Teknolojik gelişmelerin hız kazanması ile veri güvenliği ihlalinin ciddi riskler teşkil edebileceği öngörülmüştür. Bu kapsamda kişisel veriler işlenirken başta mahremiyet olmak üzere kişilerin temel haklarının ve özgürlüklerinin korunmasını hedefleyen pek çok çalışma yapılmıştır. GPDR, Avrupa Birliği sınırları içerisinde faaliyet gösteren tüm işletmeleri bağlayan bir düzenlemedir. Uygulamaya tabi kurumların ve kuruluşların kişisel verilerin gizliliğini korumaları amacıyla birtakım önlemler almasını zorunlu kılmıştır.
Genel Veri Koruma Tüzüğü (GDPR) Nedir?
Avrupa İnsan Hakları Sözleşmesi’ni kaynak edinen orjinal ismi “General Data Protection Regulation” olan GDPR bir dizi kişisel verinin koruma altına alınmasını sağlayan düzenleme olarak bilinir. Sunduğu hizmet açısından GDPR kanunu Türkiye’de bulunan Kişisel Verilerin Korunması Kanunu (KVKK) ile birçok benzerliğe sahiptir. Avrupa İnsan Hakları Sözleşmesi’nin spesifik olarak 8.maddesini esas alan söz konusu kanun ailenin korunması ve özel hayatın gizliliği üzerine hazırlanmış bir düzenlemedir. Aynı zamanda Avrupa Birliği’ne üye ülkelerin iç mevzuatlarına yönelik hukuksal düzenlemeler yapılmasını da amaçlar.
2016 yılında kabul edilen ve 25 Mayıs 2018’den itibaren uygulama zorunluluğu bulunan GDPR şimdiye kadarki kişisel verileri koruma amacı güden en detaylı düzenlemedir. İlgili düzenleme aynı zamanda Avrupa genelinde AB vatandaşlarının kişisel verilerini koruma altına almaya yönelik oluşturulmuş bir yönetmeliktir. Böylelikle Avrupa Birliği üyesi ülkelerdeki kurumlarda saklanan kişisel verilerin güvenliği sağlanmış olur. Kişisel veriler yönetmelikte belirtildiği şekilde ve açık rıza alınarak işlenmek zorundadır. Geçmişte saklanmış verileri de kapsayan GDPR kişilerin önceden verdikleri izinleri iptal edebilme hakkını da saklı tutar.
GDPR Web Dünyasında Neleri Değiştirdi?
GDPR yürürlüğe girişiyle web dünyasında köklü bir değişiklik meydana getirdi. Kanunun uygulanmasının zorunlu olmasıyla hem web sitesi işletmecilerinin hem de ziyaretçilerin söz konusu düzenlemeden etkilendiğini söylemek mümkündür. E-posta listesi, ürün satışı veya reklam yapılmasına bakılmaksızın AB trafiği olan her site GDPR maddelerine uygunluk sağlamak zorundadır. Düzenleme sitede hangi hizmetlerin verildiğine bakmaksızın sadece AB vatandaşlarının kişisel verilerinin toplanmasıyla ilgilenir. Yani AB vatandaşlarına hizmet veren her web sitesi birtakım kurallar çerçevesinde yeniden düzenlenmiştir.
IP adresi toplayan bir siteye sahip olmak bile GDPR maddelerine uymayı zorunlu kılar. CMS’lerin çoğu varsayılan olarak IP adresi topladığı için bütün web sitelerinin Genel Veri Koruma Tüzüğü uyumluluğu sağlaması gerekir. Bir web sitesi şu özelliklere sahipse söz konusu düzenlemeye tabi tutulur:
- Kullanıcı profili bulunan bir forum
- Fiziksel ya da dijital herhangi bir ürünü satan ve kullanıcı verilerini kaydeden bir e-ticaret mağazası
- Yeniden hedefleme için çeşitli etiketler kullanan web sitesi
- Kullanıcıların yorum yapmasına izin veren web sitesi
- Kullanıcıların e-posta listelerine kaydolmasına izin veren herhangi web sitesi
- Analytics kurulumu bulunan herhangi bir Web Sitesi
Özetle bütün Avrupa Birliği trafiğini tam anlamıyla engelleyemeyen herhangi bir web sitesi ilgili düzenlemeye tabidir. Geniş ve gelişmiş web dünyasında trafik engellemek zor olacağından bütün sitelerin GDPR uyumluluğu taşıması gereklidir.
GDPR ve KVKK Arasındaki Benzerlikler ve Farklar Nelerdir?
İki düzenlemeyi benzerlikleri ve farklılıkları açısından karşılaştırmadan önce KVKK’nin de ne olduğunu açıklamak gerekir. KVKK için GDPR’nin Türkiye özelinde oluşturulmuş bir örneği olduğu söylenebilir. Kişisel verilerin korunması konusunda hassas davranan ülkelerden biri olan Türkiye, vatandaşlarının bilgilerinin güvende kalabilmesi için KVKK’yi çıkarmıştır. İşleyiş ve amaç açısından GDPR ve KVKK bir hayli benzerdir. Kişisel Verilerin Korunması Kanunu (KVKK) da tıpkı GDPR gibi vatandaşların temel hak ve özgürlüklerinin güvende kalmasını amaçlar.
Yönetmelikler arasındaki en temel farklılık da kapsadıkları bölgedir. KVKK sadece Türkiye özelinde geçerli bir düzenlemedir. Genel Veri Koruma Tüzüğü ise tüm Avrupa Birliği üyesi ülkelerinin vatandaşlarını kapsar. Bu anlamda GDPR’nin KVKK’ye göre daha geniş bir kapsam alanına sahip olduğu söylenebilir. Bir diğer fark ise düzenlemelerin cezai yaptırımlarıdır. KVKK kapsamında öngörülen ceza yükümlülüğünün üst limiti 1.000.000 TL olarak belirtilir. GDPR kapsamında ise cezai yaptırım 20.000.000 Euro veya yıllık küresel cironun %4’üdür. Cezanın işlendiği dönemde hangisi daha yüksek miktardaysa o tercih edilir. Özetle büyük ölçüde benzerlik gösteren bu iki düzenlemenin arasındaki en büyük fark GDPR’nin ortaya koyduğu yüksek cezai yaptırımlardır.
GDPR Kimleri ve Neleri Kapsar?
Uygulama alanı açısından incelendiğinde Genel Veri Koruma Tüzüğü kullanıcıları koruma altına almayı amaçlar. Web sitelerinin yanı sıra çeşitli platformların ücretli ya da ücretsiz sunulan tüm hizmetlerde ve mallarda elde ettikleri kişisel verilerin korunmasını sağlar. İlgili yönetmelik toplanan verilerin hiçbir şekilde ticari yönde paylaşılmamasını sağlamaya yönelik bir düzenlemedir. GDPR kapsamında kişilere ilişkin her türlü bilgi kişisel kabul edilir. İsim, kimlik numarası, konum/yer bilgisi gibi veriler ihlal edilemez. Ayrıca kişinin fiziksel, zihinsel, genetik veya ekonomik kimliğine bilgiler de kişisel veri olarak kabul görür.
GDPR düzenlemesinde söz konusu kişisel verilere yönelik açıkça ifade edilen sıfatlar bulunur. Genel Veri Koruma Tüzüğü ilgili sıfatlara bazı sorumluluklar yükler. Tüzük elde edilen kişisel verilerin nerede, nasıl ve ne kadar süre boyunca korunması gerektiğini belirtir. Ayrıca durum ne olursa olsun işlenmemesi gereken verilere yönelik maddeler de tüzüğün konularından biridir. GDPR kapsamında veri ihlali; iletilen, saklanan ya da işlenen verilerin imha edilmesi, kaybı, değiştirilmesi ya da yetkisiz şekilde açıklanmasıdır.
Yukarıda tanımına bakıldığında en basit ifadeyle tüzüğün internet ortamında herhangi bir eylemde bulunan herkesi kapsadığını söylemek mümkündür. Buna göre üçüncü kullanıcılara yani bize hizmet sunan her web sitesi GDPR iznine tabi tutulur. Alışveriş yapmak ya da internette gezinmek için çerezlerinin ve tarama geçmişinin işlenmesine izin vermek zorunda kalmak güvenli bir deneyim değildir. Bu gibi durumlar özel hayatın gizliliğinin ihlalinin somut örneklerini oluşturur. GDPR de üçüncü kullanıcıların bu problemden etkilenmemesini mümkün kılar. Özetle Genel Veri Koruma Tüzüğü internette aktif olan her kullanıcıyı istisnasız bir şekilde kapsar. Aynı şekilde bu kişilere hizmet veren tüm platformlar da GDPR uyumluluğu taşımak zorundadır.
GDPR’den Hangi Sektörler Etkilendi?
Günümüzde hemen hemen bütün sektörler internetin ve IoT’in gelişmesiyle dijitalleşme yolunda önemli adımlar atmıştır. Sunduğu işleri ve hizmetleri daha dijital ve akıllı hâle getiren sektörlerin doğal olarak müşterilerinin kişisel verilerine olan bağımlılığı artar. Şirketlerin boyutu ya da yapısı fark etmeksizin kişisel verileri elde etme ve işleme yöntemleri değişiklik gösterir. Buna bağlı olarak sağlıktan ulaşıma, eğitimden hizmete dijital dünyaya adım atan tüm sektörler GDPR’den etkilenir. Tüzük o kadar etkilidir ki Apple ve Android GDPR uyumluluğunu taşıyan cep telefonu işletim sistemleri olarak bilinir.
Söz konusu regülasyon Avrupa Birliği vatandaşlarına yönelik ürün ve hizmetleri sunan tüm ülkeleri kapsar. Düzenlemenin “Bölgesel Kapsam” başlıklı 3.maddesi incelendiğinde bu çok daha net bir şekilde görülür. Maddeye göre sadece AB sınırları içerisindeki firmalar değil tüzüğün kapsadığı üçüncü kullanıcılara hizmet veren her şirket GDPR’den etkilenir. Yani Türkiye gibi Avrupa Birliği üyesi olmayan fakat Avrupa Birliğindeki vatandaşlara hizmet sunan global çaptaki her ülke bu regülasyona tabidir. Yani şirket bulunduğu konuma bakılmaksızın Genel Veri Tüzüğü AB vatandaşlarına iş ve hizmet sunuyorsa söz konusu regülasyona tabidir.
GDPR Uyumluluğu Nedir ve Nasıl Sağlanır?
GDPR uyumluluğu gereğince veri kontrolörüne büyük sorumluluk düşer. Veri kontrolörü kullanıcı bilgilerini toplayan kişi ya da kurumlara verilen isimdir. Söz konusu tüzük veri sahibinin topladığı bilgileri hukuk kurallarına tamamen uygun bir şekilde işlemesini zorunlu kılar. Genel Veri Koruma Tüzüğü bilgilerin şeffaf ve adil şekilde işlenmesini sağlayan bir düzenlemedir. Tüm bunların yanı sıra elde edilen verilerin yine hukuka uygun, meşru amaçlara yönelik ve şeffaf biçimde toplanması gerekir. Tüzük gereğince hiçbir kişisel veri amaçsız şekilde toplanamaz ve işlenemez. GDPR uyumluluğu sağlamak zorunda olan şirketlerin verilerinizi toplamak ve işlemek için açık rızanızı almaları gerekir.
Çeşitli şartlar koşarak üçüncü kullanıcılara fayda sağlayan tüzüğe uyumlu olmak için firmaların bu kurallara uygunluk göstermesi esastır. Yasalar kullanıcıların kişisel bilgilerinin korunmasını açıkça veri kontrolörünün sorumluluğu sayar. Böylece müşterilerinin verilerini koruyamayan şirketin hırsıza suç atma olasılığının önüne geçilmiş olur. Yüklü miktardaki cezai yaptırımlar da firmaları GDPR uyumlu hâle getirmeye yardımcı itici güç olarak sayılabilir.
Şirketlerin GDPR Konusunda Dikkat Etmesi Gereken Hususlar Nelerdir?
Yasaya göre firmalar ilgili kişilere ve müşterilerine elde ettikleri verilerin hangi amaçla kullanılacağını spesifik olarak bildirmek zorundadır. Kanun bilgilerin toplanması, saklanması ve işlenmesi konusunda tamamıyla şeffaf bir süreci gerekli kılar. Bilgiler toplanırken şirketler müşterilerden izin istemelidir. Ancak süreç bununla sınırlı değildir. Toplanan veriler işlenirken de şirketlerin bir onay sürecinden geçmeleri gerekir. Yani kişisel verileri elinde bulunduran her firma bu bilgileri dilediği gibi işleyemez. Üstelik GDPR AB vatandaşlarından toplanan kişisel verilerin mümkün olabildiğince az olması gerektiğinin de altını çizer.
Şirketlerin tüm bu kurallara uygunluk sağlaması ileri vadelerde yüklü cezai yaptırımlar altında ezilmemesi için önem arz eder. Tüm bunların yanı sıra yasaya uyum sağlama süreci şirketin alabileceği bir dizi aksiyonla çok daha kolay hâle gelir. Aşağıdaki başlıkları inceleyerek şirketin GDPR konusunda dikkat göstermesi gereken hususları öğrenebilirsiniz.
Dokümantasyon Yönetimi
Şirketlerin kişisel verileri koruma konusunda hatasız hareket edebilmesi ve başarılı olabilmesi için bazı noktalara özen göstermeleri gerekir. Bunlardan biri de dokümantasyon yönetimidir. Firmalar dokümantasyon işlerini açık vermeden yürütmelidir. Ayrıca güvenli erişilebilirliğin ve izlenebilirliğin sağlanması da şirketin sorumluluğu altındadır.
İlgili Tarafla İletişimin Güçlü Olması
Süreç boyunca firmanın ilgili kişilerle sürekli temas hâlinde olması gerekir. Bu da şirketin belli bir iletişim stratejisine sahip olmasını zorunlu kılar. Böylelikle ilgili tarafla en etkili iletişim sağlanmış olur. İletişimi etkili hâle getirmek için baskı, poster, resim, broşür ya da e-posta gibi bazı araçlar kullanılabilir. İletişim stratejisi geliştirilirken hedef kitlenin özelliklerine, ihtiyaçlarına ve ilgi alanlarına dikkat edilmelidir. Strateji yürürlüğe girdikten sonra ise bir süre beklenmeli ve iletişimle ilgili değerlendirmeler yapılmalıdır.
İhlal Yönetimi
Bir ihlal yaşanması durumunda olayın sorunsuzca yönetilebilmesi için tüzük ya da prosedürün bulunması şarttır. Belirlenen tüzüğün de mümkün olduğunca uygulanması gerekir. İhlal durumunda öncelikle bir plan yapılmalıdır. Ardından müdahalenin nasıl ve ne şekilde gerçekleşeceği belirlenmelidir. Son aşama da süreci devamlı takip etmektir.
SmartMessage ile Verilerinizin Güvenle Saklandığından ve İletişim Tercihlerinin Güncel Olduğundan Emin Olun!
SmartMessage, bilgi güvenliği ve kişisel verilerin gizliliği ile ilgili ulusal ve uluslararası standartlara uygu dijital destek hizmetleri sunar. Bu kapsamda kişisel verilerinizin tüm tehditlere karşı korunduğundan emin olabilirsiniz. SmartMessage Marketing Platform, hedef kitleniz hangi kaynaktan gelirse gelsin bilgilerini tek profil içerisinde toplayıp Audience Manager içerisinde güvenle saklayabilir. Güncel ve güvenli dijital çözümler sunan SmartMessage ile markanızın geleceğini güvence altına almanız mümkün olur.