GDPR'ye hazır olmayan küresel şirketleri zor günler bekliyor

SERBEST KÜRSÜ

Commvault, Avrupa Birliği vatandaşlarının gizlilik haklarını korumak amacıyla Mayıs 2018'de yürürlüğe girecek Genel Veri Koruma Yönetmeliği üzerine yaptığı küresel araştırma sonuçlarını yayımladı. Yönetmeliğin yürürlüğe girmesine 5 ay kalmasına rağmen, araştırmaya göre şirketlerin yüzde 89'u hangi verilerin kişisel verileri oluşturduğunu ayrıştıramazken; yalnızca yüzde 12'lik kesimin uygulamaya geçmeye hazır olduğu ortaya çıktı.

Kurumsal yedekleme, veri kurtarma, arşivleme ve bulut alanında küresel bir lider olan Commvault, AB vatandaşlarının gizlilik haklarını korumak için son yıllarda gerçekleştirilen en önemli reform olarak gösterilen Genel Veri Koruma Yönetmeliği'ne (GDPR-General Data Protection Regulation) yönelik 177 küresel şirketin BT yöneticisi ile gerçekleştirdiği araştırma sonuçlarını yayımladı.

Küresel çapta hizmet veren şirketlerin büyük bir bölümünün en temel GDPR hazırlıklarını yapamadığı, 25 Mayıs 2018'de yürürlüğe girecek yönetmelik için yalnızca yüzde 12'lik kesimin uygulamaya geçmeye hazır olduğu ortaya çıktı. Özellikle bireylerin kişisel bilgilerinin yönetimine ilişkin önemli bulguların yer aldığı raporda, şirketlerin yalnızca yüzde 18'inin talep üzerine tüm veri depolarından verileri silme kapasiteleri olduğu belirlendi. Öte yandan araştırmaya katılan şirketlerin yüzde 9'u gerektiğinde verileri etkin bir şekilde anonimleştirebileceklerine inandıklarını belirtirken, sadece yüzde 8'inin kişilerin talebi üzerine verileri derleme ve bir başka organizasyona aktarma kapasitesine sahip olduğu tespit edildi.

ŞİRKETLER KİŞİSEL VERİLERİ UNUTMAYA HAZIR DEĞİL

Araştırmada ortaya çıkan diğer çarpıcı bir sonuç ise GDPR gereklilikleri açısından önem taşıyan diğer kişisel verilerin yönetimine ilişkin oldu. Şirketlerin sadece yüzde 16'sı belirli bireylere ait verileri anında bulabileceklerine inandıklarını söylerken; yüzde 36'sı bu verileri toplamanın saatler alacağını, yüzde 25'i günler, yüzde 18'i ise haftalar alacağını belirtti. Şirketlerin yüzde 5'i ise bu verileri bulmanın hiçbir yolu olmadığını beyan ederken; araştırma "Unutulma Hakkı"nın tamamen etkisiz olacağına işaret etti.

KİŞİSEL VERİLER AYRIŞTIRILAMIYOR

Öte yandan Genel Veri Koruma Yönetmeliği konusunda BT yöneticilerinin önemli bir itirafı da dikkat çekti. Yönetmeliğin yürürlüğe girmesine 5 ay kalmasına rağmen, araştırmaya katılan yöneticilerin yüzde 89'u düzenlemenin başlıca unsurlarına dair hala kafa karışıklığı olduğunu, hangi verilerin kişisel verileri oluşturduğunu ayrıştırılamadığını vurguladı. Bu bulgu, GDPR uyumunu sağlayacak bir veri yönetimi stratejisi oluşturmak için mevcut olan bilgiler ile gerekli temel uygulamalar arasında ciddi bir uçurum olduğunu ortaya koydu.

"GDPR İHLALİNE YÖNELİK DAVA VE HABERLER ARTABİLİR"

Commvault EMEA Çözüm Pazarlama Direktörü Nigel Tozer, kamuoyu tarafından tanınmış şirketlerin 25 Mayıs 2018'den sonra başta ellerinde tuttukları veriler ve bunların GDPR ile ilişkisi hakkında yeterli bilgi sahibi olmamaları nedeni ile GDPR'yi ihlal ettikleri gerekçesiyle davalar ve haberlerle sıkça gündeme geleceğini söyledi.

Genel Veri Koruma Yönetmeliği ile uyumlu hale gelebilmenin kolay olmadığını vurgulayan Nigel Tozer şöyle konuştu; "Şirketler cezalardan ya da kişisel verileri işleme yasağından kaçınmak ve marka kimliğine zarar verme olasılığından uzak durmak istiyorlarsa hızlıca harekete geçmek zorundalar. Ne yazık ki, iş dünyası ile BT liderleri arasında GDPR konusunda hala büyük bir iletişim kopukluğu var. İş dünyası bunun kolay gerçekleşeceğini düşünüyor ama BT liderleri hala bunun bir iş süreci problemi olduğuna inanıyor. Gerçek şu ki, BT süreçlerini kişisel veriler etrafında yeniden şekillendirmek aslında dijital dönüşüm ve modernizasyon programlarına yardımcı olabilir ve GDPR ile uyumlu hale gelmek için yapılan değişimler her iki programın toplam bütçe payını da düşürebilir. Bu tür bir düzenleme birçok verimlilik ve iş menfaati sağlayabilir. Fakat zaman hızla daralıyor. Şimdiden harekete geçmeyen organizasyonlar 25 Mayıs'ta hazır olamayacakları gibi, sonrasında karşılaşacakları ihlallere yönelik kriz sürecini de yönetemeyebilir."

Commvault tarafından şirketlerin 25 Mayıs 2018'den öncesi ve sonrası nasıl tutarlı bir strateji oluşturması gerektiğine dair gerçekleştirdiği araştırmada öne çıkan 5 önemli bulgu ise şöyle;

• Şirketlerin yalnızca yüzde 21'i GDPR'nin pratikte ne anlama geldiğini anlamadığını düşünüyor

• Araştırmaya katılan şirketlerin yüzde 18'i hangi verilere sahip olduğunu ve bu verilerin nerede olduğunu bildiğini söylüyor

• GDPR'nin işin geneli üzerindeki potansiyel etkisini anlayan şirketlerin oranı sadece yüzde 17

Şirketlerin yalnızca yüzde 12'si GDPR'nin bulut hizmetlerini nasıl etkileyeceğini anlamış durumda

• Araştırmaya göre şirketlerin yüzde 89'u hangi verilerin kişisel verileri oluşturduğunu ayrıştıramıyor.