GDPR Uyumu
GlobalB Law, teknoloji şirketleri, fintechler ve dijital işletmelere ürünleri, süreçleri ve tedarikçi ilişkileri genelinde AB Genel Veri Koruma Tüzüğü'ne (GDPR) tam uyum sağlama ve bunu sürdürme konusunda danışmanlık yapmaktadır.
GDPR, AB'de ikamet eden kişilerin kişisel verilerini işleyen her kuruluşa uygulanır; kuruluşun nerede kurulu olduğu fark etmeksizin. Avrupa kullanıcılarına hizmet veren İstanbul merkezli bir girişim, AB müşterileri olan Los Angeles'ta kurulu bir SaaS şirketi ya da küresel genişleme hedefleyen bir AB şirketi için uyumsuzluk; yıllık küresel cirosunun %4'üne kadar para cezasına ve çoğu zaman bu cezadan çok daha uzun süren itibar hasarına yol açabilir.
GlobalB Law, kâğıt üzerinde kalan değil, fiilen işleyen GDPR programları kurar. Veri akışlarınızı uçtan uca haritalandırır, işleme faaliyetlerinize gerçekten uyan hukuki dayanakları tespit eder, kullanıcılarınızın ve tedarikçilerinizin beklediği bildirim ve sözleşmeleri hazırlar; denetim otoritesi kapınızı çalmadan önce risk profilinizi belirleyen tasarım tercihlerini, onay mimarisi, veri minimizasyonu, saklama kuralları, konusunda görüş verir.
Kimlerle Çalışıyoruz
- Büyük ölçekte kişisel veri depolayan veya analiz eden SaaS ve platform şirketleri
- GDPR'ın yanı sıra finansal sektör yükümlülükleriyle de karşı karşıya kalan fintechler ve ödeme hizmeti sağlayıcıları
- Birden fazla yargı bölgesinde tüketici verisi işleyen pazar yerleri ve e-ticaret operatörleri
- Temel ürününü kişisel veri eğitim setleri veya çıkarımları üzerine inşa eden AI ve veri odaklı girişimler
Ne yapıyoruz
Bu uygulamada sunduğumuz hizmetler
SSS
Sıkça sorulan sorular
Şirketimiz Türkiye'de kurulu ancak AB müşterilerine hizmet veriyor. GDPR bize de uygulanır mı?
Evet. GDPR'ın ülke dışı uygulama kapsamı (Madde 3(2)) gereğince, AB'de ikamet eden kişilere mal veya hizmet sunan ya da bu kişilerin davranışlarını izleyen her kuruluşa uygulanır; şirketin nerede kurulu olduğu fark etmez. AB kullanıcıları olan bir Türk şirketi ya uyum sağlamak zorundadır ya da bir AB temsilcisi atayarak AB merkezli kuruluşlarla aynı yaptırım riskiyle karşı karşıya kalmaktadır.
GDPR kapsamında veri sorumlusu ile veri işleyen arasındaki fark nedir ve neden önemlidir?
Veri sorumlusu, işlemenin amaç ve araçlarını belirler; veri işleyen ise veri sorumlusunun talimatları doğrultusunda hareket eder. Bu ayrım önemlidir çünkü hukuki dayanak, veri sahibi hakları ve DPIA gibi birincil uyum yükümlülükleri veri sorumlularına aittir; veri işleyenler ise yazılı bir DPA imzalamak zorunda olup belirli ihlaller nedeniyle doğrudan denetim otoritesi yaptırımıyla muhatap olabilir. Pek çok teknoloji platformu bazı faaliyetler bakımından veri sorumlusu, diğerleri bakımından ise veri işleyendir; dolayısıyla bu sınıflandırmanın baştan doğru yapılması kritik öneme sahiptir.
Web sitemizde zaten bir gizlilik politikası var. Uyumlu muyuz?
Bir gizlilik politikası gerekli olmakla birlikte yeterli değildir. GDPR uyumu operasyonel bir programdır: belgelenmiş işleme kayıtları, icra edilebilir tedarikçi sözleşmeleri, işler hâlde bir veri sahibi hakları süreci, ihlal tespit ve bildirim prosedürleri ve yüksek riskli faaliyetler için etki değerlendirmeleri gerektirir. İyi hazırlanmış politikaları olan ancak operasyonel açıdan ciddi eksiklikleri bulunan şirketlere düzenli olarak denetim gerçekleştiriyoruz.
Bir GDPR uyum projesi genellikle ne kadar sürer?
Odaklanmış bir ürüne sahip erken aşama SaaS şirketleri için temel bir uyum programı altı ila sekiz haftada oluşturulabilir. Birden fazla ürün hattı, üçüncü taraf entegrasyonları ve uluslararası veri akışları bulunan daha karmaşık yapılar için üç ila altı ay daha gerçekçi bir zaman çerçevesidir. Kapsam, ilk veri akışı keşif oturumunun ardından belirlenmektedir.
Başlayın
Randevu alın
Konunuzu bize anlatın, sizi doğru avukatla buluşturalım.