Avrupa Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018’dan bu yana yürürlükte. Bilgi güvenliği kuruluşu ESET’in edindiği bilgiye göre 8 aylık süreçte Avrupa çapında 95 binden fazla şikayet bildirildi. En büyük şikayet konusu ise telefon üzerinden yapılan pazarlama faaliyetleri oldu. En dikkat çekici ceza ise 50 milyon Euro ile Google’a kesildi.
Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik ve ilgili uygulamalar, sadece Türkiye’de değil; ABD, Japonya ve Çin gibi ülkeler tarafından da dikkatle takip ediliyor.
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. Bu nedenle GDPR ile ilgili gelişmeler, bilgi güvenliği kuruluşu ESET ve Avrupa’da bu yönde hizmet sağlayan tüm kuruluşlar tarafından da dikkatle izleniyor.
Şüpheli GDPR ihlalleri 95.000'den fazla şikayete neden oldu
Avrupa Komisyonu üyeleri, Mayıs 2018’de yürürlüğe giren yönetmelikle ilgili 8 aylık güncel verileri paylaştı. Buna göre, Avrupa Birliği vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındığı duyuruldu.
Yetkililer genel olarak yeni gizlilik kurallarının olumlu etkilerine övgüde bulunarak, AB vatandaşlarının veri koruma ve diğer haklarının önemi konusunda daha bilinçli hale gelmelerinin yanı sıra, aynı zamanda bu haklarını kullandıklarını da belirttiler. Açıklamada "küresel bir standart haline gelen dünyadaki en güçlü ve en modern veri koruma kuralları" vurgusu yapıldı.
Telemarketing ve tanıtım amaçlı e-posta
Avrupa genelinde GDPR uygulamalarını denetleyen Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan verilere göre şikayetler çoğunlukla telefon üzerinden yapılan pazarlama faaliyetlerinden (tele pazarlama) geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve video kayıt gibi faaliyetler izledi.
Kurumlardan 41 bin şikayet
Sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
255 soruşturma açıldı
Bununla birlikte, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı. Üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon Euro para cezası vermesi oldu. Teknoloji devi, bu karara itiraz edeceğini duyurdu.
Bazı ülkelerde yerel kanunlar henüz uyumlu değil
Bunun dışında, Avrupa Birliği'nin yönetim kanadı tarafından aralarında Bulgaristan, Çek Cumhuriyeti, Portekiz, Slovenya ve Yunanistan'ın yer aldığı beş AB üyesi ülkenin henüz yerel kanunlarını GDPR gereksinimleriyle uyumlu hale getiremediklerine dikkat çekildi.
Konu Türk şirketlerini de ilgilendiriyor
GDPR, Avrupa Birliği içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. Bu noktada GDPR ile ilgili önlemler konusunda ESET'in Türkçe olarak hazırladığı bir özel bilgilendirme sayfası da bulunuyor:
https://www.eset.com/tr/business/kvkk/
GDPR’ın son durumuyla ilgili bilgi grafiğine şu linkten ulaşmak mümkün:
https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
Konuyla ilgili orijinal makaleyi şu linkten okuyabilirsiniz:
https://www.welivesecurity.com/2019/01/28/suspected-gdpr-violations-prompt-95000-complaints/