yakalamak için büyük yatırımlar yaparak farklı işlev ve
uzmanlıklara sahip ekipleri bir araya getirmek ve net bir hareket planı ortaya
koymak. Bunu yapanlar; GDPR’ın özünü
anlayan, bunun bir gizlilik sorunu olduğunu kabul eden ve veri güvenliğinde
elde edilecek başarının rekabet üstünlüğü kazandırdığını fark eden şirket ve
kurumlar. İkinci yaklaşım ise, GDPR’ı yalnızca bir uyumluluk mevzusu olarak görerek yüzeysel çözümler üretmek. Bunu yapanlar
ise, Uluslararası Veri Kurumu (IDC) Avrupa Güvenliği Araştırma Direktörü Martin Whitworth’a göre,
“kusurları gizleyip sorunları halının altına süpürenler.”
Whitworth, GDPR yükümlülüklerini
yerine getirmek için çaba sarf eden orta ve büyük ölçekli
kuruluşların iş süreçlerine
ortalama 3 milyon dolar harcadığını belirtirken, Forcepoint EMEA Güvenlik
Strateji Başkanı Duncan Brown da, GDPR’ın yalnızca 2018’in olayı olmadığını, şirketlerin ayakta
kalma yarışının bugün hala devam ettiğini ve GDPR’ın daimi bir iş süreci olarak
algılanması gerektiğini söylüyor. Brown’a göre bu
uygulama, aradan geçen bir
yılın ardından düzenlemenin ciddiyetini ve önemini anlamak istemeyen şirketler için potansiyel bir “varoluşsal tehdit” oluşturuyor. Çünkü tüzüğün
gerekliliklerini yerine getirmeyerek veri ihlaline yol açan işletmeler, 200 milyon avro gibi yüksek
oranlı maddi yaptırımlarla karşılayabiliyor. Aynı zamanda müşteri, çalışan veya ziyaretçilerinin gözünde güven ve itibar kaybı yaşayarak marka
geleceklerini tehlikeye atıyorlar.
1 yılda 60 milyon avro para cezası kesildi
Nitekim, geçtiğimiz 12 ay içinde düzenleyici kurumlarca para cezası kesilen
pek çok şirkete tanık olduk. Bunlardan biri, veri
toplama aşamalarıyla ilgili olarak kullanıcılarına yeterince şeffaf ve net
olmadığı gerekçesiyle
Fransız veri koruma kurumu CNIL tarafından 50 milyon avroluk cezaya çarptırılan internet devi Google’dı. Almanya’da
bir şirket çalışanlarının
şifrelerinde gerekli kriptolama sistemini kullanmadığı için 20 bin avro ceza alırken, Avusturya’da bir
perakendeci de gerekli uyarıları yapmadan halka açık kaldırımın bir kısmını
güvenlik kamerasıyla izinsiz izlediği için 4 bin 800 avroluk para cezasına çarptırıldı. Bir diğer haber de Portekiz’den,
bambaşka bir sektörden
geldi: Bir hastane, hastaların tıbbi verilerini sağlık personeli olmayan bazı
kişilerin erişimine açık tuttuğu için 400
bin avro ceza aldı.
Ancak bu cezalar, ihlal bildirimlerinin
sayısıyla karşılaştırıldığında halihazırda oldukça yetersiz kalıyor. Kullanıcıların dijital
hakları için mücadele eden Access Now adlı insan hakları
kuruluşuna göre, Haziran 2019 itibarıyla, Mayıs 2018’den bu
yana 28 AB üye ülkesinden 95 bin şikayet dosyalandı, 59 bin veri ihlali rapor
edildi; Google’ın da aralarında bulunduğu bazı şirketlere ise 60 milyon avroya
yakın para cezası kesildi.
“GDPR’ın özü bireylerin gizlilik hakkına saygı duymaktır”
Whitworth, tüm bu gelişmeler ışığında mevcut programlarını
yeniden gözden geçirmek
ve GDPR uyumluluğunu geliştirmek isteyen işletmelere beş öneride bulunuyor:
- Düzenleyici kurumları
yakından takip edin: Çünkü halen yasal
yaptırımlarda belirsizlikler var. Bu kurumlar her ne kadar rehberlik desteği
alsa da yetkilerini nereye kadar kullanabileceklerini belirlemeye çalışıyorlar. Unutmayın,
yaptırımlar yalnızca para cezasıyla sınırlı kalmayabilir; hukuki yaptırımlar
farklı formlarda karşımıza çıkabilir. - Gizliliği işinizin
merkezine ve gündelik rutinine oturtun:
İlgili Kişi Erişim Talebi’ne (SAR) dair iş akışlarında acilen otomasyon
gerekiyor. SAR için gereken tüm bilgileri temin edemiyorsanız, unutulma veya
düzeltme haklarını da gerektiği gibi yerine getiremezsiniz. - Büyük veri BÜYÜK
zorluk: Bazı işletmeler GDPR uyumluluğunu bir adım
ileri götürerek işletmenin kendisine zarar verecek şekilde gereğinden
fazla veriyi sildi. - Veri Koruma yine
gündemde: Veri koruma anlayışı yükselişe geçmiş durumda. Bunun pek çok nedeni olmasına
rağmen en belirgini kişisel gizlilik sorunu. Çin, Brezilya, Kanada, ABD ve
Avustralya gibi AB dışındaki pek çok ülke bu konuyla ilgili
yeni yasal düzenlemeler yapmaya başladı. Bu gelişmeler uluslararası veri yönetiminde zincirleme bir
etki yapacaktır. - Olay sadece uyumluluk
değil: Düzenlemeyi külfetli ve
karmaşık olarak nitelendiren işletmelerin unutmaması gereken en önemli şey, GDPR’ın
iş süreçlerini uyumlu hale getirme zorunluluğunun da ötesinde, bireylerin
gizlilik hakkına saygı duymak olduğudur.
Şirket
ve kurumların İK, finans, iletişim ve BT birimlerine kadar pek çok farklı departmanı ilgilendiren GDPR uyumluluk süreçleri, bilgi ağı altyapısının ve veri
merkezlerinin yenilenmesini, CRM, müşteri ve çalışan veritabanlarının yeniden
düzenlenmesini ve veri güvenliği sistemlerinin güncellenmesini içeren kapsamlı bir çalışma stratejisine ihtiyaç duyuyor.
Ancak tüm bu teknik ayrıntıların arasında en çok
ihtiyaç duyduğu şey zihniyet değişimi ve kişisel verilerin korunmasının temel
bir hak olduğu.