- Avrupa Birliği ülkelerinde girişimi veya ortaklığı
olan şirketler (örneğin Finans, Tekstil, Turizm, İmalat
sektörleri)
- Türkiye’de operasyonu olan çokuluslu şirketler
- Avrupa merkezli Türk şirketleri.
- Avrupa Birliği sınırları içerisindeki şirketler
ile kapsamlı bilgi ve veri değişimini gerektiren işbirliği
ve bağlantıları olan tüm şirketler
Arupa Birliği, 1995 yılında kabul ettiği,
bireyleri korumak amacıyla kişisel bilgilerin gizliliği ve
akışını düzenleyen direktifini uygulamaya devam ediyor.
Birlik üyesi ülkeler arasındaki farklı düzenlemeler arasında
bir uyum getirmek ve Birlik içinde uyulması gereken asgari
kuralları belirleyen bu direktifin çeşitli ülkelerdeki
uygulamaları son noktasına yaklaştı.
Avrupa firmalarının, Birlik dışındaki
firmalara kişilere ait verilerin aktarımına sınırlama ve
bu sınırlamalara uyulmaması durumunda ceza uygulanmasını
içeren bu düzenleme, bu ülkelerindeki şirketler ile yakın
ticari ilişkiler sürdüren veya bu ülkelerde yatırımları
bulunan şirketlerimiz için oldukça önemli bir dizi çalışmaya
başlanmasını gerekli kılıyor.
Ayrıca Türkiye olarak Avrupa Birliği’ne uyum sürecinde
sözkonusu düzenlemeyi içeren bir takım düzenlemeleri
yerel olarak kabul etmemiz gerekiyor.
Sözkonusu düzenlemeye göre Avrupa Birliği
içerisindeki herhangi bir kurum veya kuruluş, iş ilişkileri
çerçevesinde kişişel bilgileri içeren verileri Avrupa
Birliği sınırları dışında, benzer kanuni şartların
uygulanmadığı ülkelere veya bu ülkelerde şirket olarak
gerekli bilgi güvenliği önlemlerinin alındığı ispat
edilemeyen şirketlere aktaramayacaklar.
Düzenleme üye ülkeler içinde uyulması
gereken asgari önlemleri tarif ederken, Almanya, İngiltere
gibi pek çok ülke kendi kanuni düzenlemelerinde bu
direktifte tarif edilen kuralların çeşitli açılardan
ilerisine geçen ek kurallar getirdiler. Gerek ülkelerin özel
düzenlemeleri, gerekse Avrupa Birliği genelindeki düzenlemeler,
kuruluşlara kişisel verilere erişim ve kullanımda yasal
zorunluluklar ve bu zorunluluklara uyulmaması durumunda
cezalar getiriyor. Dolayısıyla bu kurallara uyum çalışması
hem Avrupa Birliği geneline uyum hem de iş ilişkisi bulunan
AB üyesi ülkenin yerel mevzuatına uyum çalışmasını içeriyor.
Avrupa Birliği kişisel bilgilerin gizliliği
ve güvenliği ile ilgili olarak Kanada, Avusturalya ve
Amerika Birleşik Devletleri’ndeki kanuni uygulamaları
kendine denk sayıyor. Bu nedenle bu ülkelerdeki şirketler
yerel kanunlarına uyuyor olduklarında bu düzenlemenin
kapsamına girmiş oluyorlar. Ancak, Amerika Birleşik
Devletleri’nin konuyla ilgili düzenlemesi gönüllü olarak
alınan Safe Harbor sertifikasyonundan oluştuğu için
Amerikan şirketlerinin bu uyum şartını sağlaması için sözkonusu
sertifikasyonu Amerikan Ticaret Bakanlığı’ndan almaları
gerekiyor. Amerikan Ticaret bakanlığının geçtiğimiz yıllarda
Avrupa Birliği ile yaptığı görüşmeler sonucunda
Amerikan “Safe Harbor” sertifikasyonu Avrupa Birliği
tarafından 2001 yılından itibaren bu alanda geçerli
sertifikasyon olarak sayıldı.
Türkiye’de henüz konu ile ilgili regülasyon
kişisel bilgilerin değil daha çok Internet üzerinden yapılan
yayın ve işlemlerin kontrolu esasına dayandığı için
gerekli düzenlemeler ile Avrupa Birliği’ne uyum sürecinde
gidilmesi gereken önemli bir mesafe olduğu dikkati çekiyor.
Türkiye gerekli hukuki düzenlemeleri ivedilikle yapıp bu
konuyu ülke içinde işletir hale gelerek hem AB uyum sürecinde
kişisel bilgilerin gizliliği ve güvenliğine ilişkin önemli
bir adım atabilir hem de bireylere ait bilgilerin kullanım
ve paylaşımında ülke içinde bireyden yana, koruyucu bir düzen
sağlayabilir.
Ayrıca, Avrupa Birliği dışında halen
bu uyumun sadece ABD, Kanada ve Avusturalya ile mevcut olduğu
düşünülürse, halen çeşitli Avrupa ülkelerindeki şirketler
ile Hindistan ve Güney Afrika Cumhuriyeti’ndeki şirketler
arasında varolan yardım masası temelli dış kaynak kullanımı
gibi işlerde Türkiye firmaları önemli bir alternatif
olarak ortaya çıkabilir. Bilindiği gibi, bu tür dış
kaynak kullanımı anlaşmaları önemli miktarda kişisel
bilginin anlaşmanın yapıldığı şirketin bulunduğu ülkeye
transferini veya sürekli ortak kullanımını gerektiriyor.
Sözkonusu direktif, kişisel bilgilerin
temin edilmesi, kullanılması ve diğer şirketler ile paylaşılmasına
bir takım kontroller getiriyor. Buna göre şirketlerin güvenlik
politikalarını uygulaması ve ilgili iş süreçlerinin
tamamında kişisel bilgilerin gizliliği ilkelerine uyumunu güvence
altına alması gerekiyor. Bu kapsamda şirketlerin kendi içlerinde
veya iş partnerleri ile birlikte yürüttükleri iş süreçlerini
bu açıdan kontrol etmeleri ve kişilerle ilgili bilgileri işleyen
kritik bilgi sistemleri uygulamalarını teker teker bu
esaslarda gözden geçirmeleri gerekiyor.
Bu kapsamda şirketlerdeki birimlerin gözden
geçirilerek hangi birimlerde ne tip bilgilerin ne şekilde
kullanıldığı kontrol edilmesi gerekiyor. Örneğin ilaç
sektörü veya finans sektörü’nde ürün geliştirme ve
araştırma birimlerinde bilgi gizliliği dikkat edilen bir
konu iken, pazarlamayla ilişkili birimlerde gerek yönetim
gerekse altyapı açısından yeterli önlemlerin alınmamış
olduğu göze çarpıyor. Dolayısıyla böyle şirketlerde
yapılacak çalışmaların öncelikle bu birimleri kapsama
alması gerekiyor.
Şirketler sözkonusu direktife uyum sürecinde
iş süreçlerini ve bilgi kullanımlarını analiz ettikten
sonra güçlü tanılama, güçlü şifreleme ve sızma
denetim sistemleri teknolojilerini kullanarak kişisel
bilgilerin gizliliğine uyum ile ilgili olarak altyapılarını
güçlendirebilirler.
Ayrıca şirketlerin bu kanuni konuyla
ilgili kanuni danışmanlık almaları ve bilgi işlem birimi
dışından hukuk müşavirliği veya yönetim kademelerinden
bir kişiyi “Chief Privacy Officer” olarak atamaları ve
ilgili uyum projesinin yürütülmesini böyle bir kişinin
sorumluluğuna vererek hızlandırmaları tavsiye ediliyor.
Kişisel Bilgilerin gizliliği ve güvenliğinin denetim ve
disiplin altına alınması sürecinde, sözkonusu AB
Direktifine uyum çalışmaları sırasında şirketlerin,
ilgili stratejilerini ve çalışmaların dökümantasyonu büyük
önem taşıyor. Bu dökümantasyonun oluşturulması ve
saklanması, yakın gelecekte Avrupa Birliği ülkelerindeki
kanuni mercileri önünde karşılaşılabilecek soruşturma
ve kontrol durumlarında hesap verebilmek açısından
gereklidir.
Şirketlerin devam eden iş ilişkilerinde
önemli kanuni sorunlarla karşılaşmaması için bu konuda
bir an önce çalışmaya başlamalarını öneriyoruz. Bu
kapsamda şirketin bu alandaki mevcut durumu şirket dışarısından
objektif bir göze denetletilerek mevcut durumun resminin çekilmesi
iyi bir başlangıç noktası olacaktır.
Ayrıca bu konuyla eşzamanlı olarak güvenlik yönetimi
konusunun da şirketlerde ele alınması ve bu kanuni düzenlemeye
uyum ile birlikte, güvenlik yönetiminin uluslararası kabul
edilmiş bir standard olan ISO 17799’a dayandırmaları ve
bu kapsamda çalışmalara başlamalarını öneriyoruz.
Avrupa Birliği Kişisel Bilgilerin Gizliliği
Direktifi ile ilgili olarak:
http://europa.eu.int/comm/internal_market/en/media/dataprot/
Bilgi güvenliği direktifinin çeşitli AB
ülkelerindeki uygulanmışlık düzeyi ile ilgili olarak:
http://europa.eu.int/comm/internal_market/en/media/dataprot/law/impl.htm
Amerika Ticaret Bakanlığı –
Uluslararası Ticaret İdaresi sayfalarında Safe Harbor
sertifikasyonu ve Avrupa Komisyonu denklik görüşme sonuçları:
