Çoğu düzenlemede olduğu gibi, GDPR ne yapılacağı ve ne yapılamayacağı konusunda açık bir kural listesi değildir. Bu nedenle, bununla ilgili sorular bir Soru-Cevap sitesinde ele alınamayacak kadar geniştir. Düzenlemenin etrafında birçok efsane ve yanlış basitleştirme vardır ve tüm sanayi düzenlemenin getirdiği yaptırımların korkusuna dayanmaktadır.
Bu cevap konuyla ilgili pratik bir genel bakış sunmaya çalışır. Ben bir avukat değilim, ama neredeyse tanıtıldığından beri bu konu üzerinde çalışıyorum, önce bir bilgi toplama bekle ve gör yaklaşımıyla ve şu anda başka bir pratik, önceliklendirme ve yinelemeli yaklaşımla.
Düzenlemenin mahkemeler tarafından nasıl yorumlanacağını henüz bilmiyoruz ve birçok şirket hala başkalarının ne gibi önlemler aldığını görmeyi bekliyor. Sunucu Hatası BT uzmanları için olduğu için, düzenlemeyi ve diğer yasalarla ilişkisini yorumlayabilen avukatlar değiliz. Yapabilsek bile, Soru-Cevap tarzı sorular, cevaplamak için gereken tüm ayrıntılı bilgilere sahip olmak için çok uzun olacaktır: GDPR uyumluluğu bireysel bir işlem değil, şirketinizdeki tüm bir stratejidir. Bu tür sorular sormanız gerekiyorsa, bir danışman veya hatta bir avukat tutmanız gerekebilir. Ancak birçoğu biri olmadan hayatta kalacak.
Kendi stratejinizi oluşturmalısınız (muhtemelen bazı yasal tavsiyelerle) ve buna dayanarak, GDPR'ye uymak için hangi eylemleri gerçekleştirdiğinize karar vermelisiniz. Bu değişiklikleri gerçek bir bilgi sisteminde uygulamaya çalışırken, bir şeyin nasıl başarılması gerektiğiyle ilgili teknik sorunlarla karşılaşabilirsiniz. İşte o zaman soru Sunucu Hatası kapsamına daraltıldı!
Başlamak için düzenlemenin ne için olduğunu bilmelisiniz. Temel olarak, kişisel verilerin toplamadan silinmeye kadar tüm ömrü boyunca dikkatle kullanılmasını sağlamak için yasal bir çerçevedir. GDPR Madde 5 , kişisel verilerin işlenmesine ilişkin ilkeleri kısaca açıklamaktadır:
- yasallık, adalet ve şeffaflık
- amaç sınırlaması
- veri minimizasyonu
- doğruluk
- depolama alanı sınırlaması
- bütünlük ve gizlilik.
GDPR, veri sahiplerine, yani vatandaşlara kişisel verileri üzerinde kontrol sağlar ve bu ilkelere uyulduğundan emin olmak için araçlar sağlar. Bunlar, kendi verilerine erişme, bunları düzeltme ve taşıma ve bunları silme hakkını (yani başka bir yasa korunmasını gerektirmiyorsa) içerir. Ayrıca yaptırımlar yapma imkanı verir ve şirketinizin bir veri koruma görevlisi tayin etmesi gerekebilir .
İlkelerin çoğu halihazırda ulusal hukukta ( 95/46 / EC Veri Koruma Direktifi nedeniyle ) uygulanmıştır, bu da değişikliği AB içindeki şirketler için oldukça sınırlandırmaktadır. AB dışındaki şirketlerin, AB vatandaşlarının kişisel verilerini işledikleri takdirde yapacakları daha fazla şey olabilir.
Değişen ana şey, uygulamalarınızda prosedürlerinizi ayrıntılı olarak belgeleyerek en iyi şekilde elde edilen hesap verebilirliktir :
- kişisel verilerin nasıl ve neden toplandığı
- işlemeyi yasal kılan nedir ( rıza Madde 6'nın sadece bir şartıdır )
- verinin nasıl saklandığı ve işlendiği
- verilere erişimi olan ve bunu nasıl kontrol ettiğiniz ve denetlediğiniz
- depolama nedeni sona erdiğinde kaldırılmasının (otomatik / standart uygulama)
- riskleri nasıl ele aldığınız, yani risk analizi.
Bence, bunları dikkatlice düşünüyor, sorunları düzeltiyor ve keşfettiğiniz riskleri hafifletiyor ve sonra bunları belgeliyorsanız, bir saldırıya maruz kalsanız bile yaptırımlardan uzak olmalısınız. Durumunuz ile ciro cezalarının 20 milyon € /% 4'ünü sorumlu kılan davranış türü arasında olası ihmalkar davranış okyanusu olacaktır .