Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği'nin dönüm noktası veri gizliliği yasa 2018'de yürürlüğe girdi. Ancak birçok kuruluş hâlâ uyumluluk gerekliliklerini yerine getirmekte zorlanıyor ve AB veri koruma yetkilileri ceza vermekten çekinmiyor.

Dünyanın en büyük işletmeleri bile GDPR sorunlarından muaf değil. İrlandalı düzenleyiciler Meta'ya 1.2 milyar euro para cezası 2023'te. İtalyan yetkililer OpenAI'yi araştırmak şüpheli ihlaller için, hatta ChatGPT'yi kısaca yasaklayacak kadar ileri gidiyor.

Pek çok işletme, kanunun karmaşık olmasının yanı sıra pek çok şeyi takdir yetkisine bırakması nedeniyle GDPR gerekliliklerini uygulamada zorluk yaşıyor. GDPR, Avrupa içindeki ve dışındaki kuruluşların AB sakinlerinin kişisel verilerini nasıl ele alacağına ilişkin bir dizi kural ortaya koyuyor. Ancak işletmelere bu kuralları nasıl uygulayacakları konusunda bir miktar hareket alanı sağlıyor.

Herhangi bir kuruluşun tamamen GDPR uyumlu olma planının ayrıntıları, kuruluşun topladığı verilere ve bu verilerle ne yaptığına bağlı olarak değişiklik gösterecektir. Bununla birlikte, GDPR'yi uygularken tüm şirketlerin atabileceği bazı temel adımlar vardır: 

• Kişisel verilerin envanterini çıkarın
• Özel kategori verilerini tanımlayın ve koruyun 
• Veri işleme faaliyetlerini denetleyin
• Kullanıcı onay formlarını güncelleyin  
• Bir kayıt tutma sistemi oluşturun
• Uyumluluk liderlerini belirleyin
• Veri gizliliği politikası taslağı hazırlayın
• Üçüncü taraf iş ortaklarının uyumlu olduğundan emin olun
• Veri koruma etki değerlendirmeleri için bir süreç oluşturun
• Bir veri ihlali müdahale planı uygulayın
• Veri sahiplerinin haklarını kullanmasını kolaylaştırın
• Bilgileri dağıtma güvenlik önlemleri

GDPR'yi uygulamam gerekiyor mu? 

GDPR, verileri işleyen tüm kuruluşlar için geçerlidir. kişisel bilgi Kuruluşun merkezi nerede olursa olsun, Avrupalı ​​vatandaşların oranı. Dijital ekonominin birbirine bağlı ve uluslararası doğası göz önüne alındığında, bugün pek çok, hatta belki de çoğu işletmeyi kapsamaktadır. GDPR'nin kapsamına girmeyen kuruluşlar bile veri korumasını güçlendirmeye yönelik gereklilikleri benimseyebilir.

Daha spesifik olarak, GDPR, Avrupa Ekonomik Alanı'nda (AEA) bulunan tüm veri denetleyicileri ve veri işleyicileri için geçerlidir. AEA, 27 AB üye ülkesinin tamamının yanı sıra İzlanda, Lihtenştayn ve Norveç'i de kapsamaktadır. 

A veri kontrolü kişisel verileri toplayan ve bunların nasıl kullanılacağını belirleyen herhangi bir kuruluş, grup veya kişidir. Düşünün: sipariş güncellemelerini göndermek için müşterilerin e-posta adreslerini saklayan çevrimiçi bir perakendeci.

A veri işlemcisi veri işleme faaliyetlerini yürüten herhangi bir kuruluş veya gruptur. GDPR, "işlemeyi" genel olarak veriler üzerinde gerçekleştirilen herhangi bir eylem olarak tanımlar: verileri depolamak, analiz etmek, değiştirmek vb. İşleyiciler, bir işletmenin temel müşteri demografisini anlamasına yardımcı olmak için kullanıcı verilerini analiz eden bir pazarlama firması gibi, kişisel verileri bir denetleyici adına işleyen üçüncü tarafları içerir.

GDPR ayrıca aşağıdaki koşullardan en az birini karşılamaları durumunda AEA dışında bulunan kontrolörler ve işleyiciler için de geçerlidir: 

• Şirket, hiçbir para el değiştirmese bile AEA sakinlerine düzenli olarak ürün ve hizmetler sunmaktadır.
• Şirket, izleme çerezleri kullanmak gibi yöntemlerle AEA'da ikamet edenlerin faaliyetlerini düzenli olarak izlemektedir. 
• Şirket, kişisel verileri AEA'daki kontrolörler adına işler. 
• Şirketin AEA'da çalışanları bulunmaktadır.

GDPR'nin kapsamı hakkında dikkat edilmesi gereken birkaç nokta daha var. Birincisi, yalnızca gerçek kişilerin kişisel verileri olarak da adlandırılan kişisel verilerle ilgilidir. veri konular GDPR tabiriyle. A doğal insan yaşayan bir insandır. GDPR, şirketler gibi tüzel kişilerin veya ölen kişilerin verilerini korumaz.

İkincisi, bir kişinin GDPR korumasına sahip olması için AB vatandaşı olmasına gerek yok. Yalnızca AEA'nın resmi sakini olmaları yeterlidir.

Son olarak GDPR, kişisel verilerin ticari, akademik, resmi ve diğer herhangi bir nedenle işlenmesi için geçerlidir. İşletmeler, hastaneler, okullar ve kamu yetkililerinin tümü GDPR'ye tabidir. GDPR'dan muaf olan tek işleme faaliyetleri, ulusal güvenlik ve yasa uygulama faaliyetleri ile verilerin tamamen kişisel kullanımlarıdır.

GDPR uygulama adımları 

Herkese uygun tek bir GDPR uyumluluk planı yoktur ancak kuruluşların GDPR uygulama çabalarına rehberlik etmek için kullanabileceği bazı temel uygulamalar vardır.

Temel GDPR gerekliliklerinin bir listesi için bkz. GDPR uyumluluk kontrol listesi. 

Kişisel verilerin envanterini çıkarın  

GDPR açıkça bir veri envanteri gerektirmese de birçok kuruluş iki nedenden dolayı buradan başlıyor. Öncelikle şirketin hangi verilere sahip olduğunu ve bunların nasıl işlendiğini bilmek, kuruluşun uyumluluk yüklerini daha iyi anlamasına yardımcı olur. Örneğin, kullanıcı sağlığı verilerini toplayan bir işletmenin, yalnızca e-posta adreslerini toplayan bir işletmeye göre daha güçlü korumaya ihtiyacı vardır.

İkincisi, kapsamlı bir envanter, kullanıcıların verilerini paylaşma, güncelleme veya silme isteklerine uymayı kolaylaştırır. 

Bir veri envanteri aşağıdaki gibi ayrıntıları kaydedebilir:

• Toplanan veri türleri (kullanıcı adları, tarama verileri)
• Veri popülasyonları (müşteriler, çalışanlar, öğrenciler)
• Veriler nasıl toplanır (etkinlik kayıtları, açılış sayfaları)
• Verilerin depolandığı yer (şirket içi sunucular, bulut hizmetleri)
• Veri toplamanın amacı (pazarlama kampanyaları, davranış analizi)
• Veriler nasıl işlenir (otomatik puanlama, toplama)
• Verilere kimin erişimi var (çalışanlar, satıcılar)
• Mevcut korumalar (şifreleme, çok faktörlü kimlik doğrulama) 

Kuruluşun ağı boyunca çeşitli iş akışlarına, veritabanlarına, uç noktalara ve hatta dağılmış olan kişisel verilerin izini sürmek zor olabilir. gölge BT varlıkları. Veri envanterlerini daha yönetilebilir hale getirmek için kuruluşlar, verileri otomatik olarak keşfedip sınıflandıran veri koruma çözümlerini kullanmayı düşünebilir. 

IBM Guardium® Data Protection'ın AWS, DBaaS ve şirket içi anabilgisayarlar gibi büyük veri havuzlarında hassas verileri nasıl otomatik olarak keşfettiğini, sınıflandırdığını ve koruduğunu öğrenin.

Özel kategori verilerini tanımlayın ve koruyun 

Verilerin envanterini çıkarırken kuruluşlar, ekstra koruma gerektiren özellikle hassas verileri not etmelidir. GDPR, özellikle üç tür veri için ek önlemler alınmasını zorunlu kılmaktadır: özel kategori verileri, ceza mahkumiyeti verileri ve çocuklara ait veriler.  

• Özel kategori verileri biyometri, sağlık kayıtları, ırk, etnik köken ve diğer son derece kişisel bilgileri içerir. Kuruluşların özel kategori verilerini işlemek için genellikle kullanıcının açık iznine ihtiyacı vardır. 

• Ceza mahkumiyet verileri yalnızca kamu yetkilileri tarafından kontrol edilebilir ve onların talimatı doğrultusunda işlenebilir. 

• Çocuk verileri ebeveynlerin izni olmadan işlenemez ve kuruluşların, veri sahiplerinin yaşlarını ve ebeveynlerinin kimliklerini doğrulayacak mekanizmalara ihtiyacı vardır. Her AEA eyaleti, GDPR kapsamında kendi “çocuk” tanımını belirler. Kesintiler 13 yaş altı ile 16 yaş altı arasında değişmektedir. Şirketler bu değişen tanımlara uymaya hazırlıklı olmalıdır. 

Veri işleme faaliyetlerini denetleyin 

Veri envanteri sırasında kuruluşlar, verilerin geçirdiği tüm işleme operasyonlarını kaydeder. Daha sonra kuruluşlar bu operasyonların GDPR işleme kurallarına uygun olmasını sağlamalıdır. En önemli GDPR ilkelerinden bazıları şunlardır:

• Tüm işlemlerin yerleşik bir yasal dayanağı olmalıdır: Veri işleme yalnızca kuruluşun söz konusu işleme için onaylanmış bir yasal dayanağı olması durumunda kabul edilebilir. Ortak yasal dayanaklar arasında kullanıcı onayının alınması, kullanıcıyla bir sözleşmenin yürütülmesi için verilerin işlenmesi ve verilerin kamu yararına işlenmesi yer alır. Kuruluşlar, başlamadan önce her işleme işleminin yasal dayanağını belgelendirmelidir.

Onaylanmış yasal dayanakların tam listesi için bkz. GDPR uyumluluk sayfası.

• Amaç sınırlaması: Veriler özel olarak tanımlanmış bir amaç için toplanmalı ve kullanılmalıdır. 

• Veri minimizasyonu: Kuruluşlar, belirlenen amaçlar için gerekli olan minimum miktarda veri toplamalıdır. 

• Doğruluk: Kuruluşlar topladıkları verilerin doğru ve güncel olmasını sağlamalıdır. 

• Depolama alanı sınırlaması: Kuruluşlar, amacına ulaşır ulaşmaz verileri güvenli bir şekilde imha etmelidir. 

GDPR işleme ilkelerinin tam listesi için bkz. GDPR uyumluluk kontrol listesi.

Kullanıcı onay formlarını güncelleyin  

Kullanıcı onayı, işleme için ortak bir yasal dayanaktır. Ancak, GDPR uyarınca onay yalnızca bilgilendirilmiş, olumlu ve özgürce verilmiş olması durumunda geçerlidir. Kuruluşların bu gereksinimleri karşılamak için onay formlarını güncellemesi gerekebilir.

• Onamın bilgilendirilmesini sağlamak için kuruluş, veri toplama noktasında ne topladığını ve bu verileri nasıl kullanacağını açıkça açıklamalıdır.

• Onayın olumlu olmasını sağlamak için kuruluşlar, kullanıcıların aktif olarak bir kutuyu işaretlemesi veya onay sinyali vermek için bir beyanı imzalaması gereken bir katılım yaklaşımını benimsemelidir. Onaylar da paketlenemez. Kullanıcılar her bir işleme faaliyetini ayrı ayrı kabul etmelidir.  

• Onayın ücretsiz olmasını sağlamak için kuruluşlar yalnızca bir hizmetin gerçekten ayrılmaz bir parçası olan veri işleme faaliyetleri için onay isteyebilir. Başka bir deyişle bir işletme, kullanıcıları tişört satın almaları için siyasi görüşlerini açıklamaya zorlayamaz. Kullanıcılar onaylarını istedikleri zaman iptal edebilmelidir.  

Bir kayıt tutma sistemi oluşturun 

250'den fazla çalışanı olan kuruluşlar ve düzenli olarak veri işleyen veya yüksek riskli verileri işleyen her büyüklükteki şirket, işleme faaliyetlerine ilişkin yazılı elektronik kayıtlar tutmalıdır. 

Ancak tüm kuruluşlar bu tür kayıtları tutmak isteyebilir. Bu yalnızca gizlilik ve güvenlik çabalarının izlenmesine yardımcı olmakla kalmaz, aynı zamanda bir denetim veya ihlal meydana gelmesi durumunda uyumluluğu da gösterebilir. Şirketler, kurallara uymak için iyi niyetle çaba gösterdiklerini kanıtlamaları halinde cezaları azaltabilir veya cezalardan kaçınabilir.  

Veri denetleyicileri, GDPR onları ortaklarının ve tedarikçilerinin uyumluluğu konusunda sorumlu tuttuğundan özellikle sağlam kayıtlar tutmak isteyebilir. 

GDPR uyumluluk liderlerini belirleyin  

Özel kategori verilerini düzenli olarak işleyen veya konuları geniş ölçekte izleyen tüm kamu otoriteleri ve kuruluşlar, bir yetkili görevlendirmek zorundadır. veri koruma görevlisi (DPO). DPO, GDPR uyumluluğundan sorumlu bağımsız bir kurumsal yetkilidir. Ortak sorumluluklar arasında risk değerlendirmelerinin denetlenmesi, çalışanların veri koruma ilkeleri konusunda eğitilmesi ve devlet yetkilileriyle birlikte çalışılması yer alır.

Yalnızca bazı kuruluşların DPO ataması gerekli olsa da, hepsi bunu yapmayı düşünebilir. Belirlenmiş bir GDPR uyumluluk liderine sahip olmak, uygulamayı kolaylaştırmaya yardımcı olabilir.

DPO'lar bir işletmenin çalışanları veya hizmetlerini sözleşmeyle sunan harici danışmanlar olabilir. DPO'lar doğrudan en üst düzey yönetime rapor vermelidir. Şirket, görevlerini yerine getirdiği için DPO'ya misilleme yapamaz. 

AEA dışındaki kuruluşların, AEA'da ikamet edenlerin verilerini düzenli olarak işlemeleri veya son derece hassas verileri işlemeleri durumunda, AEA içinde bir temsilci atamaları gerekir. AEA temsilcisi Asıl görevi, soruşturmalar sırasında şirket adına veri koruma yetkilileriyle koordinasyon sağlamaktır. Temsilci bir çalışan, bağlı bir şirket veya kiralanan bir hizmet olabilir. 

DPO ve AEA temsilcisi farklı sorumluluklara sahip farklı rollerdir. Özellikle temsilci kuruluşun talimatı doğrultusunda hareket ederken, DPO'nun bağımsız bir görevli olması gerekir. Bir organizasyon bir partiyi atayamazsınız hem DPO hem de AEA temsilcisi olarak görev yapmak.

Bir kuruluş birden fazla AEA eyaletinde faaliyet gösteriyorsa, bir baş denetim otoritesi. Baş denetim makamı, söz konusu şirketin Avrupa genelinde GDPR uyumluluğunu denetleyen ana veri koruma makamıdır (DPA). 

Tipik olarak baş denetim makamı, kuruluşun genel merkezinin bulunduğu veya temel işleme faaliyetlerini yürüttüğü üye devletteki DPA'dır. 

Veri gizliliği politikası taslağı hazırlayın 

GDPR, kuruluşların insanları verilerini nasıl kullandıkları konusunda bilgilendirmelerini gerektirir. Şirketler, şirketin topladıklarını, saklama ve silme politikalarını, kullanıcı haklarını ve diğer ilgili ayrıntıları içeren, işleme faaliyetlerini açıkça tanımlayan gizlilik politikaları taslağı hazırlayarak bu gereksinimi karşılayabilir.

Gizlilik politikaları herkesin anlayabileceği sade bir dil kullanmalıdır. Önemli bilgilerin yoğun bir jargonun arkasına saklanması GDPR'yi ihlal edebilir. Kuruluşlar veri toplama noktasında gizlilik bildirimlerini paylaşarak kullanıcıların politikalarını görmelerini sağlayabilirler. Kuruluşlar ayrıca gizlilik politikalarını web sitelerindeki herkese açık, bulunması kolay sayfalarda da barındırabilirler. 

Üçüncü taraf iş ortaklarının uyumlu olduğundan emin olun 

Veri sorumluları, işleyicilerinin, satıcılarının ve diğer üçüncü tarafların bu verileri nasıl kullandıkları da dahil olmak üzere, topladıkları kişisel verilerden nihai olarak sorumludur. Ortakların kurallara uymaması durumunda kontrolörler cezalandırılabilir. 

Kuruluşlar, verilerine erişimi olan üçüncü taraflarla olan sözleşmelerini gözden geçirmelidir. Bu sözleşmeler, tüm tarafların GDPR'ye ilişkin hak ve sorumluluklarını yasal olarak bağlayıcı bir şekilde açıkça belirtmelidir.

Bir kuruluş AEA dışındaki işleyicilerle çalışıyorsa bu işleyicilerin yine de GDPR gerekliliklerini karşılaması gerekir. Aslında AEA dışına yapılan veri aktarımları katı standartlara tabidir. AEA'daki kontrolörler, yalnızca aşağıdaki kriterlerden birinin karşılanması durumunda AEA dışındaki işleyicilerle veri paylaşabilir:

• Avrupa Komisyonu ülkenin gizlilik yasalarını yeterli buldu
• Avrupa Komisyonu, işleyicinin yeterli veri korumasına sahip olduğunu kabul etti
• Denetleyici, verilerin korunmasını sağlamak için gerekli adımları attı

Tüm ortaklıkların ve veri aktarımlarının GDPR'ye uygun olmasını sağlamanın bir yolu, standart sözleşme maddelerini kullanmaktır. Bu önceden yazılmış maddeler Avrupa Komisyonu tarafından önceden onaylanmıştır ve tüm kuruluşların kullanımına ücretsiz olarak sunulmaktadır. Bu hükümlerin bir sözleşmeye eklenmesi, her iki tarafın da bunlara uyması koşuluyla sözleşmenin GDPR ile uyumlu olmasını sağlar. Standart sözleşme maddeleri hakkında daha fazla bilgi için, Avrupa Komisyonu web sitesine bakın (bağlantı ibm.com dışındadır).

Veri koruma etki değerlendirmeleri için bir süreç oluşturun

GDPR, kuruluşların herhangi bir yüksek riskli işleme öncesinde veri koruma etki değerlendirmeleri (DPIA'lar) yapmasını gerektirir. GDPR, yeni teknolojilerin kullanımı, hassas verilerin büyük ölçekli işlenmesi gibi birkaç örnek sunsa da, her yüksek riskli etkinliği kapsamlı bir şekilde listelemiyor.

Kuruluşlar, güvenli olması açısından herhangi bir yeni işleme işleminden önce bir DPIA yürütmeyi düşünebilir. Diğerleri, riskin DPIA'yı gerektirecek kadar yüksek olup olmadığını belirlemek için basitleştirilmiş bir ön tarama kullanabilir.

Bir DPIA en azından işlemeyi ve amacını tanımlamalı, işlemenin gerekliliğini değerlendirmeli, veri sahiplerine yönelik riskleri değerlendirmeli ve hafifletme önlemlerini belirlemelidir. Risk azaltıldıktan sonra yüksek kalırsa kuruluşun ilerlemeden önce bir veri koruma yetkilisine danışması gerekir. 

IBM Guardium® Insights'ın GDPR, CCPA ve diğer önemli düzenlemeler için önceden yapılandırılmış iş akışlarıyla uyumluluk raporlamasını kolaylaştırmaya nasıl yardımcı olabileceğini öğrenin.

Bir veri ihlali müdahale planı uygulayın 

Kuruluşlar çoğu kişisel bilgiyi raporlamalıdır. veri ihlalleri 72 saat içinde bir denetleyici makama iletilir. İhlalin veri sahipleri için kimlik hırsızlığı gibi bir risk oluşturması durumunda şirketin ilgili kişileri de bilgilendirmesi gerekir. Bunun mümkün olmadığı durumlar dışında, bildirimlerin doğrudan mağdurlara gönderilmesi gerekmektedir. Bu durumda kamuya duyurulması yeterlidir.

Organizasyonların etkili olması gerekiyor olay yanıtı Devam eden ihlalleri hızla tespit eden, tehditleri ortadan kaldıran ve yetkilileri bilgilendiren planlar. Olay müdahale planları, sistemleri kurtarmaya ve geri yüklemeye yönelik araçları ve taktikleri içermelidir. bilgi Güvenliği. Bir kuruluş kontrolü ne kadar hızlı yeniden ele geçirirse, ciddi düzenleyici eylemlere maruz kalma olasılığı da o kadar az olur.

Kuruluşlar bu fırsatı güçlendirmek için de kullanabilirler. veri güvenliği miktar. Bir ihlalin kullanıcılara zarar verme olasılığı düşükse (örneğin, çalınan veriler bilgisayar korsanlarının kullanamayacağı kadar yoğun bir şekilde şifrelenmişse) şirketin veri sahiplerini bilgilendirmesine gerek yoktur. Bu, bir veri ihlalinin ardından gelebilecek itibar ve gelir zararlarının önlenmesine yardımcı olabilir.

Veri sahiplerinin haklarını kullanmasını kolaylaştırın 

GDPR, veri sahiplerine kuruluşların verilerini nasıl kullandıklarına ilişkin haklar verir. Örneğin düzeltme hakkı, kullanıcıların yanlış veya güncel olmayan verileri düzeltmesine olanak tanır. Silme hakkı, kullanıcılara verilerinin silinmesini sağlar.

Genel olarak bakıldığında kuruluşların veri sahiplerinin taleplerini 30 gün içerisinde yerine getirmesi gerekmektedir. İstekleri daha yönetilebilir hale getirmek için kuruluşlar, kişilerin verilerine erişebilecekleri, değişiklik yapabilecekleri ve bunların kullanımını kısıtlayabilecekleri self-servis portallar oluşturabilirler. Portallar kişilerin kimliklerini doğrulamanın bir yolunu içermelidir. GDPR, talepte bulunanların söyledikleri kişi olduklarını doğrulama yükünü kuruluşlara yüklüyor.

Otomatik kararlar ve profil oluşturma 

Veri sahiplerinin otomatik işlemeye ilişkin özel hakları vardır. Özellikle kuruluşlar, kullanıcının izni olmadan önemli kararlar almak için otomasyonu kullanamaz. Kullanıcılar, otomatik kararlara itiraz etme ve kararın bir insan tarafından incelenmesini talep etme hakkına sahiptir. 

Kuruluşlar, veri sahiplerine otomatik kararlara itiraz etme yolu sağlamak için self servis portalları kullanabilir. Şirketler ayrıca gerektiğinde insan incelemecileri atamaya da hazırlıklı olmalıdır. 

veri taşınabilirliği 

Veri sahipleri, verilerini istedikleri yere aktarma hakkına sahiptir ve kuruluşların bu aktarımları kolaylaştırması gerekir. 

Kullanıcıların aktarım talebinde bulunmasını kolaylaştırmanın yanı sıra kuruluşlar, verileri paylaşılabilir bir biçimde depolamalıdır. Tescilli formatların kullanılması aktarımları zorlaştırabilir ve kullanıcıların haklarını engelleyebilir. 

Veri sahibi haklarının tam listesi için, GDPR uyumluluk sayfasına bakın.

Bilgi güvenliği önlemlerini dağıtın

GDPR, kuruluşların sistem açıklarını kapatmak ve yetkisiz erişimi veya yasa dışı kullanımı önlemek için makul veri koruma önlemleri almasını gerektirir. GDPR belirli önlemleri zorunlu kılmıyor ancak kuruluşların hem teknik hem de organizasyonel kontrollere ihtiyaç duyduğunu belirtiyor.

Teknik güvenlik kontrolleri yazılım, donanım ve diğer teknoloji araçlarını içerir. SIEM'ler ve veri kaybını önleme çözümleri. GDPR, şifrelemeyi ve takma ad kullanmayı büyük ölçüde teşvik ettiğinden kuruluşlar bu kontrolleri özellikle uygulamak isteyebilir. 

Organizasyonel önlemler, çalışanların GDPR kuralları konusunda eğitilmesi ve resmi uygulamaların uygulanması gibi süreçleri içerir. Veri yönetimi politikaları. 

GDPR ayrıca şirketleri tasarım gereği ve varsayılan olarak veri koruma ilkesini benimsemeye yönlendirmektedir. "Tasarım gereği", şirketlerin veri gizliliğini en başından itibaren sistemlere ve süreçlere entegre etmesi gerektiği anlamına gelir. "Varsayılan olarak", herhangi bir sistem için varsayılan ayarın en fazla kullanıcı gizliliğini koruyan ayar olması gerektiği anlamına gelir. 

IBM veri güvenliği ve koruma çözümlerinin hibrit bulutlarda verileri nasıl güvence altına aldığını ve uyumluluk gereksinimlerini nasıl basitleştirdiğini öğrenin.

GDPR uyumluluğu neden önemlidir? 

Avrupa Ekonomik Alanı'nda (AEA) faaliyet göstermek isteyen herhangi bir kuruluşun GPDR'ye uyması gerekir. Uyumsuzluğun ciddi sonuçları olabilir. En önemli ihlaller, hangisi daha yüksekse, 20,000,000 Euro'ya kadar veya kuruluşun bir önceki yıldaki dünya çapındaki gelirinin %4'ü kadar para cezasıyla sonuçlanabilir.

Fakat veri uyumu sadece sonuçlardan kaçınmakla ilgili değil. Faydaları da var. GDPR uyumluluğunun kuruluşların dünyanın en büyük pazarlarından birine erişmesine olanak sağlamasının yanı sıra, GDPR ilkeleri veri güvenliği önlemlerini önemli ölçüde güçlendirebilir. Kuruluşlar daha fazla veri ihlalini gerçekleşmeden önce durdurabilir ve böylece ortalama İhlal başına 4.45 milyon ABD doları.

GDPR uyumluluğu ayrıca bir işletmenin itibarını artırabilir ve tüketiciler nezdinde güven oluşturabilir. İnsanlar genellikle kuruluşlarla iş yapmayı tercih ederler. müşteri verilerini anlamlı bir şekilde koruyun.

GDPR, diğer bölgelerde de benzer veri koruma yasalarına ilham kaynağı olmuştur. California Tüketici Gizlilik Yasası ve Hindistan'ın Dijital Kişisel Verilerin Korunması Yasası. GDPR genellikle bu yasaların en katılarından biri olarak kabul edilir; bu nedenle ona uymak, kuruluşları diğer düzenlemelere de uyacak şekilde konumlandırabilir.

Son olarak, eğer bir şirket GDPR'ye ters düşerse, belirli bir düzeyde uyumluluk göstermek, yansımaları yumuşatmaya yardımcı olabilir. Düzenleyici kurumlar mevcut gibi faktörleri tartıyor siber güvenlik kontrolleri ve cezaların belirlenmesinde denetleyici makamlarla işbirliği.

IBM Guardium Data Protection'ı keşfedin