Uzun müzakerelerin ardından İngiltere-ABD veri köprüsü nihayet 12 Ekim’de yürürlüğe girdi. Bu yeni çerçevenin, veri destekli hizmetler ihraç eden şirketler için süreçleri hızlandırması ve fırsatları artırması bekleniyor. Daha önce bunu yapmak isteyen kuruluşların, Birleşik Krallık’taki veri koruma ve gizlilik standartlarına uyulmasını garanti altına almak için sözleşme hükümlerinin yürürlükte olması gerekiyordu. Hükümetin kılavuzuna göre, ‘veri köprüsü’ terimi, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 46 ve 49. Maddeleri uyarınca, ek güvenlik önlemlerine ihtiyaç duyulmaksızın, kişisel verilerin bir ülkeden diğerine akışına izin verme kararını tanımlamaktadır ( GDPR).
Bilim, Yenilik ve Teknoloji Bakanlığı (DSIT) bilgi formu, veri köprüsünün ABD kuruluşları için isteğe bağlı bir sertifikasyon programı olduğunu doğruladı. Her kuruluşun kişisel verileri kullanırken, toplarken veya ifşa ederken benimsemesi gereken veri koruma taahhütleri şeklini alan bir dizi ilkeden oluşur.
Temel olarak, Birleşik Krallık’taki işletmeler, AB-ABD Veri Gizliliği Çerçevesi’nin (DPF) Birleşik Krallık Uzantısı kapsamında sertifikalı olmaları koşuluyla, aktarım etkisi değerlendirmeleri (TIA’lar) yapmak zorunda kalmadan kişisel verileri ABD şirketlerine aktarabilirler. Elbette işleyiciler veya veri kontrolörleri, tercih etmeleri halinde kurumsal kuralları bağlayıcı diğer uygun koruma önlemlerine veya standart sözleşme hükümlerine güvenebilirler. Ancak hükümet, Birleşik Krallık’taki kuruluşların gizlilik politikalarını güncellemeleri ve kişisel verileri ABD’ye aktarma yöntemlerindeki değişiklikleri yansıtacak şekilde kendi işleme faaliyetlerini belgelemeleri gerektiğini vurguladı. En önemlisi, ABD’li ithalatçının DPF’ye ve veri köprüsüne kendi sertifikasını vermiş olması ve aktarılan her türlü kişisel verinin alındıktan sonra DPF ilkelerine uygun olarak işlenmesi gerekmektedir.
Avrupa Komisyonu’na göre, kişisel verileri ABD’ye veya diğer üçüncü taraflara aktarmak için standart sözleşme maddelerine (SCC’ler) dayanan Birleşik Krallık ihracatçıları, AB SCC’lerinin artık ABD’den veri aktarımına yönelik yeni anlaşmalar için kullanılamayacağının farkında olmalıdır. Birleşik Krallık. AB SCC’leri ya AB SCC’lerine Birleşik Krallık ekiyle birlikte eklenmeli ya da Birleşik Krallık veri aktarıcıları bunun yerine Birleşik Krallık Uluslararası Veri Aktarım Anlaşmasını (IDTA) kullanmalıdır. 21 Eylül 2022 veya öncesinde AB SCC’lerine dayalı sözleşmeler imzalamış olan Birleşik Krallık veri ihracatçıları, 21 Mart 2024’e kadar AB SCC’lerine güvenmeye devam edebilir. Bilgi Komisyon Üyeleri Ofisi (ICO), başlıklı bir kontrol listesi yayınladı: ‘Uluslararası transferlere yönelik bir rehber’ şirketleri bu arada kullanmaya teşvik ediyor.
Veri ortamında gezinme
İleriye dönük olarak kuruluşların veri yönetimi konusunda titiz davranmaları ve yeni çerçeveye ve gelişen veri ortamına uyum sağlayacak önlemlerin alındığından emin olmaları gerekecek. Geçtiğimiz yıl işletmeler Elektronik Ticaret Belgeleri Yasası, Kuzey İrlanda (NI) Protokolü veri paylaşım anlaşması ve Schrems II mevzuatına yanıt vermek zorunda kaldı. Aslında Schrems II, kuruluşların AB ve AEA’dan yeterli görülmeyen ülkelere veri aktarmadan önce risk değerlendirmesi yapmalarını zorunlu kılıyordu. O tarihten bu yana işletmeler, ihracat yetki alanlarına uyum sağlamak için tamamen yeni süreçler uygulamaya koymak zorunda kaldı.
Hiç şüphe yok ki işletmelerin önünde büyük dijital dönüşüm projeleri var. Tüm işletmelerin, kişisel veri aktarımlarının yasal, uyumlu olduğundan ve önümüzdeki yol için tetikte olduğundan emin olmak için faaliyetlerini gözden geçirmesi gerekecek. Bu yeni veri köprüsü tavsiye niteliğinde olmakla birlikte iş dünyasının geleceğinin gidişatını da belirliyor. Hükümetin rehberliğine göre, kuruluşların mevcut sözleşme maddelerini ve veri protokollerini (eğer henüz incelememişlerse) gözden geçirmeleri gerekiyor.
Bu yeni çerçeve, ithalatçı ve ihracatçı olmak üzere her iki tarafın da uygun sözleşme yönetimi sistemlerine ve güvenli veri aktarım protokollerine sahip olmasını gerektiriyor. Tüm verilerin sözleşme yaşam döngüsünün tamamı boyunca hesaba katıldığından emin olmak için, tüm sistemlerin uçtan uca süreçleri gözden geçiren ekiplerle uyumlu hale getirilmesi gerekecektir. En önemlisi, kuruluşların çerçevenin yol gösterici ilkeleri konusunda kendilerini eğitmeleri ve gereklilikleri tam olarak anladıklarından ve seçtikleri ihracatçının da aynısını yaptığından emin olmaları gerekecektir.
Sonraki adımlar: veri akışlarını ve mimariyi gözden geçirin
Veriler günlük işler için hayati öneme sahiptir. Departmanlar arasında izole edilmesi veya bağlantısının kesilmesi, önemli miktarda gelire ve veri sızıntısına veya olası uyumluluk sorunlarına ve para cezalarına yol açabilir. Artık liderlerin her zamankinden daha fazla işlerini düzene koymaları, iç yapılarını gözden geçirmeleri, sistemlerini entegre etmeleri ve operasyonel döngü boyunca tüm verilerin hesaba katıldığından emin olmaları gerekiyor. Ancak o zaman işletmeler, ekipler, sistemler ve iş ortakları arasında veri akışına ilişkin daha fazla bilgi sahibi olacak ve dijital dönüşüm yolculuklarında bir sonraki adımı atabilecektir. Ayrıca, işletmeleri herhangi bir veriyi üçüncü taraflarla paylaşmadan önce risklerini değerlendirme konusunda daha iyi bir konuma getirir.
Doğal olarak kısa vadeli teknoloji harcamalarının artması bekleniyor. Ancak bu boyuttaki dijital dönüşüm programları karmaşık olduğundan ve veri mimarilerini veya sistemlerini yeniden tasarlamaya veya modellemeye devam edemeyecekleri için kuruluşların burada dikkatli olması gerekiyor. Bunun yerine, işletmelerin buna stratejik ve aşamalı bir şekilde yaklaşması gerekiyor; özellikle de çözümleri organizasyonları genelinde ölçeklendirmek ve herhangi bir aksaklığı azaltmak söz konusu olduğunda.
Liderler buna nasıl yaklaşacaklarından veya bu karmaşıklıkta bir dijital değişim programını nasıl uygulayacaklarından emin değilse, işletmelerinin yeni yönergelere bağlı kalmasını sağlamak için uzman tavsiyesi almak en iyi uygulamadır. Yeni veri köprüsü, iş dünyasının geleceğinin gidişatını belirleyen bir dönüm noktasıdır. Kuruluşlar ileride daha fazla mevzuat değişikliği beklemelidir. Veri ortamı sürekli değişiyor. İşletmelerin, ortaya çıkan yeni düzenlemelere yanıt vermek için doğru sistemler ve dijital araçlarla en iyi konumda olduklarından emin olmak için bunu öngörmeleri gerekir.
Charlie Bromley-Griffiths, gelir yaşam döngüsü yönetimi için SaaS uzmanı olan Conga’nın kurumsal danışmanıdır