Günümüz iş dünyasında veriler altın değerinde kabul edilir. Anlamlı veri analizi, tedarik zinciri yönetiminden pazarlamaya kadar işin her alanında değer yaratılmasına yardımcı olur. Veriye dayalı kuruluşlar, daha iyi şeffaflık ve hesap verebilirlikten, sonucu olumlu yönde etkileyen daha iyi karar alma sürecinden ve tutarlı ve sürekli iyileştirmeden yararlanır. Veri güçlü bir araçtır, ancak verileri işleyen şirketler, verilerin kötüye kullanımını önlemek ve hassas kişisel bilgileri korumak için katı veri koruma yasalarına da tabidir. Bu yasalar arasında GDPR en çok bilinen ve diğer yasa ve yönetmelikler için bir model olarak kullanılandır. GDPR temel ilkeleri, kişisel verilerin ne olduğunu, bu verilerin şirketler tarafından nasıl kullanılabileceğini ve kullanılamayacağını belirler.
Table of Contents
GDPR nedir?
Genel Veri Koruma Yönetmeliği anlamına gelen GDPR, vatandaşlarının kişisel verilerini korumak için Avrupa Birliği’nde (AB) 2018’de yüyrlüğe giren ve veri koruma ile ilgili standartları belirleyen bir yasadır. Avrupa’da geçmesine rağmen, dünya çapındaki Avrupa’da faaliyet gösteren şirketleri de etkilemektedir. GDPR, her büyüklükteki şirkete, hem çalışanlardan hem de müşterilerden elde ettikleri bilgilerle yapabileceklerini kısıtlar.
GDPR, hassas olabilecek ve koruma altında olması gereken kişisel verilerin korunmasını sağlar. Bunlara isim, telefon numarası, adres, doğum tarihi, banka hesabı, pasaport numarası, sosyal medya gönderileri, coğrafi etiketleme, sağlık kayıtları, ırk, dini ve siyasi görüşler gibi bilgiler dahildir. GDPR, bir kişinin tanımlanmasına yardımcı olabilecek bu gibi bilgilerin işlenmesini düzenler.
GDPR Temel İlkeleri
GDPR, hukuki terminoloji ile dolu karmaşık bir belgedir, ancak 6 maddelik bir liste halinde GDPR temel ilkelerini özetlemek mümkündür:
Adil veri işleme: Veriler yasal, adil ve şeffaf bir şekilde işlenmelidir. Başka bir deyişle, toplanan veriler toplandığı amaç için kullanılmalıdır. Veri sahibi her zaman hangi verilerin toplandığından ve özellikle ne için kullanılacağından haberdar olmalıdır. Veriler adil ve yasal olarak işlenmelidir.
Amaç sınırlaması ve rıza: Birinci ilkeye bağlı olarak, veri sahibinin rızasıyla toplanan verilerin sınırlı bir amacı olmalı ve yalnızca bu amaçla kullanılmalıdır. Verilerin herhangi bir ek kullanımı yalnızca veri sahibinin açık rızası ile yapılmalıdır.
Minimum veri toplama ve saklama: Veriler bir amaç için toplanır ve yalnızca bu amaç için gerekli olan veriler toplanabilir. Ayrıca, veriler yalnızca ihtiyaç duyulduğu sürece saklanmalıdır.
Tasarım gereği gizlilik: Veri korunmasını proaktif olarak yeni ürün ve sistemlerin tasarımına entegre edilmelidir.
Veri sahibi haklarına saygı: Kullanıcıların verilerine erişim, düzeltme, silme veya aktarım talep etme haklarına saygı gösterilir.
Veri ihlallerinin bildirilmesi: Bir veri ihlali varsa, veri koruma yetkililerinin yanı sıra kullanıcılar da mümkün olan en kısa sürede bilgilendirilmelidir.
Şirketlerin veri toplama ve işleme faaliyetlerini GDPR temel ilkelerine göre gerçekleştirmemesi, büyük para cezalarına çarptırılmalarına ve şirket itibarının toplum nezdinde zedelenmesine neden olabilir.
Türkiye’de Kişisel Verilerin Korunması
Türkiye, kendi veri koruma kanunu olan Kişisel Verilerin Korunması Kanunu‘nu (KVKK) çıkarmıştır. İki düzenleme farklı hukuk sistemlerinde kullanılmasından dolayı farklılıklar gösterirken temel ilkeler aynıdır. KVKK’ya göre veri işlemenin temel ilkeleri aşağıdaki gibidir:
- Yasal ve adil bir şekilde işlenir.
- Doğru ve gerektiğinde güncel tutulur.
- Belirli, açık ve meşru amaçlar için işlenir.
- İşlendikleri amaçlarla ilgili, sınırlı ve orantılıdır.
- İlgili mevzuatla belirlenen süre veya işleme amacıyla gerekli görülen süre boyunca saklanır.
IoT Sistemlerini Uygulamaya Yönelik Hususlar
İşyerlerinde kullanılan nesnelerin interneti (IoT) sistemleri, kişisel verilerin korunmasına ilişkin sorunlar doğurabilir. IoT cihazları büyük hacimlerde veri toplar ve bu verilerin analiz edilmesi ve sonrasında depolanması için ağgeçitlerine aktarır, bu da bu süreci kişisel verilerin korunması açısından çok hassas ve zorlu hale getirir.
IoT cihazlarının işlenecek kişisel verileri toplayabileceğinden, veri işleme faaliyetlerinin çoğu GDPR kapsamına girecektir. Bu nedenle, veri koruma, “tasarım gereği gizlilik” ilkesinin bir parçası olarak tüm IoT sistemlerine dahil edilmelidir. Şeffaflık, adalet, amaç sınırlaması, veri minimizasyonu, veri doğruluğu ve onay kavramları IoT ürününün tasarımına dahil edilmelidir. Tüm bunlar, hesap verebilirlik için şeffaf bir şekilde belgelenmelidir.
Safe Steps tamamen KVKK / GDPR uyumludur ve işlenen tüm verilerin korunması garanti edilir. Giyilebilir cihazlarla toplanan etkileşim verileri ve filyasyon raporlaması için gereken kişisel veriler, kişisel verilerin daha iyi korunması için ayrı sunucularda tutulur. Kişisel verilerin tutulduğu Natro sunucuları, ISO 27001 sertifikalıdır ve uluslararası bilgi güvenliği yönetimi standartlarına uygundur.
Safe Steps hakkında daha fazla bilgi için bizimle iletişime geçin.