Kevin Kelly, Skillsoft’un Global Uyum Çözümleri Başkan Yardımcısı ve Genel Müdürü
15 yıldan fazla bir süre önce, “veri yeni petroldür” ifadesi popüler hale geldi ve gerçekler, rakamlar, demografi ve psikografiklerle tanımlanan kurumsal bir yarışın başlangıcını işaret ediyor gibiydi.
İşletmelerin ve işletme kategorilerinin kişisel verilerin toplanması ve kullanılmasından bu yana geçen süre içinde.
Söylemeye gerek yok ki, veri gizliliği çoğu kuruluş için karmaşık bir konudur ve GDPR gibi yasalarla daha da karmaşık hale getirilmiştir. Dört yıl sonra, GDPR uyumluluğu, birçok kuruluşun çeşitli nedenlerle mücadele etmeye devam ettiği bir şeydir. Aslında, sadece GDPR yaptırım takipçisine baktığımızda, haftalık olarak birkaç bin ila yüz milyonlarca dolar arasında değişen ilgili para cezalarının ve cezaların verildiğini görmeye devam ediyoruz.
Peki, GDPR’nin yürürlüğe girmesinden bu yana birkaç yıl geçtiğine göre şimdi neredeyiz? Hadi keşfedelim.
Temel Bir Hak Olarak Veri
Sorumlulukları arasında veri gizliliği ve GDPR’ye uymayı içeren iş liderleriyle konuşurken, şirketlerin yasayı pratik bir şekilde uygulamanın yollarını bulduğunu öğrendim.
Küresel pazarda, tüm veriler eşit olarak ele alınmaz. Avrupa’da veri gizliliği, birey için temel bir hak haline gelmiştir. Euro Bölgesi’ndeki dijital izleyicilerden kişisel verilerin toplanması otomatik olarak devre dışı bırakılırken, ABD’de otomatik olarak devreye girer.
Söylemeye gerek yok, ABD’de konu veri toplama süreci olduğunda, bunun veri etiğiyle nasıl kesiştiği konusunda bir kopukluk var gibi görünüyor. Bununla birlikte, bununla ve özellikle GDPR uyumluluğuyla ilgili yüksek profilli konular, genel soruna ilişkin anlayışlarını yeniden gözden geçirme konusunda yönetim sorumluluğuna sahip birçok kişiye sahiptir.
Nereden geldiğiniz veya sorumlu olduğunuz coğrafi ayak iziniz ne olursa olsun, GDPR uyumluluğu maliyetli ve kafa karıştırıcı bir taahhüt olabilir. Temel bilgileri gözden geçirelim.
GDPR Nedir?
GDPR, AB vatandaşlarının kişisel bilgilerinin güvenliğini sağlamak için oluşturulmuş bir dizi kuraldır. GDPR, AB içinde mal ve hizmet ticareti sürecinde kişisel verileri işleyen 250’den fazla çalışanı olan kuruluşlar için geçerlidir.
Hedeflerinden biri, bilginin şu anda kullanıldığı yeni ve benzeri görülmemiş yöntemlerle veri koruma protokollerini hızlandırmaktır. GDPR ayrıca bireylere (veya “veri öznelerine”) kendileri hakkında verilerin nasıl, ne, ne zaman ve neden tutulduğuna itiraz etme hakkı vererek onları güçlendirmeye çalışır. Veri sahipleri, bir şirketin kendilerinde tuttuğu her türlü bilgiye erişme ve bu verilerin neden ve nasıl işlendiğini, ne kadar süreyle saklandığını ve kimin görebileceğini bilme hakkına sahiptir.
Tam GDPR uyumluluğu için son uygulama tarihi 25 Mayıs 2018 idi. O zamandan beri GDPR, tüketici verilerinin kullanımına ilişkin yönetişim, izleme, farkındalık ve stratejik karar verme süreçlerinde önemli gelişmeler sağladı. Sadece bu da değil, GDPR mevzuatı veri gizliliği konusunu ön plana çıkardı.
GDPR’ye Neden İhtiyaç Duyarız?
GDPR, dünya çapındaki kuruluşları, öncelikle itibarları artık buna dayandığından ve cezaların çok ağır olması nedeniyle, veri korumasını her zamankinden daha fazla ciddiye almaya zorlamaktadır. GDPR’nin arkasındaki fikirlerden biri, tüketicilere verilerinin yanlış ellere geçmeyeceğine dair güvence vermekti. Tüketici verileri ve gizliliği artık önde gelen şirketler tarafından en önemli öncelik olarak kabul ediliyor.
Basit gerçek şu ki, veri gizliliği mevzuatı kuruluşlara veri stratejilerini ve yönetişimlerini yeniden gözden geçirmeleri için gerçek bir fırsat sunuyor.
GDPR, şirketleri veri arşivlerini ele almaya ve toplanan bilgilerin gerekli veya amaca uygun olup olmadığını sormaya zorlayarak bazı maliyet tasarrufları ve gelişmiş verimlilikler getirdi. Bu nedenle veri bakımı, düzenli olarak yönetilen daha aktif bir süreç haline geldi.
GDPR ayrıca kuruluşları ağlarının etkinliğini değerlendirmeye teşvik etti. Birçoğu, eski donanımlar daha yetenekli (ve güvenli) cihazlarla değiştirildiğinden, en yeni ve gelişmekte olan teknoloji nesilleriyle daha iyi uyum sağlamalarını sağlayan gelişmiş altyapıya geçmek zorunda kaldı. Başlangıçta pahalı olmakla birlikte, bu, daha yüksek düzeyde katılım ve üretkenliği teşvik eden çalışanlar için geliştirilmiş bir kullanıcı deneyimi ile dengelenmiştir.
Daha da yüksek bir düzeyde, GDPR, ortaya çıkan dijital ekonomiye olan güveni artırarak halkı güçlendirdi. AB genelinde (ve etkili bir şekilde dünya) veri korumasını düzenleyerek, mal ve hizmetler artık daha özgürce akıyor. Kurumlar ve halk arasındaki güven arttı.
ABD’de GDPR Uyumluluk Gereksinimleri Nelerdir?
Bir kuruluş fiziksel olarak AB’de bulunmasa bile, AB’de yerleşik bir mukim tarafından tanımlanabilir kişisel verileri işliyorsa yine de GDPR’ye uyması gerekir. GDPR, bireylerin kişisel verilerini korumak için tasarlandığından ABD merkezli şirketlere ulaşır.
İşi tüketicilerin kişisel verilerine dayanan şirketlerin büyük çoğunluğu saygın ve sorumlu bir şekilde hareket etmektedir. Bu kuruluşlar için, veri gizliliği düzenlemelerinde yapılacak basit değişiklikler, başarı tahminini değiştirmemelidir.
Çok uluslu şirketler, GDPR uyumluluğuna daha odaklı bir yaklaşım benimsemek için ABD ve Avrupa ticari operasyonlarını ayırmayı seçebilir. Aslında, Kaliforniya eyaleti tarafından çıkarılan veri gizliliği yasaları (California Tüketici Gizliliği Yasası, 2018’den itibaren CCPA), herhangi bir uyum görevlisini veri gizliliği konusuna hazırlamalı ve bu yasaya uymak için işlerinde yapısal değişiklikleri harekete geçirmeliydi.
GDPR En İyi Uygulamaları
GDPR’nin, bir bireyin haklarını ve hassas kişisel bilgilerinin güvenliğinin meşru olmayan amaçlarla kullanılmasını sağlamak için yedi temel ilkesi vardır. Kuruluşlar, uygunluğu sağlamak için bu ilkelerin her biri hakkında düzenli olarak düşünmelidir:
- Hesap Verebilirlik: GDPR ilkelerine uymak için elinizden gelen her şeyi yapıyor musunuz?
- Doğruluk: Kişiler hakkında topladığınız veriler hem doğru hem de güncel mi?
- Veri Minimizasyonu: Yalnızca bilginin amaçlandığı görevi gerçekleştirmek için gerekli olan verileri mi topladınız?
- Bütünlük ve Gizlilik: Kişisel bilgilerin güvenliğini ve gizliliğini her zaman nasıl sağlıyorsunuz?
- Yasallık, Adalet ve Şeffaflık: Sahip olduğunuz tüm kişisel bilgiler yasal olarak işleniyor mu?
- Amaç Sınırlaması: Topladığınız tüm kişisel bilgilerin yasal ve meşru bir amacı var mı?
- Depolama Sınırlaması: Kişisel bilgileri ne kadar süreyle tutuyorsunuz?
Düzenleyicilerin izlemesi gereken veri hacmi çok büyük olduğundan, çabalarını bir şekilde kırmızı bayrak çıkaran az sayıda kuruluş üzerinde yoğunlaştırmalarını beklemek makul olacaktır. Çoğu kuruluş gerçekten değerlendirilmez veya incelenmez; sadece uyum yolunda kendi yollarını oluşturmaya devam ediyorlar.
Hangi GDPR Yardımı Mevcut?
Neyse ki, çalışanlarını GDPR gibi düzenlemelere uymaları için eğitmek isteyen şirketler için araç ve kaynak sıkıntısı yok. Uyumluluk eğitim kursları, kuruluşların en iyi uygulamaları kabul etmesine ve bunlara bağlı kalmasına yardımcı olmak için çalışanların GDPR’yi çevreleyen riskleri azaltma konusundaki sorumluluklarını anlamalarına yardımcı olur.
Microsoft kısa süre önce, dünya çapında 750 düzenleyici kurum tarafından her gün 200’den fazla güncelleme yayınlandığını kaydetti. Bununla birlikte, eğitimin güncel ve doğru olmasını sağlamak için bir uzman ekibi aracılığıyla içeriği titizlikle güncelleyen bir uyumluluk eğitimi ortağı belirlemek, başarılı bir programı yürütmek ve sürdürmek için çok önemlidir.
yazar hakkında
Kevin Kelly, Skillsoft’un Global Uyum Çözümleri Başkan Yardımcısı ve Genel Müdürüdür. Skillsoft’un Yasal Uyumluluk, İK Uyumluluğu, Kurumsal Etik, Siber Güvenlik ve Veri Gizliliği ve İşyeri Güvenliği dahil olmak üzere Global Uyumluluk Pazara Giriş girişimlerini yönetmektedir. Kevin, uyumluluk, yasal, dijital ve SaaS pazarlarında iş dönüşümü sağlama konusunda 20 yılı aşkın deneyime sahiptir.
Kevin’e https://www.linkedin.com/in/kevinjkelly1/ adresinden ve şirket web sitemiz https://www.skillsoft.com/ adresinden LinkedIn üzerinden ulaşılabilir.