Uygulamaları arasında AB’deki kullanıcılardan kişisel verilerin toplanması, depolanması ve işlenmesi bulunan tüm şirketler yasal gerekliliklere uymak zorundadır. Bu yasal düzenlemelere uyulmaması veya ihlal edilmesi durumunda, şirketler ciddi cezalar, para cezaları ve yaptırımlarla karşı karşıya kalabilir.
Avrupa’da, tanımlanabilir gerçek kişilerin (veri sahipleri) kişisel bilgilerini içeren tüm faaliyetler, kullanıcılara ait kişisel bilgilerin korunmasını yöneten genel düzenleyici çerçeve olan AB’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun olmalıdır. İşletmelerin, sürekli gelişen bu AB gerekliliklerine uyum sağlamaya, bunları test etmeye, sürdürmeye ve uyumluluğu göstermeye hazırlıklı olması gerekir.
Kişisel Verilerin Korunması gezinmesi zor bir mevzuat ortamı olabilir, bu nedenle ITGLOBAL.COM’un GDPR uyumluluk çabalarınızı desteklemesine izin verin. Sunduğumuz GDPR uyumluluk hizmetlerinin mükemmel bir örneği, ITGLOBAL.COM’un AB pazarı için kentsel mikro-mobilite çözümlerinde uzmanlaşmış, teknoloji odaklı bir ulaşım şirketi olan Whoosh için gerçekleştirdiği aşağıdaki uyumluluk denetimidir.
Müşteri Şirket Altyapısı ve Veri Depolama Organizasyonu
Whoosh’un kişisel veri toplama ve işleme altyapısı, kullanıcı ve hizmet mobil uygulamalarının yanı sıra IoT modüllerini birbirine bağlayan bulut tabanlı bir paylaşım platformundan oluşuyordu. Bu, esasen bir elektrikli scooter’ın “kalbi” olup cihazın durumu, konumu, şarj durumu ve mevcut yolculukla ilgili güncel bilgiler hakkında veri toplamakta ve iletmektedir. Bu, kişisel kullanıcı verilerini de işleyebilen sigorta ve işleme hizmetleri de dahil olmak üzere harici satıcılar, hizmet sağlayıcılar ve ortaklarla paylaşıma ektir.
Whoosh ayrıca e-posta, ERP ve diğer bazı klasik kurumsal hizmetler de dahil olmak üzere bir dizi dahili hizmet işletmektedir. Bu kurum içi hizmetlerin her biri kişisel verilerin işlenmesini içerdiğinden düzenleyiciler tarafından da değerlendirmeye tabidir.
Kişisel kullanıcı verilerinin sisteme en büyük girişi, yeni kullanıcıların kaydı sırasında gerçekleşir. Bu durumda, kullanıcılar hakkındaki bilgiler, hizmetin faaliyet gösterdiği ülke ile ilişkili sunucularda saklanır. Örneğin, Whoosh’un Avrupalı kullanıcılarına ait bilgiler İrlanda’da bulunan sunucularda birleştirilir. Veriler bu şekilde kaydedildikten sonra, sigorta ve analitik hizmetler tarafından işlenmek veya kullanılmak üzere ortaklara aktarılabilir.
Altyapı Denetimi Nasıl Gerçekleştirildi
Yeni bir ülkede faaliyete başlamadan önce, bu alandaki uzmanların yardımıyla altyapı ve iş süreçlerinin yerel mevzuata uygun hale getirilmesi tavsiye edilir. Bu üçüncü taraf profesyoneller, firmaların yeni bir düzenleyici ortama girmeleriyle ilişkili uyum eksikliklerini belirlemelerine yardımcı olur, böylece bu eksiklikler hızla düzeltilebilir.
GDPR veya Genel Veri Koruma Yönetmeliği, Avrupa Birliği’ndeki yetkililerin kişisel verilerin korunması için tek tip gereklilikler oluşturmasına olanak tanır. Bu gereklilikler, kişisel verilerin AB dışına aktarılmasını kontrol ettiğinden, pazardaki ülkelere girmek isteyen şirketler için de geçerlidir. GDPR’nin amacı, AB içinde ikamet eden tüm bireyler için veri korumasını birleştirerek ve güçlendirerek AB vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlamaktır.
Whoosh’un 2022 yılında Avrupa pazarında hizmet sunmaya başlaması, GDPR denetimini Avrupa gizlilik düzenlemelerine uygunluğun sağlanması için gerekli ve mantıklı bir adım haline getirmiştir. Bir GDPR uyumluluk denetimi aşağıdakilere odaklanır:
- GDPR gerekliliklerinin ve yerel mevzuatın müşterinin faaliyetlerine uygulanabilirliğinin değerlendirilmesi.
- Müşteri altyapısının ve süreçlerinin mevcut durumunun analizi.
- Kalkınma için iş planlarını dikkate alarak düzenlemelerin getirilmesi için tavsiyelerin hazırlanması.
- Uygulama süreçlerinde danışmanlık.
Deneyimlerimiz, Avrupa mevzuatı söz konusu olduğunda, uyumsuzluk unsurlarının araştırılmasında müşterinin faaliyetlerinin ayrıntılı bir analiziyle başlamanın en iyisi olduğunu göstermiştir; bu sırada denetçi şirketin iş süreçlerinin bilgi güvenliğini değerlendirir ve ihlaller bulunursa, bu süreçlerin yasal gerekliliklerle uyumlaştırılması için öneriler geliştirir. Bu değerlendirme aynı zamanda müşterinin müşteri kişisel verilerini nasıl topladığını, sakladığını ve işlediğini de inceler. Son aşamada ise bu süreçlerin GDPR’ye ve şirketin faaliyetlerini genişletmeyi planladığı ülkelere ilişkin yerel yasalara uygunluğu denetlenir. Örneğin, Whoosh örneğinde, müşterimiz sonunda hizmetlerini Portekiz, Macaristan, Polonya ve diğer birkaç ülkeye genişletti.
Whoosh’un Uyumluluğa Getirilmesi – Sonuçlar
ITGLOBAL.COM uzmanları, bilgilerin işlenmesi ve korunmasına ilişkin düzenleyici belgelerin ve bulut tabanlı kurumsal hizmetlerden (e-posta, veri depolama, scooter ve IoT cihazlarının kontrolü için dahili sistemler vb. dahil) oluşan BT altyapısının ayrıntılı bir denetimini gerçekleştirdi. Whoosh’un kişisel verilerin işlenmesini içeren hizmetleri ve iş süreçleri daha sonra GDPR’ye ve Whoosh’un faaliyet gösterdiği belirli AB Üye Devletlerine ilişkin yerel mevzuata uygunlukları açısından objektif olarak değerlendirilmiştir. Sonuç daha sonra bir rapor şeklinde sunulmuştur:
- Ana hatlarıyla uyumlu veri akış diyagramları.
- Seçilen AB ülkesine ait ilgili yönetmelik ve mevzuatın her bir paragrafına göre analiz sağlanmıştır.
- Uyumsuz süreçlerin ve hizmetlerin düzeltilmesi için tavsiyelerde bulunmuştur.
Bu belge, Whoosh’un faaliyetleri ile denetim sırasında tespit edilen ilgili düzenleyici rejimler arasındaki tutarsızlıkları gidermek için üstlenmesi gereken eylemlerin ayrıntılı bir taslağını sağlamıştır. Sonuç olarak, rapordaki yorumların büyük çoğunluğu teknik sorulara değinmek yerine kişisel verilerin işlenmesini düzenleyen yönetmeliklerle ilgiliydi.
Denetimimiz ayrıca Whoosh’a kişisel verilerin işlenmesi ve güvenliği ile ilgili daha kapsamlı dahili düzenleyici, organizasyonel ve idari dokümantasyon sağlama ihtiyacını tespit etti ve IT.GLOBAL.COM daha sonra müşterimiz için bunu geliştirdi ve uyguladı. IT.GLOBAL.COM’un Whoosh gibi müşterilerle proaktif çalışması, AB gibi güçlü düzenleyici ortamlara girmek isteyen firmalar için işbirlikçi yaklaşımımızın avantajlarını açıkça göstermektedir.
IT.GLOBAL.COM Denetimler ve Bilgi Güvenliği Genel Müdürü Alexander Zubrikov’un sözleriyle: “Whoosh, korunan kişisel verilerin fiilen işlenmesine başlamadan önce iş süreçlerini ve altyapısını GDPR düzenlemelerine (özellikle de Whoosh’un hizmet sunmayı planladığı Avrupa Birliği ülkeleri tarafından belirlenen yerel düzenlemelere) uygun hale getirdi. Bu sayede kişisel veri sızıntısı riski ve dolayısıyla AB vatandaşlarının haklarının olası ihlalleri en aza indirilmiştir.”
Avrupa Pazarına Yeni Giren Şirketler Ne Yapmalı?
Bu makaledeki ipuçlarının ve materyallerin yalnızca korunan kişisel kullanıcı verileriyle çalışan şirketler için geçerli olduğunu unutmamak gerekir. Başlamak için en iyi yer, araştırma yaparak, ilgili mevzuatı okuyarak, uzmanlara danışarak ve şirketinizin girmek istediği pazar için mevcut gereksinimleri değerlendirerek araziyi tanımaktır. Bunu takiben, veri depolama için iki ana seçenek vardır:
- Bir şirket, AB kullanıcıları için kişisel verilerin depolanması ve işlenmesini düzenleyen AB yönetmelikleri konusunda bilgili bir uzmanı ekibine dahil edebilir.
- Şirket, AB veri güvenliği mevzuatını çevreleyen düzenleyici konularda deneyimli bir danışmanla çalışabilir.
AB veri yasaları ve yönetmelikleri tarafından belirlenen gereklilikler basit olmaktan uzaktır. Bu düzenlemelere uyum sağlamak mümkündür, ancak bir şirket nelerin hangi sırayla ele alınması gerektiğine dair özel bir resim elde edebilirse, süreçlerini ve hizmetlerini uyumluluğa getirme işi çok daha hızlı ve verimli bir şekilde tamamlanacaktır. Böyle bir süreç zaman alır, ancak doğru yardımla bu engel her işletme tarafından aşılabilir.
Herhangi bir yabancı pazarla ilgili olarak, başka bir ülkede faaliyete başlamak için gerekli hazırlık adımları yukarıda açıklananlara genel olarak benzerdir. Bununla birlikte, GDPR ihlallerinin gerçekten acımasız para cezalarını beraberinde getirebileceğini hatırlamakta fayda vardır; bu da hizmetlerin AB ülkelerine genişletilmesinin AB düzenleyici gerekliliklerine dikkatli bir şekilde uyma zorunluluğunu beraberinde getirdiği anlamına gelir. Uyumsuzluğun maliyeti ciddi olabilir. Gerçekten de, AB mevzuatı kapsamında uygulanabilecek olası maksimum para cezaları, hangi miktarın daha büyük olduğuna bağlı olarak 20 milyon avroya veya şirketin yıllık gelirinin %4’üne kadar çıkabilir.
GDPR, özellikle de Madde 25 (1) GDPR, teknik sistemlere uygulanması açısından daha az spesifiktir, ancak mevcut bilimsel ve teknolojik ilerleme düzeyi, uygulama maliyetleri ve kişisel verilerin işlenmesi sırasında ortaya çıkan risklerin yanı sıra korunan kişisel kullanıcı verilerinin işlenmesinin niteliği, ölçeği, bağlamı ve amacına uygun olarak makul bir yaklaşım anlamına gelir. Yani, bir kuruluş hangi güvenlik önlemlerini uygulayacağını (şifreleme, veri kurtarma ve düzenli denetimler hariç) kendisi belirleme esnekliğine sahiptir. Bununla birlikte, bu yaklaşım kapsamında şirketlerin uyumluluk sorumluluğu, Rusya’daki düzenleyici makamlar tarafından belirlenen düzenleyici gerekliliklerin kontrol listesi ile karşılaştırıldığında daha fazladır.” – Anastasia Gainetdinova, bilgi güvenliği denetçisi ITGLOBAL.COM Security.
AB’de soruşturma altına girme riski normalde yüksek değildir, ancak bir denetimin getirebileceği düzenleyici sonuçlar, uyumun önemli bir husus olmaya devam ettiği anlamına gelir. Düzenleyici kurumun kendi inisiyatifiyle bir denetim gerçekleştirmesi pek olası olmasa da, yine de bu olasılık tamamen göz ardı edilmemelidir. Birçok durumda, denetimler kullanıcı şikayetleri sonucunda başlatılır. Örneğin, bir kullanıcı verilerini sisteminizden silemediğinden şikayet edebilir. Böyle bir durumda AB’deki DPO şirketlerine başvurabilirler ve bunun ardından denetim olasılığı katlanarak artar.
Sonuç olarak, kullanıcı verilerinin ayrıştırılması zorunludur, çünkü bunların işlenmesi ve ele alınmasını düzenleyen yasal gereklilikler yargı bölgesinden yargı bölgesine değişmektedir, örneğin AB ve ABD’deki veri güvenliği düzenlemeleri önemli ölçüde farklılık göstermektedir. Bu gereklilikler yerine getirilmezse, ihlalde bulunan şirket para cezasına çarptırılacak ve sonuçta “sorumlu” kuruluşun zarara uğramasına neden olacaktır.
Genel olarak, Avrupa yasaları veri sızıntılarına ve/veya kötüye kullanımına karşı koymayı ve bunları önlemeyi amaçlamaktadır. Bununla birlikte, GDPR söz konusu olduğunda, AB mevzuatının AB veri koruma yasalarının önemli ölçüde ihlal edilmesi durumunda cezai sorumluluk öngördüğünü belirtmek özellikle önemlidir.
Şirket’in Faaliyetleri ve Sorumlulukları
AB mevzuat gereklilikleri veri kategorilerine göre farklılık göstermektedir. Bu nedenle, uyumluluk görevini basitleştirmek, korunan kullanıcı verilerini toplamak için akıllı bir yaklaşım gerektirir. Kullanıcı verilerinin toplanmasına yönelik genel bir yaklaşım yerine asgari bilgi ilkesinden hareket eden bir şirket, yalnızca gerçekten ihtiyaç duyduğu kişisel verilerle çalışarak kategori sayısını ve dolayısıyla korunan verilerin ele alınması, işlenmesi ve depolanmasında uyumluluğun sağlanması görevinin karmaşıklığını azaltır.
Sonuç olarak, düzenleyicilerin şirketinize asla dikkat etmeyeceğini ummanın yeterli olmadığını belirtmek gerekir. Bunun yerine, düzenleyici denetimlere sağlam bir şekilde hazırlanmak çok daha iyidir, böylece daha sonra uyumsuzluk için dayanılmaz derecede acı verici düzenleyici sonuçlarla sonuçlanmayacaklardır. Elbette proaktif uyum, zaman ve para dahil olmak üzere kaynak ayırmanızı gerektirir, ancak AB pazarı gibi güçlü bir düzenleyici ortam söz konusu olduğunda, yatırım buna değer. GDPR kullanıcı veri korumalarına uymadan faaliyet göstermenin gerçekliği, hazırlıklı olmadan denetlenmeniz halinde şirketinizin AB düzenleyicileri tarafından ciddi yaptırımlarla karşılaşabileceği anlamına gelir.