EU GDPR

AB Genel Veri Koruma Yönetmeliği

Yürürlüğe girme tarihi: 25 Mayıs 2018 - bu tarihte yönetmeliğe uygun olmayan kuruluşlar ağır cezalarla karşı karşıya kalacaklar.

AB Genel Veri Koruma Yönetmeliği (EU GDPR)

GDPR için küçük bir unsur olsa da aslında çok önemli: Kingston Şifreli USB ile Yasal Uyumu Sağlayın

Tehditleri Yönetir ve Riskleri Azaltır

Mevcut seçenekler, Kişisel, Kurumsal ya da Devlet dahil olmak üzere her türlü gereksinimi kapsamaktadır.

  • %100 Uyumlu Şifreli USB veri saklama
  • Basit, kolay kullanımlı, yazılım ya da sürücü gerektirmez
  • Hızlı ve etkili kullanıma alınacak şekilde tasarlanmıştır
EUGDPR Compliance Logos
Keep Compliant with Kingston

AB GDPR: Dikkat edilmesi gereken en önemli 5 konu

  1. Şifreleme - Veri işleme standartlarının güvenliği (Makale 32, İşlemenin güvenliği)
  2. Veri Koruma Görevlileri Atayın (DPO’lar)
  3. Siber Güvenlik Programı Oluşturun
  4. Belgelenmiş Güvenilirlik
  5. İzinleri Anlayın

Neleri bilmem gerekiyor?

Bu durum benim işimi nasıl etkiler?

  • AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekmektedir
  • Bu kuralların hem denetçilere hem de işleticilere uygulandığının belirtilmesi gerekmektedir - yani ‘bulut sistemler’ GDPR’den muaf olmayacaktır.
  • AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir
  • Kişisel olarak tanımlanabilecek bilgilerini işleyen ya da saklayan kuruluşların, kişisel veri kaybını önlemek için gerekli güvenlik önlemlerini uygulamaya almalarını gerektirmektedir.

İşletmemin neyle uyumlu olması gerekmektedir?

  • Kendinizi değerlendirin - 250 ya da daha fazla kişi çalıştıran şirketler için bir Veri Koruması Görevlisi gerekmektedir. Kuruluşların, çalışanlarının ve müşterilerinin kişisel olarak tanımlanmalarını sağlayacak bilgileri işlenmesini şirket içinde değerlendirilmeleri gerekmektedir
  • Veri saklayan şirket içi ya da şirket dışı ürünleri / cihazları eşleyin - Veri güvenli politikanıza göre şirket ekipmanlarını kayıt altına alın, kullanılmalarını zorunlu hale getirin ve veri şifrelemesinin kullanıldığından emin olun. Bu cihazlar arasında, sınırlı olmamak kaydıyla aşağıdakiler sayılabilir: sunucular, sabit disk sürücüleri, SSD’ler, USB Flash sürücüler, bilgisayarlar ve mobil cihazlar sayılabilir
  • Envanter Analizi - Toplamdaki kişisel veri miktarını değerlendirin
  • Boşaltın - Gereksiz kişisel olarak tanımlama sağlayabilecek bilgileri içeren arşivleri ortadan kaldırın (PII)
  • Bilgi Denetleyicileri - Gizlilik riski ve etki değerlendirmelerini gözden geçirin
  • Sözleşmeler - Mayıs 2018’de etkin başlangıç tarihinden sonra zorunlu hale gelen politikaları uygulamaya alarak işletmenizi gelecekteki gereksinimlere uygun hale getirin
  • Veri İhlalleri - Yönetmelik, 72 saat içinde uyarı yapılmasını gerektirmektedir

Çözüm - Uyumsuzluk riskini önlemek için kişisel verilerin / kişisel olarak tanımlanmayı sağlayacak bilgilerin (PII) şifrelenmesi gibi uygun korumaları, teknik standartlar ve politikalar uygulamaya alın. (Daha Fazla Bilgi – Şifrelenmiş USB Standartları En İyi Uygulamalar)

Veri şifreleme

  • Bir Kingston ve IronKey Şifrelenmiş USB sürücü, veri şifreleme uyumu için standartlaşmada uygulanabilecek çözümlerden biridir.
  • “Kişisel verilerin şifrelenmesi ... dahil olmak üzere riske uygun güvenlik seviyesini sağlamak için gerekli teknik ve organizasyonel önlemlerin” alınması (Madde 32, İşleme güvenliği)
  • Teklif, kuruluşların hem taşınmakta hem de saklanma durumunda olan hassas verileri şifrelemesini gerekmektedir.
  • AB’de ikamet eden kişilerin, kişisel olarak tanımlanabilecek bilgilerini işleyen ya da saklayan kuruluşların, kişisel veri kaybını önlemek için gerekli güvenlik önlemlerini uygulamaya almalarını gerektirmektedir.
  • Kuruluşların bu gelişmiş veri işleme standartlarını üçüncü şahıs sağlayıcılarla yaptıkları sözleşmelere eklemeleri gerekecektir.

Daha Fazla Bölgesel Kapsam (bölge dışında uygulanabilirlik)

Veri gizliliğinin yasal alanı içindeki belki de en büyük değişim.

  • GDPR’nin daha geniş alanda uygulanması, şirketin konumundan bağımsız olarak Avrupa Birliğinde yaşayan kişilerin kişisel verilerini işleyen tüm şirketlerin bu yönetmeliğe uygun hareket etmesini gerektirmektedir.

İhlal Bildirimi

Veri ihlali bildirimlerinin mümkünse ihlalin öğrenilmesinden sonraki 72 saat içinde yapılması gerekiyor olmasına karşın bildirimin, bireylerin hakları ya da özgürlüğü konusunda bir sonuca neden olma olasılığı düşükse DPA’ya yapılması zorunlu olmayabilir.

Yeni Tüketici Hakları

Tüketicinin Avantajları

Consumer Benefits

  • GDPR ile daha fazla koruma ve isimsiz kalma olanağı
  • Tüketiciye, verilerinin paylaşılmasını istememe hakkını verir
  • Tüketici için daha fazla hak - şirketlerden verilerinin kullanımını sona erdirmesini isteyen unutulma hakkı’ - veri taşınabilirliği hakkı’.
  • Bu tüketici haklarına uygun hareket etmeyen şirketler, tüketiciler ve yasal kurumlar tarafından daha fazla mahkemeye verilmektedir

İzin

İzin koşulları güçlendirildi ve şirketler artık yasal terimlerle dolu uzun, okunması güç kurallar ve koşullar kullanamayacaklar. Bunun yerine izin isteğinin, veri işlemeni bu izne bağlanması amacıyla bir bilgilendirici ve kolay erişilebilir bir formla verilmesi gerekmektedir.

  • İzinin açık ve diğer konularda ayırt edilebilecek şekilde olması, açık ve düz bir dil kullanılarak bilgilendirici ve kolay erişilebilir bir formda sağlanması gerekmektedir. İznin verilmesi kadar iznin geri alınması da kolay olmalıdır.

Unutulma Hakkı

Veri Silme olarak da bilinen unutulma hakkı, verinin sahibine, veri denetleyicisinin kişisel verilerini silmesini, verilerin daha fazla yayılmasını ve varsa üçüncü şahısların verileri işlemesini durdurmasını isteme hakkı vermektedir. Madde 17’de belirtilen silinme koşulları, verilerin işleme için ilk amaçla artık ilgili olmamasını ya da veri sahiplerinin izinlerini geri çekmesini içermektedir.

Bu hakkın, bu tür istekler dikkate alınırken denetleyicilerin, kişinin haklarını “verinin kullanılabilirliğinin kamu yararları” ile kıyaslamasını gerektirdiği unutulmamalıdır.

Kişisel Olarak Tanımlanmayı Sağlayacak Bilgiler (PII) nedir?

Kişisel Olarak Tanımlanmayı Sağlayacak Bilgiler (PII), AB vatandaşları ile ilgili olarak, açıklanması durumunda bilgileri açıklanan kişilerin zarar görmesine neden olabilecek verileri anlamına gelmektedir. PII’ler arasında tıbbi kayıtlar, biyometrik veriler, pasaport numaraları ve sosyal güvenlik ve kredi kartı bilgiler gibi Kişisel Olarak Tanımlanmayı Sağlayacak Finansal Bilgiler (PIFI) sayılabilir. PII olarak kabul edilmeyecek, ad ve soyadı gibi bilgiler, başka verilerle ilişkilendirildiğinde PII haline gelebilir.

  • Kuruluşların veri varlıkları, verilerin nasıl saklandığı ve bunlara nasıl erişildiği, ne tür bir risk seviyesine maruz kaldıkları ve PII içerip içermediği dahil olmak üzere bir risk değerlendirmesinin parçası olarak tanımlanmalıdır. Veri varlıkları, uygulama veri tabanlarında, sunucu dosya sistemlerinde ve son kullanıcı cihazlarında saklanabilir.
What is Personal Identifiable Information (PII)?

Vurgulanan Segmentler

  • AB çapında tek kurallar grubu — Veri koruması için AB çapında tek yasanın yıllık 2,3 milyar Avro tasarruf sağlayacağı tahmin edilmektedir
  • Büyük ölçekte veri işleyen kamu kurumları ve işletmeler tarafından veri korumasından sorumlu bir veri koruma görevlisi atanacaktır.
  • Tek Noktadan Çalışma – işletmeler, sadece tek denetleyici kurumla ilişki halinde olabilecektir (asıl merkezlerinin bulunduğu AB ülkesinde)
  • AB merkezli olmayan şirketler için AB kuralları – AB’nin dışında yer alan şirketlerin, AB içindeki bireylere hizmetler ya da mallar sunarken ya da bireylerin davranışlarını izlerken aynı kuralları uygulaması gerekmektedir.
  • Yeniliğe açık kurallar – veri koruması önlemlerinin, ürün ve hizmetlerin ilk geliştirilmesi aşamasına dahil edilmesini sağlayan bir garanti (tasarımsal ve varsayılan şekilde veri koruması)
  • Sanal-kimliksizleştirme (bir veri kaydındaki tanımlayıcı alanların yerine bir ya da daha fazla suni belirtecin konması) ve şifreleme (veriler, yalnızca yetkili taraflar tarafından okunabilecek şekilde kodlanması)
  • Etki değerlendirmesi – işletmelerin, veri işlemesinin bireylerin hakları ve özgürlükleri açısından yüksek riske neden olabileceği durumlarda etki değerlendirmesi yapması gerekecektir
  • Kayıt tutma – KOBİ’lerin, veri işlemenin düzenli olması ya da verileri işlenen kişinin hakları ve özgürlükleri açısından yüksek riske neden olabileceği durumlar bulunması dışında işleme etkinlikleri ile ilgili kayıt tutmaları gerekli değildir

Daha fazla

Genel Veri Koruma Yönetmeliği’ne (GDPR) Göre Önemli Tarihler

  • 31 Ocak 2018 PCI-DSS v3.2 – Çok Aşamalı Kimlik Doğrulama Gereksinimi (8.3.1) - Global kuruluşları etkilemektedir
  • 30 Haziran 2018 PCI-DSS v3.2 – SSL Şifrelemesini yükseltme gereksinimi (2.2.3, 2.3, 4.1) - Global kuruluşları etkilemektedir
  • Nisan 2018 PSD2 – Ödeme Hizmetleri Yönetmeliği 2 - Avrupa’daki işletmeleri etkilemektedir
  • Mayıs 2018 GDPR – Genel Veri Koruma Yönetmeliği - Global kuruluşları etkilemektedir