Mayıs 2016'dan bu yana yürürlükte olan ve Mayıs 2018'den bu yana uygulanmakta olan AB Genel Veri Koruma Yönetmeliği (GDPR) pek çok şirketi hala merakta bırakıyor: Yasal kesinliğe nasıl ulaşabiliriz? Veri koruma uyumluluğu için ne yapabiliriz? 

Loading...

Mayıs 2018'den bu yana, kişisel verileri işleyen şirketler - ki bunların sayısı oldukça fazla - olası bir durumda ağır bir ceza ödemeye hazırlıklı olmak zorunda. Veri ihlalleri için verilen cezalar önemli olabilir. Ve bu durum, yeni GDPR'ın gerekliliklerine tam olarak uyulmaması halinde her zaman geçerlidir. Buna ek olarak, Alman Federal Veri Koruma Yasası'nın (BDSG) yeni versiyonu GDPR'ı tamamlamakta ve doğrulamaktadır. Ancak burada belirsizlik her yerde hüküm sürmektedir:

  • "Kişisel veri" nedir?
  • GDPR'a göre "sorumlu bir kuruluş" muyuz?
  • "Veri sahibi" kimdir?
  • Kişisel verilerin "otomatik olarak işlenmesi" tam olarak ne anlama geliyor?
  • Bir veri koruma görevlisi atamamız gerekiyor mu?

 

Hangi önlemler uygulanmalıdır?

Ele alınması gereken veri koruma uyum sorularının listesi uzundur.

Yönetmelikte kullanılan terimlerin tanımlarının SSS listelerinde bulunabileceği doğrudur. Ancak bu, her bir şirket için somut önemi bakımından netliği garanti etmez. En geç, gerekli (çünkü gerekli) önlemlerin ve görevlerin çalışanlar tarafından uygulanması ve uyulması beklenirken, örneğin bu tür soruların doğru cevapları olmalıdır:

  • "Teknik-organizasyonel önlemler" nelerdir?
  • Ne zaman gereklidirler?
  • "Orantılılık" ne olacak?
  • GDPR'ın gerektirdiği "erişim veya ifşa kontrolleri" gibi birçok "kontrol" ne olacak?
  • Veri koruma uyumluluğu nasıl sağlanabilir?

Veri koruma ve bilgi güvenliği

Her durumda, etkilenen bir şirket için atılacak doğru adım, etkili bir ISO 27701 veri̇ koruma yöneti̇m si̇stemi̇ - gerekirse akredite sertifikasyon amacıyla bireysel ihtiyaçlarına göre uyarlanmıştır.

Burada sıklıkla karıştırılan şey: Veri koruma ve bilgi güvenliği, çakışmalar olsa bile (örneğin, çeşitli kontrol önlemleri) iki çift ayakkabıdır. Örneğin, aşağıdakilere uygun olarak tam kapsamlı bir bilgi güvenliği yönetim sistemine (ISMS) sahip olan şirketler ISO 27001 veri koruma konusunu belirli bir ölçüde kapsamaktadır.

Ancak burada bile, bir gap analizi kullanılarak BGYS ile veya BGYS olmadan ortaya çıkarılabilecek ve kapatılabilecek bir delta kalmaktadır.

"İki konu arasındaki temel fark: Bilgi güvenliği bir şirketin verilerini üçüncü tarafların kötüye kullanımına karşı korur; veri koruma ise kişisel verileri korumayı amaçlar."

Ağustos 2019'da ISO 27701 Bilgi güvenliği yönetiminde veri koruma gereksinimlerini formüle eden yeni bir standart yayınlandı. ISO 27701 böylece ISO 27001, ISO 27002 (bilgi güvenliği önlemleri için kılavuz) ve ISO 29100'e (veri koruma çerçevesi) dayalı bir veri koruma yönetim sistemini belirler. ISO 27701, ISO 27001'in bir tamamlayıcısıdır. Tek başına yeni standarda göre belgelendirme mümkün değildir.

 

Veri koruma uyumluluğu - Faydalar

Avantajlarınız:

  • Eylem alanları hakkında güvenilir bilgi
  • Gizli potansiyel hakkında bilgi
  • Uygun önlemler uygulandıktan sonra verilerin işlenmesinde daha fazla eylem güvenliği ve yasal kesinlik

 

DQS tarafından gerçekleştirilen bir veri koruma denetimi ile güvenlik

Bu nedenle veri koruma alanında uyumluluk sağlamaya çalışan şirketler iki şey yapmalıdır: Kendilerini veya uyum görevlilerini mümkün olan en kısa sürede konuya adapte etmek ve mevcut durumun DQS gibi bağımsız bir kuruluş tarafından bir gap analizi şeklinde belirlenmesini sağlamak.

Böyle bir veri koruma denetiminin odak noktası, döküman incelemesi ile bir öz değerlendirmedir. Daha sonra şirket, temel veri koruma hususlarına uyup uymadığını belirlemek için yerinde kontrol edilir. Nihai rapor, eyleme ihtiyaç olup olmadığını ve varsa hangi eylemin gerekli olduğunu gösterir.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Veri koruma gap analizi

GAP analizi için ne kadar çalışma yapmanız gerekiyor ve size hangi faydalar sağlar? Ücretsiz ve yükümlülük altına girmeden öğrenin.

Yazar
Gert Krueger

DQS'te bilgi güvenliği, BSI-KritisV ve veri koruması için uzman ve proje yöneticisi. Ayrıca, kalite ve çevre yönetimi alanında uzun yıllardır denetçi.

Loading...