Bilgi ve iletişim teknolojilerinin çeşitlenmesi, ülkeler ve şirketler arasında veri trafiğinin büyümesi, bu süreçte kötü amaçlı veri kullanımının artması ve bu kullanımlara yönelik yasal yaptırımların zayıf kalması; kişisel verilere erişim, verilerin toplanması ve kullanımı konusunda mevcut düzenleme ve altyapılar çerçevesinde ciddi bir reforma gidilmesi gerekliliğini ortaya koydu. Geçtiğimiz yıl 25 Mayıs Cuma günü AB genelinde uygulamaya konan yönetmelikle, bireysel hak ve özgürlüklerden demokratik toplum ve insan hakları tartışmalarına uzanan geniş bir yelpazede bu reform hayata geçti. Yönetmelik, müşteri veritabanında AB vatandaşlarının veya AB ülkelerinde ikamet eden kişilerin bilgilerini bulunduran Türkiye’deki veya AB dışındaki ülkelerde faaliyet gösteren işletmeleri de kapsıyordu.
Veri Koruma Görevlisi gibi yeni bir unvanı hayatımıza sokan bu yönetmelik, veri güvenliği konusunda şirket ve kurumlara sosyal ve ekonomik düzeyde önemli yükümlülükler getirdi. Pek çok işletme iş süreçlerini yeni tüzükle uyumlu hale getirmeye çalışırken, bazıları da geçici çözümlerle açıkları yamalama yoluna gitti.
Peki, gerek müşteriler, gerekse çalışanlar bazında kullanıcı haklarını öne çıkaran GDPR’ın uygulama aşamalarında bir yıl içerisinde nasıl bir yaklaşım sergilendi? Bu süreçte önümüzdeki yıllarda bizi bekleyen gizlilik ve uyumluluk gereksinimlerine dair herhangi bir ders çıkartabildik mi?
GDPR bazı şirketler için varoluşsal bir tehdit
GDPR yürürlüğe girdikten sonra işletmeler bazında iki farklı yaklaşım görüldü. İlki; GDPR uyumluluğunu yakalamak için büyük yatırımlar yaparak farklı işlev ve uzmanlıklara sahip ekipleri bir araya getirmek ve net bir hareket planı ortaya koymak. Bunu yapanlar; GDPR’ın özünü anlayan, bunun bir gizlilik sorunu olduğunu kabul eden ve veri güvenliğinde elde edilecek başarının rekabet üstünlüğü kazandırdığını fark eden şirket ve kurumlar. İkinci yaklaşım ise, GDPR’ı yalnızca bir uyumluluk mevzusu olarak görerek yüzeysel çözümler üretmek. Bunu yapanlar ise, Uluslararası Veri Kurumu (IDC) Avrupa Güvenliği Araştırma Direktörü Martin Whitworth’a göre, “kusurları gizleyip sorunları halının altına süpürenler.”
Whitworth, GDPR yükümlülüklerini yerine getirmek için çaba sarf eden orta ve büyük ölçekli kuruluşların iş süreçlerine ortalama 3 milyon dolar harcadığını belirtirken, Forcepoint EMEA Güvenlik Strateji Başkanı Duncan Brown da, GDPR’ın yalnızca 2018’in olayı olmadığını, şirketlerin ayakta kalma yarışının bugün hala devam ettiğini ve GDPR’ın daimi bir iş süreci olarak algılanması gerektiğini söylüyor. Brown’a göre bu uygulama, aradan geçen bir yılın ardından düzenlemenin ciddiyetini ve önemini anlamak istemeyen şirketler için potansiyel bir “varoluşsal tehdit” oluşturuyor. Çünkü tüzüğün gerekliliklerini yerine getirmeyerek veri ihlaline yol açan işletmeler, 200 milyon avro gibi yüksek oranlı maddi yaptırımlarla karşılayabiliyor. Aynı zamanda müşteri, çalışan veya ziyaretçilerinin gözünde güven ve itibar kaybı yaşayarak marka geleceklerini tehlikeye atıyorlar.
1 yılda 60 milyon avro para cezası kesildi
Nitekim, geçtiğimiz 12 ay içinde düzenleyici kurumlarca para cezası kesilen pek çok şirkete tanık olduk. Bunlardan biri, veri toplama aşamalarıyla ilgili olarak kullanıcılarına yeterince şeffaf ve net olmadığı gerekçesiyle Fransız veri koruma kurumu CNIL tarafından 50 milyon avroluk cezaya çarptırılan internet devi Google’dı. Almanya’da bir şirket çalışanlarının şifrelerinde gerekli kriptolama sistemini kullanmadığı için 20 bin avro ceza alırken, Avusturya’da bir perakendeci de gerekli uyarıları yapmadan halka açık kaldırımın bir kısmını güvenlik kamerasıyla izinsiz izlediği için 4 bin 800 avroluk para cezasına çarptırıldı. Bir diğer haber de Portekiz’den, bambaşka bir sektörden geldi: Bir hastane, hastaların tıbbi verilerini sağlık personeli olmayan bazı kişilerin erişimine açık tuttuğu için 400 bin avro ceza aldı.
Ancak bu cezalar, ihlal bildirimlerinin sayısıyla karşılaştırıldığında halihazırda oldukça yetersiz kalıyor. Kullanıcıların dijital hakları için mücadele eden Access Now adlı insan hakları kuruluşuna göre, Haziran 2019 itibarıyla, Mayıs 2018’den bu yana 28 AB üye ülkesinden 95 bin şikayet dosyalandı, 59 bin veri ihlali rapor edildi; Google’ın da aralarında bulunduğu bazı şirketlere ise 60 milyon avroya yakın para cezası kesildi.
“GDPR’ın özü bireylerin gizlilik hakkına saygı duymaktır”
Whitworth, tüm bu gelişmeler ışığında mevcut programlarını yeniden gözden geçirmek ve GDPR uyumluluğunu geliştirmek isteyen işletmelere beş öneride bulunuyor:
- Düzenleyici kurumları yakından takip edin: Çünkü halen yasal yaptırımlarda belirsizlikler var. Bu kurumlar her ne kadar rehberlik desteği alsa da yetkilerini nereye kadar kullanabileceklerini belirlemeye çalışıyorlar. Unutmayın, yaptırımlar yalnızca para cezasıyla sınırlı kalmayabilir; hukuki yaptırımlar farklı formlarda karşımıza çıkabilir.
- Gizliliği işinizin merkezine ve gündelik rutinine oturtun: İlgili Kişi Erişim Talebi’ne (SAR) dair iş akışlarında acilen otomasyon gerekiyor. SAR için gereken tüm bilgileri temin edemiyorsanız, unutulma veya düzeltme haklarını da gerektiği gibi yerine getiremezsiniz.
- Büyük veri BÜYÜK zorluk: Bazı işletmeler GDPR uyumluluğunu bir adım ileri götürerek işletmenin kendisine zarar verecek şekilde gereğinden fazla veriyi sildi.
- Veri Koruma yine gündemde: Veri koruma anlayışı yükselişe geçmiş durumda. Bunun pek çok nedeni olmasına rağmen en belirgini kişisel gizlilik sorunu. Çin, Brezilya, Kanada, ABD ve Avustralya gibi AB dışındaki pek çok ülke bu konuyla ilgili yeni yasal düzenlemeler yapmaya başladı. Bu gelişmeler uluslararası veri yönetiminde zincirleme bir etki yapacaktır.
- Olay sadece uyumluluk değil: Düzenlemeyi külfetli ve karmaşık olarak nitelendiren işletmelerin unutmaması gereken en önemli şey, GDPR’ın iş süreçlerini uyumlu hale getirme zorunluluğunun da ötesinde, bireylerin gizlilik hakkına saygı duymak olduğudur.
Şirket ve kurumların İK, finans, iletişim ve BT birimlerine kadar pek çok farklı departmanı ilgilendiren GDPR uyumluluk süreçleri, bilgi ağı altyapısının ve veri merkezlerinin yenilenmesini, CRM, müşteri ve çalışan veritabanlarının yeniden düzenlenmesini ve veri güvenliği sistemlerinin güncellenmesini içeren kapsamlı bir çalışma stratejisine ihtiyaç duyuyor. Ancak tüm bu teknik ayrıntıların arasında en çok ihtiyaç duyduğu şey zihniyet değişimi ve kişisel verilerin korunmasının temel bir hak olduğu.