GDPR uyumluluğu kontrol listesi – IBM Blogu

Genel Veri Koruma Yönetmeliği (GDPR), kuruluşların veri toplama ve kullanma şeklini düzenleyen bir Avrupa Birliği (AB) yasasıdır. kişisel bilgi. AB'de faaliyet gösteren veya AB'de ikamet edenlerin verilerini işleyen tüm şirketlerin GDPR gerekliliklerine uyması gerekir.

Ancak GDPR uyumluluğu her zaman basit bir konu değildir. Kanun bir takım hususları özetlemektedir veri gizliliği kullanıcılara yönelik haklar ve kişisel verilerin işlenmesine ilişkin bir dizi ilke. Kuruluşların bu hakları ve ilkeleri desteklemesi gerekir, ancak GDPR her şirkete bunun nasıl yapılacağına karar vermesi için biraz alan bırakmaktadır.

Riskler yüksek ve GDPR uyumsuzluk durumunda ciddi cezalar uyguluyor. En ciddi ihlaller, 20,000,000 Euro'ya kadar veya kuruluşun bir önceki yılda dünya çapındaki küresel cirosunun %4'üne kadar para cezasına yol açabilir. GDPR düzenleyicileri ayrıca yasa dışı veri işleme faaliyetlerini sonlandırabilir ve kuruluşları değişiklik yapmaya zorlayabilir.

Aşağıdaki kontrol listesi temel GDPR düzenlemelerini kapsamaktadır. Bir kuruluşun bu düzenlemelere nasıl uyum sağladığı, topladığı veri türleri ve bu verileri nasıl kullandığı da dahil olmak üzere, kendine özgü koşullarına bağlı olacaktır.

GDPR temelleri

GDPR, Avrupa Ekonomik Alanı'nda (AEA) bulunan tüm kuruluşlar için geçerlidir. AEA, 27 AB üye devletinin yanı sıra İzlanda, Lihtenştayn ve Norveç'i de kapsamaktadır.

GDPR ayrıca aşağıdaki durumlarda AEA dışındaki kuruluşlar için de geçerlidir:

• Şirket, para alışverişi yapılmasa bile AEA sakinlerine düzenli olarak ürün veya hizmet sunmaktadır.
• Şirket, izleme çerezleri kullanmak gibi yöntemlerle AEA'da ikamet edenlerin faaliyetlerini düzenli olarak izlemektedir.
• Şirket, verileri AEA'da bulunan bir şirket adına işliyor.

GDPR yalnızca müşteri verilerini ticari amaçlarla kullanan işletmeler için geçerli değildir. Bu, AEA'da ikamet edenlerin verilerini herhangi bir amaçla işleyen neredeyse tüm kuruluşlar için geçerlidir. Okullar, hastaneler ve devlet kurumlarının tümü GDPR yetkisi altındadır.

GDPR'dan muaf olan tek veri işleme faaliyetleri, ulusal güvenlik veya yasa uygulama faaliyetleri ve verilerin tamamen kişisel kullanımlarıdır.

Yararlı tanımlar

GDPR bazı özel terminoloji kullanır. Uyumluluk gereksinimlerini anlamak için kuruluşların bu terimlerin bu bağlamda ne anlama geldiğini anlamaları gerekir.

GDPR tanımlar kişisel bilgi Kimliği belirlenebilir bir insana ilişkin her türlü bilgi. E-posta adreslerinden siyasi görüşlere kadar her şey kişisel veri sayılır.

A veri konusu Verinin sahibi insandır. Başka bir deyişle verinin ilgili olduğu kişidir. Bir şirketin SMS yoluyla pazarlama mesajları göndermek için telefon numaralarını topladığını varsayalım. Bu telefon numaralarının sahipleri veri sahibi olacaktır.

GDPR veri sahiplerini ifade ettiğinde, bu, AEA'da ikamet eden veri sahipleri anlamına gelir. Kişilerin GDPR kapsamında veri gizliliği haklarına sahip olması için AB vatandaşı olması gerekmez. Yalnızca AEA'da ikamet etmeleri gerekiyor.

A veri kontrolü kişisel verileri elde eden ve bunların nasıl kullanılacağını belirleyen herhangi bir kuruluş, grup veya kişidir. Önceki bir örneğe dönecek olursak, pazarlama amacıyla telefon numaralarını toplayan bir şirket kontrolör olacaktır. 

Veri işleme Verilerin toplanması, saklanması veya analiz edilmesi de dahil olmak üzere veriler üzerinde yapılan herhangi bir işlemdir. A veri işlemcisi bu tür eylemleri gerçekleştiren herhangi bir kuruluş veya aktördür.

Bir şirket, hem telefon numaralarını toplayan hem de bunları pazarlama mesajları göndermek için kullanan bir şirket gibi, hem denetleyici hem de işleyici olabilir. İşleyiciler ayrıca, başka bir işletmenin telefon numarası veritabanını barındıran bir bulut depolama hizmeti gibi, denetleyiciler adına verileri işleyen üçüncü tarafları da içerir.

Denetleyici makamlar GDPR gerekliliklerini uygulayan düzenleyici kurumlardır. Her AEA ülkesinin kendi denetleme yetkisi vardır.

Veri güvenliği ve koruma çözümlerini keşfedin

GDPR uyumluluk kontrol listesi

Yüksek düzeyde bir kuruluş aşağıdaki durumlarda GDPR uyumludur:

• Veri işleme ilkelerine uyar
• Veri sahiplerinin haklarını korur
• Uygun veri güvenliği önlemlerini uygular
• Veri aktarımı ve veri paylaşımına ilişkin kurallara uyar

Aşağıdaki kontrol listesi bu gereksinimleri daha ayrıntılı olarak ele almaktadır. Bir kuruluşun bu gereksinimleri karşılamak için attığı pratik adımlar, diğer faktörlerin yanı sıra konumuna, kaynaklarına ve veri işleme faaliyetlerine bağlı olacaktır.

Veri işleme ilkeleri

GDPR, kuruluşların kişisel verileri işlerken uyması gereken bir dizi ilke oluşturur. İlkeler aşağıdaki gibidir.

Kuruluşun verileri işlemek için yasal bir temeli vardır.

GDPR, şirketlerin kişisel verileri yasal olarak işleyebileceği koşulları tanımlar. Bir kuruluş herhangi bir veri toplamadan önce yasal dayanağını oluşturmalı ve belgelemelidir. Kuruluş, veri toplama noktasında bu esası kullanıcılara iletmelidir. Kullanıcının izni olmadığı sürece esası sonradan değiştiremez.

Olası yasal dayanaklar şunları içerir:

• Kuruluşun, verileri işlemek için ilgili kişinin onayına sahip olması. Kullanıcı onayının yalnızca bilgilendirilmiş, olumlu ve özgürce verilmiş olması durumunda geçerli olduğunu unutmayın.
  • Bilgilendirilmiş olur Şirketin hangi verileri topladığını ve bu verileri nasıl kullanacağını açıkça açıklaması anlamına gelir.
  • olumlu onay kullanıcının rızasını göstermek için bir beyanı imzalamak veya bir kutuyu işaretlemek gibi kasıtlı bir eylemde bulunması gerektiği anlamına gelir. Onay varsayılan seçenek olamaz.
  • Özgürce verilen onay Şirketin veri sahibini etkilemeye veya zorlamaya çalışmadığı anlamına gelir. Kişi, rızasını istediği zaman geri çekebilmelidir.

• Kuruluşun verileri işleme konusunda yasal yükümlülüğü vardır.

• Kuruluşun, veri sahibinin veya başka bir kişinin yaşamını korumak için verileri işlemesi gerekmektedir.

• Kuruluş, gazetecilik veya kamu sağlığı gibi kamu çıkarını ilgilendiren nedenlerle veri işliyor.

• Kuruluş, resmi bir işlevi yerine getirmek için verileri işleyen bir kamu kurumudur.

• Kuruluş, meşru bir menfaat sağlamak için verileri işliyor.
  • A meşru menfaat kontrolörün veya başka bir tarafın verileri işleyerek elde edebileceği bir faydadır. Örnekler arasında çalışanların özgeçmiş kontrollerinin yapılması veya şirket ağındaki IP adreslerinin takip edilmesi yer alır. siber güvenlik amaçlar. Meşru menfaat temeli iddiasında bulunmak için kuruluşun, işlemenin gerekli olduğunu ve kişilerin haklarını ihlal etmediğini kanıtlaması gerekir. 

Kuruluş, verileri belirli bir amaç için toplar ve yalnızca bu amaç için kullanır.

GDPR'nin amaç sınırlaması ilkesine göre, kontrolörlerin veri toplamaya yönelik tanımlanmış ve belgelenmiş bir amacı olmalıdır. Kontrolörün bu amacı toplama noktasında kullanıcılara bildirmesi gerekir ve verileri yalnızca belirtilen amaç için kullanabilir.

Kuruluş yalnızca gereken minimum miktarda veri toplar.

Denetleyiciler yalnızca belirtilen amaçları yerine getirmek için gereken minimum miktarda veri toplayabilir.

Kuruluş verileri doğru ve güncel tutar.

Kontrolörler, ellerinde bulundurdukları kişisel verilerin doğru ve güncel olmasını sağlamak için makul adımları atmalıdır. 

Kuruluş, artık ihtiyaç duyulmadığında verileri siler.

GDPR katı veri saklama ve silme politikaları gerektirir. Şirketler verileri yalnızca bu verileri toplamaya yönelik belirtilen amaç yerine getirilene kadar saklayabilir ve artık ihtiyaç duymadıklarında verileri silmeleri gerekir.

Kuruluş, çocuklara ait verileri veya özel kategorideki verileri işlerken ekstra önlemler almaktadır.

Denetleyiciler ve işleyiciler belirli türdeki kişisel verilere ek koruma uygulamalıdır.

Özel kategori veriler, kişinin ırkı ve biyometrisi gibi son derece hassas verileri içerir. Kuruluşlar, özel kategorideki verileri yalnızca ciddi halk sağlığı tehditlerini önlemek gibi çok sınırlı durumlarda işleyebilir. Şirketler, ilgili kişinin açık rızası ile de özel nitelikli verileri işleyebilir.

Ceza mahkumiyet verileri yalnızca kamu otoriteleri tarafından kontrol edilebilir. İşleyiciler bu bilgileri yalnızca bir kamu yetkilisinin talimatıyla işleyebilir.

Denetleyicilerin işleme başlamadan önce ebeveynin onayını alması gerekir çocuk verileri. Deneklerin yaşlarını ve ebeveynlerin kimliklerini doğrulamak için makul adımlar atmalıdırlar. Çocuklardan veri toplanıyorsa veri sorumluları gizlilik bildirimlerini çocuklara uygun bir dilde sunmalıdır.

Her AEA eyaleti, GDPR kapsamında kendi “çocuk” tanımını belirler. Bunlar "13 yaşın altındaki herkes"ten "16 yaşın altındaki herkes"e kadar uzanır. 

Kuruluş tüm veri işleme faaliyetlerini belgelemektedir.

250'den fazla çalışanı olan kuruluşların veri işleme kayıtlarını tutması gerekmektedir. 250'den az çalışanı olan kuruluşların, çok hassas veri işlemesi, veriyi düzenli işlemesi veya veri sahipleri açısından önemli risk oluşturacak şekilde veri işlemesi halinde kayıt tutması gerekmektedir.

Kontrolörlerin topladıkları veriler, bu verilerle ne yaptıkları, veri akış haritaları ve veri korumaları gibi şeyleri belgelemeleri gerekir. İşleyiciler, çalıştıkları denetleyicileri, her denetleyici için yaptıkları işlem türlerini ve kullandıkları güvenlik kontrollerini belgelendirmelidir.

Kontrolör, uyumluluğun sağlanmasından nihai olarak sorumludur. 

GDPR uyarınca, uyumluluğa ilişkin nihai sorumluluk, veriyi kontrol eden kişiye aittir. Bu, denetleyicinin üçüncü taraf işleyicilerinin ilgili tüm GDPR gerekliliklerini karşıladığından emin olması ve bunu kanıtlayabilmesi gerektiği anlamına gelir. 

Veri sahiplerinin hakları

GDPR, veri sahiplerine verileri üzerinde belirli haklar verir. Denetleyiciler ve işleyiciler bu haklara saygı duymalıdır.

Kuruluş, veri sahiplerine haklarını kullanmaları için kolay yollar sunuyor.

Kuruluşlar, veri sahiplerine, verileri üzerindeki haklarını ileri sürebilmeleri için basit bir araç sağlamalıdır. Bu haklar şunları içerir:

• Erişim hakkı: Kişiler kendi verilerinin kopyalarını ve ayrıca şirketin verileri nasıl kullandığına ilişkin bilgileri talep edebilmeli ve alabilmelidir.

• Düzeltme hakkı: Denekler verilerini düzeltebilmeli veya güncelleyebilmelidir.

• Silme hakkı: Kişiler verilerinin silinmesini talep edebilmelidir. 

• İşlemeyi kısıtlama hakkı: Kişiler, verilerin yanlış olduğundan, artık gerekli olmadığından veya kötüye kullanıldığından şüpheleniyorlarsa verilerinin nasıl kullanılacağını kısıtlayabilmelidir. 

• İtiraz hakkı: Kişilerin işlemeye itiraz edebilmesi gerekir. Daha önce onay vermiş olan kişiler, onaylarını istedikleri zaman kolayca geri çekebilmelidir.

• Veri taşınabilirliği hakkı: Kişiler verilerini aktarma hakkına sahiptir ve kontrolörler ile işleyiciler bu aktarımları kolaylaştırmalıdır.

Genel olarak kuruluşların tüm veri sahibi erişim taleplerine 30 gün içinde yanıt vermesi gerekir. Şirket, meşru ve ağır basan bir nedeni olduğunu kanıtlayamadığı sürece, genellikle bir kişinin talebine uymak zorundadır.

Bir kuruluş bir talebi reddederse bunun nedenini açıklamalıdır. Kuruluş ayrıca kişiye, karara şirketin veri koruma yetkilisine veya ilgili denetim makamına nasıl itiraz edebileceğini de anlatmalıdır.

Kuruluş, veri sahiplerine otomatik kararlara itiraz etme yolu sunuyor.

GDPR uyarınca, veri sahipleri, kendileri üzerinde önemli bir etkiye sahip olabilecek otomatik karar alma süreçlerine bağlı kalmama hakkına sahiptir. Buna, GDPR'nin, bir kişinin iş performansını tahmin etmek gibi bazı yönlerini değerlendirmek için otomasyonun kullanılması olarak tanımladığı profil oluşturma da dahildir.

Bir kuruluş otomatikleştirilmiş kararlar kullanıyorsa, veri sahiplerine bu kararlara itiraz edebilmeleri için bir yol sunmalıdır. Denekler ayrıca bir insan çalışanın kendilerini etkileyen otomatik kararları incelemesini talep edebilir.

Kuruluş, kişisel verileri nasıl kullandığı konusunda şeffaftır.

Kontrolörler ve işleyiciler, veri sahiplerini topladıkları veriler, bu verilerle ne yapacakları ve konuların veriler üzerindeki haklarını nasıl kullanabilecekleri dahil olmak üzere veri işleme faaliyetleri hakkında proaktif ve açık bir şekilde bilgilendirmelidir.

Bu bilgiler genellikle veri toplama sırasında kişiye sunulan bir gizlilik bildirimi aracılığıyla iletilmelidir. Şirketin kişisel verileri doğrudan şahıslardan toplamaması halinde, şahıslara bir ay içerisinde gizlilik bildirimlerinin gönderilmesi gerekmektedir. Şirketler ayrıca bu ayrıntıları web sitelerinde kamuya açık olan gizlilik politikalarına da dahil edebilir. 

Veri gizliliği ve koruma önlemleri

GDPR, kontrolörlerin ve işleyicilerin kişisel verilerin kötüye kullanımını önlemek ve veri sahiplerini zarardan korumak için adımlar atmasını gerektirir.

Kuruluş uygun siber güvenlik kontrollerini uygulamıştır.

Denetleyiciler ve işlemciler dağıtılmalıdır güvenlik önlemleri kişisel verilerin gizliliğini ve bütünlüğünü korumak. GDPR herhangi bir özel kontrol gerektirmemektedir ancak şirketlerin hem teknik hem de organizasyonel önlemler alması gerektiğini belirtmektedir.

Teknik önlemler gibi teknoloji çözümlerini içerir. kimlik ve erişim yönetimi (IAM) platformları, otomatik yedeklemeler ve veri güvenliği araçları. GDPR açıkça zorunlu kılmasa da şifreleyerek Veriler için kuruluşların mümkün olan her yerde takma ad kullanma ve anonimleştirme kullanmasını tavsiye eder.

Organizasyon önlemleri devam eden çalışan eğitimini içerir risk değerlendirmesi ve diğer güvenlik politikaları ve süreçleri. Şirketler ayrıca yeni sistem ve ürünler oluştururken veya uygularken tasarım gereği ve varsayılan olarak veri koruma ilkesine uymalıdır.

Kuruluş, gerektiği şekilde veri koruma etki değerlendirmeleri (DPIA'lar) yürütür.

Bir şirket, verileri kişilerin hakları açısından yüksek risk oluşturacak şekilde işlemeyi planlıyorsa öncelikle bir veri koruma etki değerlendirmesi (DPIA) yapmalıdır. DPIA'yı tetikleyebilecek işleme türleri arasında otomatik profil oluşturma ve özel kişisel veri kategorilerinin büyük ölçekli işlenmesi yer alır.

Bir DPIA, kullanılan verileri, amaçlanan işlemeyi ve işlemenin amacını tanımlamalıdır. İşleme risklerini ve bu riskleri azaltmanın yollarını tanımlamalıdır. Azaltılmamış önemli bir risk mevcutsa, kuruluşun ilerlemeden önce bir denetleyici otoriteye danışması gerekir.

Kuruluş, gerekirse bir veri koruma görevlisi (DPO) atamıştır.

Bir kuruluşun, konuları büyük ölçekte izlemesi veya özel kategori verilerini temel bir faaliyet olarak işlemesi durumunda bir veri koruma görevlisi (DPO) ataması gerekir. Tüm kamu yetkililerinin de DPO'lar ataması gerekir.

DPO, kuruluşun GDPR uyumlu kalmasını sağlamaktan sorumludur. Temel görevler arasında veri koruma yetkilileriyle koordinasyon sağlamak, kuruluşa GDPR gereklilikleri konusunda tavsiyelerde bulunmak ve DPIA'ları denetlemek yer alıyor.

DPO, doğrudan en üst düzey yönetime rapor veren bağımsız bir görevli olmalıdır. Kuruluş, görevlerini yerine getirmesi nedeniyle DPO'ya misilleme yapamaz.

Kuruluş, veri ihlalleri meydana geldiğinde denetleyici makamları ve veri sahiplerini bilgilendirir.

Kuruluşların çoğunu raporlaması gerekir kişisel veri ihlalleri 72 saat içinde ilgili denetim makamına iletilir. İhlalin veri sahipleri için risk oluşturması halinde kuruluşun ilgili kişileri de bilgilendirmesi gerekir. Doğrudan iletişimin makul olmadığı durumlar dışında kuruluşlar, deneklere doğrudan bildirimde bulunmalıdır; bu durumda kamuya duyurulması kabul edilebilir.

İhlalden etkilenen işleyiciler, gecikmeden ilgili kontrolörlere bildirimde bulunmalıdır.

Kuruluş, AEA dışında bulunuyorsa, AEA'da bir temsilci atamıştır.

AEA'da ikamet edenlerin verilerini düzenli olarak işleyen veya özellikle hassas verileri işleyen, AEA dışında bulunan herhangi bir şirketin, AEA içinde bir temsilci ataması gerekir. Temsilci, şirket adına devlet yetkilileriyle koordinasyon sağlar ve GDPR uyumluluğu konularında iletişim noktası olarak hareket eder.

Veri aktarımları ve veri paylaşımı

GDPR, kuruluşların kişisel verileri AEA içindeki ve dışındaki diğer şirketlerle nasıl paylaşacağına ilişkin kurallar belirler.

Kuruluş, işleyicilerle ilişkileri yönetmek için resmi veri işleme anlaşmalarını kullanır.

Bir kontrolör, kişisel verileri işleyiciler ve diğer üçüncü taraflarla paylaşabilir ancak bu ilişkilerin resmi veri işleme anlaşmalarına tabi olması gerekir. Bu anlaşmalar, tüm tarafların GDPR'ye ilişkin hak ve sorumluluklarını özetlemelidir.

Üçüncü taraf işlemciler verileri yalnızca denetleyicinin talimatlarına göre işleyebilir. Bir denetleyicinin verilerini kendi amaçları için kullanamazlar. Bir işleyicinin, verileri bir alt işleyiciyle paylaşmadan önce denetleyiciden onay alması gerekir.

Kuruluş yalnızca AEA dışına onaylı veri aktarımları gerçekleştirir.

Bir kontrolör, yalnızca veri aktarımının aşağıdaki kriterlerden en az birini karşılaması durumunda AEA dışında bulunan bir üçüncü tarafla veri paylaşabilir:

• Avrupa Komisyonu, üçüncü tarafın bulunduğu ülkenin veri gizliliği yasalarını yeterli görmüştür.
• Avrupa Komisyonu, üçüncü tarafın yeterli veri koruma politikalarına ve kontrollerine sahip olduğunu kabul etmiştir.
• Kontrolör, aktarılan verilerin güvenliğini ve gizliliğini sağlamak için gerekli tüm adımları atmıştır.

GDPR uyumluluğu çözümlerini keşfedin

GDPR uyumluluğu devam eden bir süreçtir ve bir kuruluşun gereksinimleri, yeni veriler topladıkça ve yeni türde işleme faaliyetlerine giriştikçe değişebilir.

IBM Security® Guardium® gibi veri güvenliği ve uyumluluk çözümleri, GDPR uyumluluğuna ulaşma ve bunu sürdürme sürecini kolaylaştırmaya yardımcı olabilir. Guardium, GDPR tarafından düzenlenen verileri otomatik olarak keşfedebilir, bu veriler için uyumluluk kurallarını uygulayabilir, veri kullanımını izleyebilir ve kuruluşların veri güvenliğine yönelik tehditlere yanıt vermesini sağlayabilir.

IBM'in veri güvenliği ve uyumluluk ürünleri paketi hakkında daha fazla bilgi edinin.