Türkiye’nin e-ihracatında önemli bir ağırlığa sahip olan AB bünyesinde uygulamaya başlanacak olan AB Genel Veri Koruma Yönetmeliği (EU GDPR) 25 Mayıs 2018 Cuma gününden itibaren yürürlüğe giriyor. Oldukça kesin düzenlemeler getiren GDPR, kişisel veriler konusunda gerektiği şekilde hareket etmeyen şirketlere yıllık cironun yüzde 4’üne veya 20 milyon Euro’ya varan ağır cezalar da getiriyor.
AB’nin kişisel verilerin korumasına yönelik olarak son yıllarda yaptığı en büyük reformlardan biri olarak gösterilen GDPR, getirdiği düzenlemeler nedeniyle Avrupa Birliği ülkelerine e-ihracat yapan şirketleri yakından ilgilendiriyor.
GDPR’ye uymayanlar 20 milyon Euro’ya kadar cezalarla karşılaşabilir
B2CDirect CEO’su Yusuf İbili yeni düzenlemenin çok kesin hatlara sahip olduğunu hatırlatarak şu noktalara dikkat çekiyor: “Yeni yönetmelik kullanıcıyı merkeze alarak oluşturulduğu için, içinde bulunan tüm maddeler tamamen kullanıcı açısından konuya bakarak şirketlerin atması gereken adımları tespit ediyor. GDPR’da kullanıcı, ‘ilgili kişi’ olarak tanımlanıyor. Herkesin kendi kişisel verilerinin sahibi olduğu merkeze alınarak oluşturulan bu yönetmelik, şirketlere de bu bağlamda önemli sınırlamalar ve kısıtlamalar getiriyor. Bunu dikkate almayan şirketler önemli cezalar ödemek durumunda kalabilir. Türkiye’den AB ülkelerine hizmet veya mal satışı yapan şirketler, GDPR ihlalleri sebebiyle 20 milyon Euro’ya varan cezalarla karşılaşabilir.”
GDPR düzenlemesinde dikkat çeken 5 önemli nokta
Eğer e-ihracat yoluyla AB’ye hizmet veya mal satışı yapan bir şirketiniz varsa, GDPR uygulamasına uygunluğunuzu mutlaka gözden geçirmenizde fayda var. Yusuf İbili’ye göre GDPR yönetmeliğine uyum sağlamak için şirketlerin mutlaka dikkate alması gereken 5 temel nokta şu şekilde sıralanıyor:
1- Geniş Yetki Alanı: Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin nerede bulunduğu fark etmeksizin GDPR uyumluluğu aranacak. Örneğin, Türkiye merkezli e-ticaret sayfanızdan, Almanya’daki müşterinize satış yapmadan öncesi ve sonrasındaki tüm adımlarda, topladığınız bütün veriler için GDPR uyumluluğu aranacak. (E-posta üyelik, SMS bildirimi, web sitesi izleme ve takip araçları, vb.)
2- Yüksek Cezalar: GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.
3- İzin Almak: Kullanıcıdan kişisel bilgiler istenirken, net ve kolayca anlaşılır bir şekilde onay istenmeli ve bu süreç diğer işlemlerden ya da konulardan ayırt edilebilecek şekilde oluşturulmalı. Kullanıcı vazgeçtiği zaman, daha önceden vermiş olduğu onayı kolaylıkla ve hızla iptal edebilmeli. Buna ek olarak, şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan kişisel verileri talep edebileceklerdir. Örneğin, e-posta, SMS veya uygulama içi bildirimler gibi çok net ve görünür şekilde yönetilebilir olmalıdır. Dileyen kullanıcı basit şekilde bildirimleri kapatabilmelidir.
4- İhlal Bildirimleri: İhlal bildirimleri zorunlu olacaktır. Yeni düzenlemeye göre kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde bildirim işlemini tamamlaması gerekiyor. Örneğin, veritabanına bir sızma olduğu tespit edilirse, 72 saat içerisinde etkilenen kullanıcılar tespit edilmeli, bu kişiler net ve şeffaf şekilde ihlale yönelik bilgilendirilmeli ve çözüm yolları aktarılmalıdır.
5- Gizlilik: Yeni yönetmelik, veri koruma işlevinin sistemler tasarlanırken daha en baştan işleyişe ve sürece dahil edilmesini, sonradan ekleme yoluyla uygulanmaması şartını da beraberinde getiriyor. Bu nedenle şirketlerin sistemlerini daha ilk günden itibaren yeni yönetmelikle uyumlu olarak tasarlamaları gerekiyor.
Avrupa Birliği ile iş yapan tüm şirketlerin konuya hassasiyetle ve ivedi bir şekilde eğilmesi gerektiğini belirten B2CDirect’in CEO’su Yusuf İbili, yeni düzenlemenin yalnızca birkaç gün içinde yürürlüğe gireceğini hatırlatıyor: “Şirketlerin müşterilerine ve ilgili kişilere ait bilgileri toplaması, saklaması ve işlemesi için, öncelikle bu bilgilerin hangi amaç için ve ne maksatla talep edildiğinin açık bir şekilde belirtilmesi gerekiyor. Eğer amaç değişirse, ilgili kişiden mutlaka yeniden muvaffakiyet alınması şart koşuluyor. Bu yüzden, AB ile ticari ilişkisi bulunan tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacaklarıyla ilgili sıkı bir inceleme yapmasını öneriyoruz. İlgili prosedürlerinin anlaşılır olmasını, hiçbir açık bulunmamasını ve AB’nin yenilenen GDPR düzenlemesiyle birebir uyumlu olup olmadığını çok titiz ve dikkatli bir şekilde kontrol etmeliler. Üstelik bunu çok hızlı bir şekilde, ivedilikle yapmalılar, çünkü yönetmelik 25 Mayıs 2018 tarihinden itibaren yürürlükte olacak. Aksi takdirde şirketler çok ciddi yaptırımlarla karşı karşıya kalabilirler.”
GDPR sizin şirketinizi de etkileyecek mi?
GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de Avrupa Birliği dışındaki şirketler için geçerli. AB vatandaşlarına mal veya hizmet sunan ya da davranışlarını izleyen tüm şirketler GDPR’nin düzenlemelerinden etkileniyor. GDRP uygulaması, hem denetleyiciler hem de işleyiciler için geçerli bir düzenleme olduğundan dolayı oldukça geniş bir etki alanına sahip bulunuyor.
GDPR uyumluluğu için ne yapmak gerekiyor?
Yusuf İbili, GDPR uyumluluğu için şirketlerin atması gereken öncelikli adımları şu şekilde sıralıyor: “Öncelikle rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini GDPR şartlarına göre değerlendirmek ve gerekiyorsa revize etmek gerekir. Bunun dışında şirket çalışanlarının bu konuda eğitim almaları da çok faydalı olacaktır. Şirket yöneticilerinin, ilgili ekiplerinin GDPR konusundaki bilgilerinin tam ve eksiksiz olduğundan emin olmaları gerekir. Öte yandan, yapılan ve yapılacak her işlemin ya da sürecin uygun bir şekilde belgelendirilmesi de gerekir. Bu belgelendirme işleminin GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirilmesi önemlidir.”