Veri güvenliğinde eksikler, yüklü ceza demek

28 Ocak’ta Avrupa Konseyi'nin 108 sayılı konvansiyonunun, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması” yönündeki çağrısının imzaya açılması ile Veri Koruma Günü ya da küresel bazda bilinen adıyla Veri Mahremiyeti Günü'nün onuncu yılı kutlandı. Konuyla ilgili Hukuk Saha Hizmetleri Yöneticisi Dierk Schindler’ın imzası ile bir açıklama yayınlayan NetApp ise şirketleri bekleyen cezai tehlikelere dikkat çekti ve bazı uyarılarda bulundu. 

Buna göre, ’Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması’ konvansiyonu, kişisel veri akışının sınır ötesinde düzenlenmesinin sağlanmasını ve hassas kişisel verilerin toplanması ile bu verilerin işlenmesiyle bağlantılı regülasyonu amaçlıyor. Konvansiyon, ayrıca bireyin kişisel verilerinin nerede depolandığına ilişkin bilgiye sahip olması ve gerektiği durumda, bunun düzeltilmesi hakkına ilişkin düzenlemeler getiriyor.

AB'nin, mahremiyet beklentisi ve bireylerin kişisel verilerinin korunmasında potansiyel negatif etkisine rağmen ABD'nin küresel pazarı büyütmeyi ve ulusal güvenliği artırmayı amaçlayan temel felsefe farklarına bağlı olarak, Safe Harbor (Güvenli Liman) Anlaşması, 2015 sonunda geçersiz sayıldı. Oysa bu anlaşma, yıllar boyunca Amerikan şirketleri için tek uyum mekanizması işlevini gördü ve bu, dünya genelindeki işletmeleri veri işleme yaklaşımlarını yeniden gözden geçirmeye zorladı.
 
İşletmeler nihai karar bekliyor
 
Bu yıl AB regülasyonlarında değişiklikler beklenirken, muhtemel bir Güvenli Liman (Safe Harbor 2.0) Anlaşması odaklı belirsizlik devam ediyor. İşletmelerin verileri işleyebilmeleri, ancak bireyin ilgili muvafakati halinde ve veri işlenmesinin kesinlikle gerekli olması durumunda mümkün olacak. 250 kişiden fazla çalışana sahip işletmeler, verilerin yasalara uygun biçimde işlendiğinin güvence altına alınması için kurum içerisinde bir Veri Koruma Yetkilisi atamak zorunda olacak. Ayrıca bireyler, 'Unutulma Hakkı' (Right to be Forgotten) maddesine dayanarak, verilerinin silinmesini talep edebilecekler. Dierk Schindler, uyarılarına şöyle devam ediyor:

“İşletmeler, beklemedeki düzenleyici kararlarda belirsizliğin farkına vardılar ve bunun olası sonuçlarını anlamaya ve bunlara ulaşmaya çalışıyor. İşletmeler nihai karar beklerken, gelecekte veri güvenliğine uyumluluğun sadece güvenlik sağlamaktan daha fazlası olacağını bilmeli. Yasal değişikliklere hazır olmayan işletmeler, düzenlemelere uymadıkları için gelirlerinin yüzde 5'ine karşılık gelen para cezası ödeyecek. İşletmeler, regülasyona uygun kalmak ve olası cezaları önlemek için etkin veri yönetimi altyapısını hayata geçirmeli. İşletmeler, verinin sadece yapılan anlaşmalar doğrultusunda, meşru ve yasal yollarla kullanıldığını belirlemeli. İşletmeler, geleceğin depolama altyapıları ile süreçlerini göz önünde bulundurduklarında, verinin depolama ile bulut genelinde entegre, çoğaltılmış ve taşınmış bir yapıda olup olmadığına bakarak değer biçebilir.”