GDPR

Avrupa Birliği, Solvency II’den sonra hazırladığı en büyük ve kapsamlı düzenlemesini hayata geçirebilmek için gün sayıyor. Yaklaşık dört yılda hazırlanabilen, ülkelerden ve büyük ölçekli birçok şirketten gelen itirazlar dolayısıyla defalarca gözden geçirilen ve nihayet 14 Nisan 2016 tarihinde Avrupa Birliği Parlamentosu tarafından onaylanan GDPR yasası 25 Mayıs 2018 tarihinde yürürlüğe girmiş olacak.

GDPR, İngilizce ‘General Data Protection Regulation’ tanımının kısaltması. Türkçe’ye ‘Genel-Kapsamlı Veri Koruma Kanunu’ olarak çevirebiliriz. Başındaki ‘General’ tanımı kanunun genel çerçeveyi tanımlayan bir kanun olmasından ziyade, çok geniş kapsamlı ve geniş etki alanına sahip bir kanun olmasından ileri gelmekte. 14 Nisan 2016’da onaylanan, 20 gün sonra Avrupa Birliği resmi gazetesinde duyurulduktan sonra iki senelik bir uyum süresi tanımlanan kanun, aslında Avrupa Birliği’nde zaten mevcut olan Veri Koruma Direktifi (Data Protection Directive 95/46/EC)’nin güncellenmiş versiyonu. Güncellemenin sebebi ise önceki direktifin 1995 yılında uygulamaya konulması, IoT, insurtech, AI ve siber risk gibi son beş yılın öne çıkan teknolojik gelişmelerine karşı ciddi anlamda yetersiz kalmasıydı.

GDPR ile öncelikle bütün Avrupa Birliği vatandaşlarının veri güvenliği ve gizliliği kavramlarının koruma altına alınması planlanmakta. Bu yapılırken ve kanun kaleme alınırken uzmanların çıkış noktası ise tek bir değişken yani iş etkisi (business impact). Düzenlemeleri değerlendirirken gözümüze çarpan ilk özellik ise her durumda tüketici haklarının korunması amacının ilk sıraya konulması.

Yeni Yaptırımlar ve Düzenlemenin Kapsamı

GDPR’ı okuyunca dokuz ana başlığın ortaya çıktığını görüyoruz. Bu dokuz başlık hem GDPR’ın ortaya çıkış nedenlerini hem de yaptırımların ana başlıklarını özetlemekte. GDPR’ın getirdiği en büyük yenilik, veri gizliliğinin kaynağı. Yeni düzenleme ile veri sahibinin Avrupa Birliği sınırları içerisinde oturması, düzenlemeden yararlanması için yeterli hale getiriliyor. Önceki düzenleme ilgili tüzel kişinin lokasyonunu baz alıyordu. Bu sayede Avrupa Birliği sınırları içerisinde herhangi bir kurumu olmayan ancak müşterileri Avrupa Birliği sınırları içerisinde olan kurumlar GDPR’ı uygulamak zorunda kalacaklar.

GDPR ile yönetmeliğin ihlali durumundaki cezalar da yenilendi. Düzenlemeye göre GDPR tarafından getirilen yükümlülüklerin ihlali durumunda 20 milyon Euro veya yıllık brüt cironun %4’üne kadar (bu iki değerden hangisi daha büyük ise) çıkabilecek yaptırımlar söz konusu olacak. Diğer önemli bir nokta ise Bulut üzerinde mevcut organizasyonların da bu yaptırımlardan sorumlu olacak olması.

Verilerin Kullanım Onayı ve Taşınabilirliği

Verinin kullanımı ile ilgili veri sahiplerinin onayı ise düzenlemede yine çok önemsenmekte. Onayın açık ve anlaşılır bir biçimde yazılması, veri sahibinin verilerinin tamamı gibi bir kısımını da ilgili şirketin onayına sunabilmesi sağlanmakta. Önceden verilen ancak sonra kullanıma kapatılmak istenen veriler için de sürecin kolaylaştırılması hedeflenmekte.

GDPR’da gördüğümüz diğer bir özellik ise düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi. GDPR ayrıca, Türkiye’de unutulma hakkı olarak bilinen, düzenlemenin orjinal metninde ‘Data Erasure’ veya ‘Right to be Forgotten’ olarak belirtilen alanda da düzenleme yaptı. Veri sahiplerinin herhangi bir kurumun bünyesinde yer almasını istemediği veriler, öncelikle verinin kullanımındaki kamu çıkarı dikkate alınarak değerlendirilebilecek ve kullanımdan kaldırılabilecek.

GDPR ayrıca verinin kullanımının taşınabilirliği ile ilgili de bir düzenleme yaptı. Böylece kullanım için belli bir kuruma verilen veri, sahibinin onayı ile benzer kapsamda veya farklı bir kapsamda başka bir şirketin kullanımına da sunulabilecek, yani bir nevi taşınmış olacak.

Veri Ulaşımında Kademelendirme ve Veri Koruma Görevlileri (Data Protection Officers)

GDPR, verinin kullanım hakkının sahibinden alınması sonrasında, kullanım onayını alan şirketin personeli arasında da bir sınıflandırma ön görmekte. Yani veriye ilgili şirketteki herkesin ulaşamaması, sadece veriyi kullanacak olan birimin görevlilerinin ulaşabilmesi amaçlanmakta. Bu nedenle şirketler içerisinde güvenlik esaslı veri erişim yapılarının kurulması gerekmekte. Şirketlerin zaten bünyelerinde olan veri koruma kuralları (DPA – Data Protection Act) ile bazı önlemler almış durumdalar. Ancak birçok farklı ülkede faaliyet gösteren şirketler için birçok farklı kurala göre raporlama yapmak ciddi bir iş yükü ve verimsizlik yaratmaktaydı. GDPR ile olası ihlallerle alakalı bildirim yerine şirket içi kayıtların belirlenen kurallara göre düzenli ve gerçekleştirilebilecek denetimlere hazır şekilde tutulması amaçlanmakta.

GDPR yaptırımlarına göre şirketlerin DPO (Data Protection Officer – Verinin Korunmasından Sorumlu Personel) atamaları da gerekmekte. Öncelikle DPO, ilgili şirket bünyesinde olabilecek en yüksek yönetim seviyesine bağlı olacak, görev aldığı organizasyon bünyesinde çıkar çatışmasına yol açabilecek başka bir sorumluluğu olmayacak ve mutlaka görevin gerektirdiği profesyonel yeterliliğe sahip olacak.

Insurtech ve GDPR

GDPR ile Avrupa Birliği uzun zamandır gerçekleştirmek istediği ve özellikle finansal alanda ciddi boşluk olduğunu düşünülen bir alana el atmış oldu. Siber saldırılar, çalınan kredi kartı veya kimlik bilgileri, artan şikayetler GDPR’ın çözüm bulması umulan alanlar. Insurtech ile daha veri merkezli  ve teknoloji odaklı olmayı amaçlayan sigorta şirketleri için GDPR oyun alanlarını sağlamlaştıracak ve pürüzleri giderecek bir düzenleme.

Türkiye sigorta sektörü açısından baktığımızda ise veri korunmasını amaçlayan düzenlemelerin olduğunu ancak GDPR kadar detaylı ve müşteriyi koruma amaçlı olmadığını görüyoruz. Avrupa Birliği vatandaşı olan birçok müşteriye sahip Türk sigorta şirketi olduğunu düşünürsek GDPR’ın ülkemizde de, geniş anlamda olmasa bile uygulanacağını söyleyebiliriz. Düzenleyici kurumun GDPR sonrası Türk veri koruma anlayışını da Avrupa Birliği seviyesine çekmesi elbette olası ve memnuniyet verici bir gelişme olacaktır.

#GDPR, #Insurtech, #DPO, #EU, #BusinessImpactAnalysis, #DPA, #DataErasure, #RighttobeForgotten, #ZeynepStefan

http://www.sigortagundem.com/yazarlar/genel-kapsamli-veri-koruma-kanunu-yazisi/1293341

 1,680 total views,  2 views today