Google Cloud ve Genel Veri Koruma Yönetmeliği (GDPR)

GDPR'ye uygunluk, Google Cloud ve müşterilerimiz açısından en öncelikli konulardan biridir. Avrupa'da kişisel verilerin daha sıkı bir şekilde korunmasını hedefleyen GDPR, hepimizin faaliyetlerini etkiler. Bu konuda birçok sorunuz olduğunu biliyoruz. Size yardımcı olmak için buradayız. Google Cloud olarak koruma, denetim ve uygunluk konusunda müşteri odaklı bir yaklaşım benimsiyor, GDPR yolculuğunuzu kolaylaştırmak istiyoruz.

GOOGLE CLOUD VE GDPR RAPORU GOOGLE CLOUD GDPR HIZLI BAŞVURU KILAVUZU G SUITE VERİLERİNİN KORUNMASIYLA İLGİLİ UYGULAMA KILAVUZU

GDPR Kaynak Merkezimizi ziyaret edin 

GDPR nedir?

25 Mayıs 2018'de yürürlüğe giren GDPR, 1995 tarihli AB Veri Koruma Direktifi'nin yerini almıştır.

GDPR, Avrupa'da kurulmuş veya Avrupa'daki kullanıcılara hizmet veren tüm işletmeler ve kuruluşlar için belirli şartlar ortaya koyar. GDPR:

  • İşletmelerin kişisel verileri nasıl toplayabileceğini, kullanabileceğini ve depolayabileceğini belirler
  • Mevcut belgelendirme ve raporlama şartlarına dayanarak sorumluluğu artırır
  • Şartları karşılayamayan işletmelere para cezası kesilmesi için yetki sağlar

Neler yapıyoruz?

Google Cloud olarak, kullanıcı verilerinin gizliliğini ve güvenliğini ön planda tutup geliştiren girişimleri destekliyoruz. Artık GDPR yürürlükte olduğundan, Google Cloud müşterilerinin hizmetlerimizi güvenle kullanabilmesi için çeşitli güncellemeler yaptık. Google Cloud iş ortağı olduğunuzda, şunları yaparak çalışmalarınızı destekleriz:

  1. Sözleşmelerimizde, tüm Google Cloud Platform ve G Suite hizmetlerinde müşterilere ait kişisel verileri işlerken GDPR'ye uyacağımız konusunda taahhüt veririz
  2. En hassas kişisel verileri daha iyi korumanıza yardımcı olabilecek ek güvenlik özellikleri sunarız
  3. Hizmetlerimizin gizlilik değerlendirmesinde size yardımcı olacak belgeler ve kaynaklar sağlarız
  4. Yönetmelikler değiştikçe sunduğumuz özellikleri geliştirmeye devam ederiz

G Suite ve Google Cloud Platform'un GDPR Taahhütleri

Veri denetleyiciler, diğer sorumluluklarının yanı sıra, yalnızca verilerin GDPR şartlarına uygun olarak işlenmesi için gerekli teknik ve kurumsal önlemlerin alınmasıyla ilgili yeterli güvence sağlayan veri işleyenler kullanmakla yükümlüdür. G Suite ve Google Cloud Platform hizmetlerini değerlendirirken, aşağıdakileri göz önünde bulundurabilirsiniz:

Uzman Bilgisi, Güvenilirlik ve Kaynaklar
Veri Koruma Taahhütleri
Alt İşleyenlerin Kullanımı
Hizmetlerin Güvenliği
Verilerin İadesi ve Silinmesi
Denetleyiciler İçin Yardım
Uluslararası Veri Aktarımları
Standartlar ve Sertifikalar
Uzman Bilgisi, Güvenilirlik ve Kaynaklar

Veri Koruma Uzmanlığı

Google bünyesinde bilgi, uygulama ve ağ güvenliği alanında dünyanın önde gelen uzmanlarından bazıları da dahil olmak üzere güvenlik ve gizlilik profesyonelleri çalışmaktadır. Bu uzman ekibin görevi; şirketin savunma sistemlerini yönetmek, güvenlik inceleme süreçlerini geliştirmek, daha güçlü bir güvenlik altyapısı oluşturmak ve Google'ın güvenlik politikalarını hayata geçirmektir.

Google bünyesinde, Google Cloud için gizlilik ve güvenlik uygunluğuyla ilgilenen avukatlar, yönetmeliklere uygunluk uzmanları ve kamu politikası uzmanlarından oluşan kapsamlı bir ekip de çalışmaktadır.

Bu ekipler; G Suite ve Google Cloud Platform hizmetlerimizin, müşterilerin uygunluk ihtiyaçlarını karşılamasına yardımcı olduğundan emin olmak için müşteriler, sektördeki paydaşlar ve denetleme yetkilileriyle iş birliği yapar.

Veri Koruma Taahhütleri

Veri İşleme Sözleşmeleri

G Suite ve Google Cloud Platform veri işleme sözleşmelerimiz, müşterilere gizlilik taahhüdümüzü açıkça ifade eder. Yıllar içinde bu şartları müşterilerimiz ve düzenleme kurumlarından gelen geri bildirimlere göre geliştirdik.

Daha yakın bir tarihte bu şartları özellikle GDPR değişikliklerine uygun olacak şekilde güncelleyerek GDPR yürürlüğe girmeden çok önce kullanıma sunduk. Bu sayede müşterilerimizin Google Cloud hizmetlerini kullanırken uygunluk değerlendirmelerini ve GDPR'ye hazırlanma sürecini hızlandırdık.

Müşterilerimiz, güncellenen bu veri işleme şartlarına G Suite Veri İşlenmesine İlişkin Değişiklik için bu bağlantıda, GCP Veri İşleme ve Güvenlik Şartları için ise bu bağlantıda açıklanan etkinleştirme işlemi ile giriş yapabilir.

Talimatlar Doğrultusunda İşleme

Müşterilerimiz ve kullanıcıları tarafından sistemlerimize eklenen tüm veriler, GDPR doğrultusunda güncellenen veri işleme sözleşmelerimizde de belirtildiği gibi yalnızca müşteri talimatı üzerine işlenir.

Çalışanların Gizlilik Taahhütleri

Tüm Google çalışanlarının, gizlilik sözleşmesi imzalaması ve Davranış Kuralları eğitimi dahil olmak üzere zorunlu gizlilik eğitimlerini tamamlaması gerekmektedir. Google Davranış Kuralları, özellikle bilgilerin korunmasına dair sorumlulukları ve beklenen davranışları ele almaktadır.

Alt İşleyenlerin Kullanımı

Google Grubu şirketleri, G Suite ve Google Cloud Platform hizmetleri sunmak için gerekli veri işleme faaliyetlerinin büyük kısmını doğrudan yürütür. Ancak bu hizmetlerin sağlanmasında bazı üçüncü taraf tedarikçilerden yardım alıyoruz. Gerekli teknik uzmanlığa sahip olduklarından ve uygun seviyede güvenlik ve gizlilik sağlayabileceklerinden emin olmak için tüm tedarikçileri, titizlikle yürütülen bir seçim sürecine tabi tutuyoruz.

Google grubu dahilindeki, G Suite ve Google Cloud Platform hizmetlerini destekleyen alt işleyenler ve bu hizmetlerle alakalı üçüncü taraf alt işleyenler hakkında bilgi sunuyoruz. Buna ek olarak, veri işleme sözleşmelerimize alt işleyenlerle ilgili taahhütleri dahil ediyoruz.

Hizmetlerin Güvenliği

GDPR uyarınca, riske uygun güvenlik düzeyini sağlamak için gerekli teknik ve kurumsal önlemler alınmalıdır.

Google, bilginin işlenme sürecinde baştan sona en gelişmiş güvenliği sağlamak için tasarlanmış küresel bir altyapıya sahiptir. Bu altyapı; hizmetlerin güvenli bir şekilde dağıtılması ve son kullanıcılara yönelik güvenlik önlemleriyle birlikte verilerin güvenle saklanması için tasarlanmıştır. Aynı zamanda, hizmetler arasında güvenli iletişim sağlanır. İnternette müşterilerle kurulan iletişim de güvenli ve gizli kalır. G Suite ve Google Cloud Platform bu altyapı üzerinde çalışır.

Altyapımızın güvenliğini, birbiri üstüne inşa edilen katmanlar halinde tasarladık. Bu katmanlar; veri merkezlerinin fiziksel güvenliğinden, donanım ve yazılımlarımız için sağladığımız güvenlik önlemlerine ve operasyonel güvenliği desteklemek için yararlandığımız süreçlere kadar her şeyi kapsar. Bu katmanlı koruma, her faaliyetimizde güvenle adım atmamızı sağlar. Altyapımızın Güvenliğine dair ayrıntılı açıklamaları Google Altyapısının Güvenlik Tasarımına Genel Bakış Raporu'nda bulabilirsiniz.

Kullanılabilirlik, Bütünlük ve Esneklik

Google, platformumuzun bileşenlerini yüksek yedeklilik standartlarına göre tasarlar. Doğal afet ve yerel hizmet kesintileri gibi durumlarda global ürünlerin bölgesel aksaklıklardan olabildiğince az etkilenmesi için, Google'ın veri merkezleri coğrafi olarak farklı konumlara dağıtılmıştır. Yazılım, donanım veya ağ arızası durumunda hizmetler hemen otomatik olarak bir tesisten diğerine aktarılır. Böylece işlemler, kesintisiz olarak devam eder. Yüksek yedeklilik standardına sahip altyapımız, müşterilerimizin veri kaybı yaşamamasına yardımcı olur.

Test

Google, altyapı ve uygulama ekipleri için ortak bir platform sağlamak üzere her yıl olağanüstü durum kurtarma testleri yapar. Böylece iletişim planları, devir senaryoları, operasyonel geçiş ve acil durumda yapılan diğer işlemler test edilir. Olağanüstü durum kurtarma uygulamasına katılan tüm ekipler, test planlarının yanı sıra sonuçların ve testlerden öğrenilen derslerin belgelendirildiği son incelemeler hazırlar.

Şifreleme

Google, verileri geçiş aşamasında ve kullanılmadığı durumlarda korumak için şifrelemeden yararlanır. G Suite'e geçirilen veriler, HTTPS ile korunur. Bu özellik, tüm kullanıcılar için varsayılan olarak etkinleştirilmiştir. G Suite ve Google Cloud Platform hizmetleri, kullanımda olmayıp depolanan müşteri içeriğini en az bir şifreleme mekanizmasıyla şifreler. Bunun için müşterilerin herhangi bir işlem yapmasına gerek yoktur. Verilerin şifrelenmesine dair ayrıntılı açıklamayı Şifreleme Raporumuzda bulabilirsiniz.

Erişim Denetimleri

Google çalışanlarının erişim hakları ve seviyeleri, işteki görevlerine ve rollerine göre değişir. Bunun için, tanımlanmış sorumluluklara uygun erişim hakkı sağlanacak şekilde, mümkün olan en az yetkinin verilmesi ve yalnızca bilinmesi gerekenlere izin verilmesi esas alınır. Ek erişim istenmesi halinde, veri veya sistem sahibinden, yöneticiden ya da diğer yetkililerden Google güvenlik politikalarında belirlendiği şekilde alınan bir istek ve onay formunu içeren resmi bir süreç uygulanır.

Güvenlik Açığı Yönetimi

Yazılımların güvenlik açıklarını belirlemek için piyasadaki ticari araçların yanı sıra özel olarak oluşturulmuş şirket içi araçlardan, otomatik ve manuel olarak yapılan zorlu izinsiz erişim testlerinden, kalite güvencesi süreçlerinden, yazılımlar için güvenlik incelemelerinden ve harici denetimlerden yararlanırız. G Suite, Google Cloud Platform ve diğer Google ürünlerindeki güvenlik açıklarının tespit edilmesi için geniş güvenlik araştırmaları topluluğundan da yardım alır, sundukları desteğe büyük önem veririz. Güvenlik Açığı Ödül Programımızla araştırmacıları, müşterilerin verilerini tehlikeye atabilecek tasarım ve uygulama sorunlarını bize bildirmeye teşvik ederiz.

Ürün Güvenliği: G Suite

G Suite müşterileri, kişisel verilerini yetkisiz veya yasa dışı işlenmeye karşı daha iyi korumak için şu ürün özellikleri ve yapılandırmalarından yararlanabilir:

  • 2 adımlı doğrulama, oturum açma sırasında kullanıcılardan kimliklerini bir kez daha ispat etmelerini isteyerek yetkisiz erişim riskini azaltır. Zorunlu güvenlik anahtarı kullanımıyla oturum açma sırasında kullanıcıların fiziksel anahtar kullanması gerekir. Böylece kullanıcı hesapları daha iyi korunur.
  • Şüpheli Giriş İzleme, güçlü makine öğrenimi özellikleriyle şüpheli girişleri tespit eder.
  • Gelişmiş e-posta güvenliği, e-posta iletilerinin Güvenli/Çok Amaçlı İnternet Posta Uzantıları (S/MIME) kullanılarak imzalanıp şifrelenmesini gerektirir.
  • Veri kaybını önleme özelliğiyle, Gmail ve Drive'daki hassas bilgilerin yetki dışı paylaşımı önlenir. Veri Kaybını Önleme (DLP) Raporumuzdan daha fazla bilgi edinin.
  • Drive'daki bilgi hakları yönetimi sayesinde gelişmiş paylaşım menüsünden, dosyaların indirilmesini, yazdırılmasını ve kopyalanmasını devre dışı bırakabilirsiniz. Ayrıca dosyalar için son erişim tarihi belirleyebilirsiniz.
  • Mobil cihaz yönetimi, sistemin sürekli olarak izlenmesini sağlar. Aynı zamanda, şüpheli cihaz etkinlikleri görüldüğünde uyarı verir.
  • Güvenlik Merkezi sayesinde tek bir kapsamlı kontrol panelinden, harici dosya paylaşımını, kuruluşunuzdaki kullanıcıları hedef alan spam ve kötü amaçlı yazılımları ve güvenliğinizin ne derece etkin olduğunu gösteren metrikleri görebilirsiniz.
  • Google Apps Kasası e-Delil tespiti ve uygunluk gereksinimleriniz için kuruluşunuzun e-postalarını, Google Drive dosya içeriğini ve kayıtlı sohbetlerini saklamanıza, arşivlemenize, dışa aktarmanıza ve bunlar içinde arama yapmanıza olanak tanır.

    Üçüncü taraf uygulama erişimi denetimleri sayesinde, kimlik doğrulama ve kurumsal veri erişimi için OAuth'tan yararlanılarak üçüncü taraf uygulamalar izlenip kontrol edilebilir. OAuth erişimi kullanıcı bazında devre dışı bırakılabilir ve incelenen üçüncü taraf uygulamaları beyaz listeye eklenebilir.

Daha fazla bilgi için https://gsuite.google.com/security adresini ziyaret edebilirsiniz.

Ürün Güvenliği: GCP

GCP müşterileri, kişisel verilerini yetkisiz veya yasa dışı işlenmeye karşı daha iyi korumak için şu ürün özellikleri ve yapılandırmalarından yararlanabilir:

  • 2 adımlı doğrulama, oturum açma sırasında kullanıcılardan kimliklerini bir kez daha ispat etmelerini isteyerek yetkisiz erişim riskini azaltır. Zorunlu güvenlik anahtarı kullanımıyla oturum açma sırasında kullanıcıların fiziksel anahtar kullanması gerekir. Böylece kullanıcı hesapları daha iyi korunur.
  • Google Cloud Identity and Access Management (Cloud IAM), Google Cloud Platform kaynakları için ayrıntılı erişim ve değiştirme izinleri oluşturup yönetmenizi sağlar.
  • Data Loss Prevention API, yeterli kontrol sağlamak üzere, özel kişisel veri kategorilerini işleme faaliyetlerini tespit edip izlemenizi sağlar.
  • Stackdriver Logging ve Stackdriver Monitoring; günlük kaydı, izleme, uyarı ve anormallik algılama sistemlerini Google Cloud Platform'a entegre eder.
  • Cloud Identity-Aware Proxy (Cloud IAP), Google Cloud Platform'da çalıştırılan bulut uygulamalarına erişimi kontrol eder.
  • Cloud Security Scanner, Google App Engine uygulamalarında yaygın güvenlik açıklarını tarayıp tespit eder.
  • Cloud Security Command Center sayesinde merkezi tek bir kontrol panelinden; bulut varlıklarınızın envanterini görüntüleyip izleyebilir, hassas veriler için depolama sistemlerini tarayabilir, yaygın görülen web güvenlik açıklarını algılayabilir ve kritik kaynaklarınıza erişim haklarını inceleyebilirsiniz.

Daha fazla bilgi için https://cloud.google.com/security/ adresini ziyaret edebilirsiniz.

Verilerin İadesi ve Silinmesi

Yöneticiler, sözleşme süresince herhangi bir zamanda G Suite veya Google Cloud Platform hizmetlerinin işlevlerini kullanarak (Daha fazla bilgi için Google Cloud Platform belgelerini inceleyin) müşteri verilerini dışa aktarabilir. Verilerin dışa aktarımıyla ilgili taahhütlerimizi, birkaç yıldır veri işleme şartlarımıza dahil ediyoruz. Ayrıca bu taahhütleri, GDPR'ye uygun olarak güncelledik. Verilerin dışa aktarımı için daha sağlam özellikler sunmanın yanı sıra, G Suite ve Google Cloud Platform hizmetlerinden işletme verilerinizin bir kopyasını güvenle indirebilmenizi kolaylaştırmak amacıyla durmadan çalışıyoruz.

Ayrıca G Suite veya Google Cloud Platform hizmetlerinin işlevlerinden yararlanarak müşteri verilerini istediğiniz zaman silebilirsiniz. Google, sizden tamamen silme talimatı aldığında (ör. sildiğiniz e-postayı artık "çöp kutusundan" kurtaramadığınızda), saklama yükümlülükleri bulunmadığı sürece en fazla 180 gün içinde ilgili müşteri verilerini tüm sistemlerinden siler.

Denetleyiciler İçin Yardım

Veriyle İlişkili Kişilerin Hakları

Veri denetleyiciler; kendileri ve kullanıcıları tarafından sistemlerine eklenen tüm verilere erişilmesi, bu verilerin düzeltilmesi, işlenmesinin kısıtlanması ya da silinmesine yardımcı olan G Suite ve Google Cloud Platform yönetici konsolları ve hizmetlerinin işlevlerinden yararlanabilir. Bu işlevler sayesinde, GDPR kapsamında haklarından yararlanmak isteyen, verileri toplanan kullanıcıların isteklerine yanıt verme yükümlülüklerini yerine getirebilirler.

Veri Koruma Ekibi

Google, Google Ireland Limited'ın tüm kurumsal ürünleri dahil olmak üzere, GDPR'ye tabi veri işleme gerekliliklerini kapsayacak şekilde Google LLC ve yan kuruluşları için bir DPO atamıştır. Keith Enright (Director, Privacy Legal), Google LLC'nin Veri Koruma Yetkilisi olarak görev alacaktır. Keith Enright, ABD'nin San Francisco şehrinde yaşamaktadır.

Google kurumsal ürünleri için gerekli noktalarda, verilerin korunmasıyla ilgili müşteri sorgularının yanıtlanması amacıyla ekipler atanmıştır. Bu ekiplerle nasıl iletişim kurulacağı, ilgili sözleşmede açıklanmıştır. G Suite müşterileri, ilgili Sözleşmede açıklandığı şekilde, https://support.google.com/a/contact/googlecloud_dpr adresinden Müşteri Yöneticileri aracılığıyla (Yöneticiler, Yönetici Hesaplarında oturum açmışken) ve/veya doğrudan Google'a bildirimde bulunarak, Cloud Veri Koruma Ekibi ile iletişime geçebilir. Google Cloud Platform müşterileri, Veri Koruma Ekibi'ne https://support.google.com/cloud/contact/dpo adresinden ulaşabilir.

Olay Bildirimleri

G Suite ve Google Cloud Platform, yıllardır olay bildirimiyle ilgili sözleşme taahhütleri sunmaktadır. GDPR'ye göre güncellenmiş sözleşmelerimiz ve hükümlerimizde yer alan, veri olaylarıyla ilgili şartlar doğrultusunda, müşteri verilerinize dair olaylar söz konusu olduğunda sizi derhal bilgilendirmeye devam edeceğiz.

Uluslararası Veri Aktarımları

GDPR, kişisel verilerin AB dışına aktarımını kolaylaştırmak için çeşitli mekanizmalar sunar. Bu mekanizmalar, üçüncü ülkelere aktarılan kişisel verilerin uygun seviyede korunduğunun onaylanmasını veya doğru önlemler alındığının kontrol edilmesini sağlar.

Model sözleşme maddelerine göre uygun önlemler sağlanabilir. Örneğin, AB-ABD Gizlilik Kalkanlarını destekleyenler gibi yeterlilik kararlarıyla, yeterli koruma düzeyi sağlandığı onaylanabilir.

Sözleşme kapsamında kişisel verilerin, GDPR'ye uygun olarak AB dışına aktarımını kolaylaştıran bir mekanizma sunmayı taahhüt ediyoruz. AB-ABD ve İsviçre-ABD Gizlilik Kalkanı Çerçeveleri altındaki Google sertifikası, G Suite ve Google Cloud Platform'u kapsar. Ayrıca Avrupa Veri Koruma Yetkililerinden, model sözleşme maddelerimizin uygunluğuna dair onay aldık. Böylece, G Suite ve Google Cloud Platform için sözleşme taahhütlerimizin, kişisel verilerin AB’den dünyanın geri kalanına aktarımını yasal olarak düzenleyen gereklilikleri tam olarak karşıladığı doğrulanmıştır.

Standartlar ve Sertifikalar

Müşterilerimiz ve yönetmeliklerden sorumlu makamlar; güvenlik, gizlilik ve uygunluğun bağımsız şekilde denetlenip doğrulanmasını beklemektedir. Bu konuda güvence sağlanması için G Suite ve Google Cloud Platform, düzenli aralıklarla üçüncü taraflarca gerçekleştirilen birkaç bağımsız denetimden geçmektedir.

ISO 27001 (Bilgi Güvenliği Yönetimi)

ISO 27001, uluslararası platformda kabul görmüş bağımsız güvenlik standartları arasında en yaygın şekilde tanınanlardan biridir. Google; paylaşılan Ortak Altyapımızı oluşturan sistemler, uygulamalar, kişiler, teknoloji, süreçler ve veri merkezlerinin yanı sıra G Suite ve Google Cloud Platform ürünleri için ISO 27001 sertifikasına layık görülmüştür.

ISO 27017 (Bulut Güvenliği)

ISO 27017, özel olarak bulut hizmetlerine yönelik, ISO/IEC 27002'yi temel alan bilgi güvenliği kontrollerinin uygulanmasıyla ilişkili uluslararası bir standarttır. Google'ın sunduğu G Suite ve Google Cloud Platform hizmetlerinin ISO 27017'ye uygunluğu onaylanmıştır.

ISO 27018 (Bulut Gizliliği)

ISO 27018, genel bulut hizmetlerinde kişi tanımlayabilir bilgilerin (PII) korunmasına yönelik uluslararası bir uygulama standardıdır. Google'ın sunduğu G Suite ve Google Cloud Platform hizmetlerinin ISO 27018'e uygunluğu onaylanmıştır.

SSAE16 / ISAE 3402 (SOC 2/3)

Amerikan Yeminli Serbest Mali Müşavirler Enstitüsü'nün (AICPA) SOC 2 (Hizmet Organizasyonu Kontrolleri) ve SOC 3 denetim çerçevesi; Güven İlkelerinin yanı sıra güvenlik, kullanılabilirlik, işleme bütünlüğü ve gizlilik kriterlerini tanımlar. Google'ın, Google Cloud Platform ve G Suite için hem SOC 2 hem de SOC 3 raporu vardır.

Ne yapabilirsiniz?

Müşteri olarak sorumluluklarınız neler?

G Suite1 ve Google Cloud Platform müşterileri, Google Cloud hizmetlerini kullanarak Google'a sağladıkları tüm kişisel içerikler için genellikle veri denetleyici gibi hareket eder. Veri denetleyici, kişisel verilerin işlenme amacını ve yöntemini belirler. Bunun dışında, veri işleyen taraf vardır. Bu genellikle biziz. Veri işleyen taraf olarak Google Cloud, G Suite veya Google Cloud Platform kullanan veri denetleyiciler adına kişisel verileri işler.

Veri denetleyici nedir?

Tüm verilerin GDPR'ye uygun olarak işlendiğinden emin olmak ve bunu belirtmek için gerekli teknik ve kurumsal önlemlerin alınmasından, veri denetleyiciler sorumludur. Denetleyicilerin sorumlulukları; meşruluk, adalet, şeffaflık, amaçların sınırlandırılması, verilerin en aza indirilmesi ve doğruluk gibi ilkelerle ilgilidir. Bununla birlikte, verileri toplanan kullanıcıların verilerle ilgili haklarına uygun olarak hareket edilmesi gerekir.

Sizin için geçerli ulusal veya birincil veri koruma yetkilisinin web sitesini düzenli olarak ziyaret ederek ve Uluslararası Gizlilik Uzmanları Birliği (IAPP) gibi gizlilik birliklerinin yayınlarını inceleyerek, GDPR kapsamındaki sorumluluklarınız hakkında yol gösterici bilgilere ulaşabilirsiniz. Aynı zamanda bu GDPR sayfasının ve GDPR Kaynak Merkezimizin, en son haberler ve gelişmelerle güncel kalmasını sağlayacağız.

Bu site, Google Cloud'ın GDPR yaklaşımının müşterilerimiz tarafından daha iyi anlaşılması için tasarlanmıştır. Bu site yasal tavsiyeler sunmadığından, kuruluşunuz için geçerli belirli gereklilikler hakkında bilgi edinmek isterseniz bir hukuk danışmanıyla görüşmenizi öneririz.

Nereden başlamalısınız?

GDPR, Google Cloud müşterilerinin veri koruma uygunluk stratejilerinin bir parçası olmalıdır. Şu ipuçlarını göz önünde bulundurun:

  • GDPR hükümleri hakkında bilgi edinin
  • Elinizdeki kişisel verilerin güncel bir envanterini oluşturun. Verileri tanımlayıp sınıflandırmak için araçlarımızdan yararlanabilirsiniz.
  • Verilerin GDPR gerekliliklerine göre yönetilip korunması için mevcut denetimlerinizi, politikalarınızı ve süreçlerini inceleyin. Açıkları bulun ve bunları kapatmak için bir plan hazırlayın.
  • Kendi yönetmeliğe uygunluk çerçeveniz kapsamında, Google Cloud'un mevcut veri koruma özelliklerinden nasıl yararlanabileceğinizi düşünün. Başlangıç için G Suite ve Google Cloud Platform'un üçüncü taraf denetim ve sertifika materyallerini inceleyin.
  • G Suite Veri İşlenmesine İlişkin Değişiklik için bu bağlantıda, GCP Veri İşleme ve Güvenlik Şartları için ise bu bağlantıda açıklanan etkinleştirme işlemi ile güncellenmiş veri işleme şartlarımızı inceleyip kabul edin.
1 G Suite, İşletmeler için G Suite
 ve Eğitim için G Suite'i içerir. 2 Sizin için geçerli ulusal veya birincil veri koruma yetkilisini belirlemek amacıyla burada sunulan bilgilerden ayrı olarak yasal danışmanlık hizmeti almanızı öneririz.

SSS

GDPR nedir?
Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe giren ve 24 Ekim 1995 tarihli 95/46/EC sayılı Veri Koruma Direktifi'nin yerini alan bir gizlilik mevzuatıdır.
GDPR kapsamında AB'de kişisel verilerin depolanması zorunlu mu?
Hayır. Tıpkı 95/46/EC sayılı Veri Koruma Direktifi gibi GDPR de kişisel verilerin AB dışına aktarımıyla ilgili belirli koşullar ortaya koyar. Bu koşullar, model sözleşme maddeleri gibi mekanizmalarla karşılanabilir.
Şartlarınızı GDPR'ye uygun olarak nasıl güncellediniz?
Google Cloud olarak yıllardır müşterilerimize verdiğimiz gizlilik ve güvenlik taahhütlerinin açıkça belirtildiği veri işleme şartları sunduk. GDPR, bu konudaki sözleşme taahhütlerinden bağımsız olarak bulut hizmeti sağlayıcıları için doğrudan geçerli olsa da, biz de şartlarımızı GDPR'ye uygun olarak güncelledik. GDPR'ye uygun olarak güncellenen şartlarımız, bir bulut müşterisinin veri işleyen kullanımını yöneten GDPR 28. Maddesi hükümlerini özellikle yansıtmaktadır.
GDPR, müşterilere Google Cloud'u denetleme hakkı veriyor mu?
GDPR kapsamında, veri işleyenlerle yapılan sözleşmelerde veri denetleyicilere denetim hakları verilmelidir. Güncellenen veri işleme sözleşmelerimize, müşterilerimizin yararına olan denetim hakları da dahildir.
Üçüncü taraf ISO 27001, ISO 27017, ISO 27018 ve SOC 2/3 raporları, GDPR'ye uygunluk konusunda nasıl bir rol oynar?
Risk değerlendirmesi yapmak isteyen müşterilerimiz, üçüncü taraf ISO sertifikalarımız ve SOC 2/3 denetim raporlarından yararlanabilir. Bunlar aynı zamanda müşterilerimizin, uygun teknik ve kurumsal önlemlerin alınıp alınmadığını belirlemesine yardımcı olabilir.
Google, GDPR ile ilgili başka hangi bilgileri ve kaynakları sağlıyor?
Google'ın İşletmeler ve Veriler web sitesi ile GDPR Kaynak Merkezimizi inceleyin.