19.03.2018 2 dak okuma Makale dili
Makale dili

GDPR: 1. Ders Verilerinizi TANIYIN

Danny Allan Danny Allan

Avrupa’nın dört bir yanında müşterileri olan ve İsviçre’de yer alan Veeam’in Avrupa vatandaşlarının verilerini işleyen çoğu diğer şirket gibi GDPR ile uyumlu olması gerektiğini açıklamıştık.

Bununla birlikte uyumluluk sürecinizde yardımcı olmak üzere öğrendiklerimizi sizinle paylaşacağımızın sözünü vermiştik. Derslerimiz 5 temel ilkeye indirgenebilir:

  1. Verilerinizi bilin
  2. Verileri yönetin
  3. Verileri koruyun
  4. Belgelendirin ve uyum sağlayın
  5. Sürekli iyileştirme

Bu yazıda ilk ilkeyi daha detaylı anlatmak istiyoruz: Verilerinizi bilin.

Birinci adımda, kuruluşunuzun bir Avrupa Birliği vatandaşının kişisel olarak tanımlanabilir bilgilerine (PII) sahip olup olmadığını belirlemeniz gereklidir. Bu tür verilere sahip olmadıklarını düşünen kuruluşlarla yapılan çeşitli görüşmeler sonucu Bu bilgilere sahip olduklarını ve GDPR uyumluluğuna dahil olduklarını fark ettiler.

PII son derece geniş bir bilgi kategorisidir. Bir kişiyi tanımlamak için kullanılabilen HER TÜRLÜ veridir. Elbette ad, iletişim bilgileri veya resimler gibi bariz bilgiler aklınıza gelebilir, ancak PII çok farklı veri biçimlerini içermektedir. Kapsamlı bir liste sunmadan, PII içeriğinin IP adresleri, uygulama üzerinden edinilen konum verileri, ödül programlarından alınan geribildirim formları gibi farklı bilgiler içerdiğini belirtelim. Madde 2(a) PII kavramını şu şekilde tanımlıyor:

Kişisel veriler tanımlanabilen veya tanımlanabilecek gerçek kişi (“veri nesnesi”) ile ilgili bilgiler anlamına gelir; tanımlanabilir kişi ise belirli bir tanımlama numarası ya da fiziksel, psikolojik, zihin, ekonomik, kültürel veya sosyal kimliklerinin biri veya daha fazlasının doğrudan veya dolaylı olarak tanımlanabilen kişi anlamına gelir.

Bunlar PII kavramının varlığının belirlenmesi için önemlidir; bununla birlikte GDPR’de, hassas olarak tanımlanan ve daha sıkı düzenlemelere tabi olan PII de yer almaktadır. Hassas PII ırk veya etnik köken, politik görüş, dini veya felsefi inançlar, sendika üyelikleri ve sağlık ya da cinsel hayat gibi kişisel verileri içermektedir. Bu veriler ek korumalara tabi özel bir PII kategorisidir.

Kuruluşunuzda çalışanlarınızın verileri (genellikle İK bölümündedir) ise PII olarak sınıflandırılır. Çalışanlarınız arasında Avrupa Birliği vatandaşı varsa, söz konusu verilerden haberdar olmanız gerekir.

Son olarak, bu verilere kimin erişimi olduğunu ve nerede tutulduklarını anlamanız gerekir.

Verilerinizi haritalandırabilecek teknik bir çözüm kullanmak yaklaşımlardan birisidir. Bu çözümler ilgili tanımlama ilkeleri kadar etkindir. Bazı çözümler verileri toplarken ve analiz ederken öğrenir, sonuçları iyileştirmek için tanımlar ekler; bazı çözümler ise manuel ayarlara dayanır. Her iki senaryoda çözümlerin verilerinizin TAMAMINI bulup haritalandırması son derece önem taşır.

Veeam özel anketler oluşturarak (iş ünitesine göre uyarlanan) ve dünyanın dört bir yanındaki tüm kurum birimlerine göndererek bu süreci tamamlamıştır. Bu anketlerle ilgili örnekler diğer white paper’larımızda sunulmaktadır. Bu şekilde siz de bunları ihtiyaçlarınıza göre uyarlayabilir ve de kuruluşunuzda aynı süreci gerçekleştirebilirsiniz.

Önemli bir ipucu: Bölgesel ve Avrupa Birliğine dahil olmayan kurum birimlerini de kapsamak üzere tüm kurum birimlerini dahil etmeniz gerekir. Örneğin; Kuzey Amerika’daki bölgesel pazarlama ekibimiz anket sürecinden geçti. Kuzey Amerika’daki etkinlikleri düzenlemekle sorumlu oldukları için bu etkinliklere katılmak üzere uluslararası uçuş gerçekleştiren Avrupa vatandaşlarının bilgilerine de sahip olduklarını fark ettik.

Verilerinizi anlamak üzere süreçler oluştururken kuruluşunuzun tamamı VE üçüncü taraf iş ortaklarınız üzerinden gerçekleşen PII verilerinin akışını haritalandıran akış şemaları oluşturmak sürecin daha hızlı ilerlemesine yardımcı olacaktır. Şirket içinde sahip olduğunuz bazı teknolojik çözümlerin bunu sizin için otomatik olarak gerçekleştirebileceğini tahmin ediyoruz. Veeam Availability Platform size yedekleme ortamınızın tamamını ve verilerin akışını gösteren eksiksiz bir resim sunabilir.

Sonuç

Verilerinizi bilmek atılması gereken ilk ve büyük olasılıkla en önemli adımdır. Kuruluşların çoğu sahip oldukları verilerden, bu verilerin genişliğinden, kapsamından ve bu verilerin konumundan haberdar değildir. Verileriniz hakkında ayrıntılı bilgi edindiyseniz ve verilerinizi anladıysanız, sonraki adımlar çok daha kolay olacaktır.

Danny Allan
Danny Allan

Teknolojiden Sorumlu Başkan ve Ürün Stratejisi Kıdemli Başkan Yardımcısı olan Danny, Veeam'in global ürün yol haritası ve strateji grubundan sorumlu olmanın yanında Bulut Veri Yönetimi sağlayan 1 numaralı Yedekleme çözümleri sağlayıcısı olan şirketin teknoloji vizyonuna da öncülük ediyor.  Global kurumsal müşteriler ve büyük Servis Sağlayıcılarla iş ortaklıkları kurarak sektörde uzun vadeli başarıların kapısını açıyor.  Sahip olduğu 20 yılı aşkın yazılım teknolojisi tecrübesiyle birlikte, müşteri sorunlarını çözme ve yazılım inovasyonu konularında çalışıyor. 

Daha önce Danny; VMware tarafından alınan, barındırılan masaüstleri sunan servis sağlayıcılar için yazılım platformu Deskware'in CTO'luğunu yaptı.  Kariyerinin başlarında, IBM'de Güvenlik Araştırmaları Direktörü olan Danny, Güvenlik Mimarisi Kurulu üyesiyken IBM Güvenli Mühendislik Çerçevesi (Secure Engineering Framework) kitabının eş yazarlığını yaptı.  Bulut ve güvenlik alanında çok sayıda yazılım patentine sahip.

More about author
Önceki gönderi Sonraki gönderi
Makale İçerikleri
Haftalık blog güncellemeleri alın
Abone olarak kişisel bilgilerinizin Veeam'in Gizlilik Politikası hükümleri uyarınca yönetilmesini kabul etmiş olursunuz
Bize güvenip e-posta kutunuzda yer açtığınız için teşekkür ederiz!
Artık bu haftalık bülten sayesinde, blogumuzda olan biteni kaçırmayacaksınız.
Tamam
Free trial
Try now