GDPR uyumu Demokles’in kılıcı
Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak gösterilen Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR) 25 Mayıs 2018’dan bu yana yürürlükte. ESET’in edindiği bilgiye göre, 8 aylık süreçte Avrupa çapında 95 binden fazla şikayet bildirildi. En büyük şikayet konusu ise telefon üzerinden yapılan pazarlama faaliyetleri oldu. En dikkat çekici ceza ise 50 milyon avro ile Google’a kesildi.
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. Bu nedenle GDPR ile ilgili gelişmeler BT şirketlerinin de gündeminde. Avrupa Komisyonu’nun Mayıs 2018’de yürürlüğe giren yönetmelikle ilgili paylaştığı güncel verilere göre, Avrupa Birliği (AB) vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındı. Avrupa genelinde GDPR uygulamalarını denetleyen Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan verilere göre ise şikayetler çoğunlukla telefon üzerinden yapılan pazarlama faaliyetlerinden geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve video kayıt gibi faaliyetler izledi. Söz konusu sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
Öte yandan, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı ve üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon avro para cezası vermesi oldu. Google ise bu karara itiraz edeceğini duyurdu. AB’nin yönetim kanadı tarafından aralarında Bulgaristan, Çek Cumhuriyeti, Portekiz, Slovenya ve Yunanistan’ın yer aldığı beş AB üyesi ülkenin henüz yerel kanunlarını GDPR gereksinimleriyle uyumlu hale getiremediklerine de dikkat çekildi. GDPR, AB içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. GDPR ile ilgili önlemler konusunda ESET’in Türkçe olarak hazırladığı bilgilendirme sayfası https://www.eset.com/tr/business/kvkk/.
