Evet. GDPR uyarınca sorumluların (Microsoft'un kurumsal çevrimiçi hizmetlerini kullanan kurumlar gibi) yalnızca GDPR'nin temel gereksinimlerinin karşılandığına ilişkin yeterli garantileri sağlayan işleyenleri (Microsoft gibi) kullanması gerekir. Microsoft tüm Toplu Lisans müşterilerine sözleşmeleri kapsamında bu taahhütleri sağlamaya yönelik proaktif adımı atmıştır.

Microsoft'un GDPR'yle ilgili sözleşmeye eklediği taahhütleri Müşteri sözleşmelerinin altındaki GDPR'ye Genel Bakış sayfasında bulabilirsiniz.

Microsoft, GDPR sorumluluğunuzu desteklemek için araçlar ve belgeler sağlar. Bunlar arasında Veri Sahibi Hakları, kendi Veri Koruma Etkisi Değerlendirmelerinizi yapma ve kişisel veri ihlallerini çözmek için birlikte çalışma sayılabilir. GDPR'ye Genel Bakış sayfasını ziyaret edin.

Microsoft’un GDPR Koşulları 28. Maddede işleyenler için istenen taahhütleri yansıtır. 28. Madde işleyenlerin şunları taahhüt etmesini gerektirir:

• Yalnızca sorumlunun onayladığı ve işleyenin sorumluluğu altında olan alt işleyenler kullanılır.
• Aktarım işlemleri de dahil olmak üzere kişisel veriler yalnızca sorumluların talimatları doğrultusunda işlenir.
• Kişisel verileri işleyen kişilerin gizlilik taahhüdünde bulunması sağlanır.
• Riske uygun bir kişisel veri güvenliği düzeyini sağlayacak biçimde uygun teknik ve düzenlemeye ilişkin önlemler alınır.
• Veri sahiplerinin GDPR'den doğan haklarını kullanma taleplerine yanıt verme yükümlülüğünün yerine getirilmesinde sorumlulara yardımcı olunur.
• İhlal bildirimi ve yardım gereksinimlerine uyulur.
• Denetim makamlarıyla veri koruma etki değerlendirmeleri ve danışmanlığında sorumlulara yardımcı olunur.
• Hizmetlerin sağlanması sona erdiğinde kişisel veriler silinir veya iade edilir.
• GDPR'ye uyumluluğun kanıtlanması konusunda sorumluyu destekler.

Microsoft uzun süredir kurumsal çevrimiçi hizmetleri için veri aktarımında Standart Sözleşme Maddelerini (Model Maddeleri olarak da bilinir) temel almaktadır. Standart Sözleşme Maddeleri Avrupa Komisyonu tarafından sağlanan ve verilerin Avrupa Ekonomik Alanı dışına uyumlu bir yöntemle aktarılması için kullanılabilen standart koşullardır. Microsoft, Standart Sözleşme Maddelerini Çevrimiçi Hizmet Koşulları üzerinden tüm Toplu Lisans sözleşmelerimize eklemiştir. 29. Madde Çalışma Grubu Microsoft'un Standart Sözleşme Maddeleri uygulamasının özel olarak uyumlu olduğunu belirtmiştir.

AB-ABD Gizlilik Kalkanı kullanıma sunulduğunda da Microsoft sertifika alan ilk şirket olmuştur. Microsoft’un Gizlilik Kalkanı sertifikasına bakın ve Çevrimiçi Hizmet Koşulları'nı okuyun. AB-ABD Gizlilik Kalkanı, verilerini ABD'ye aktarmak isteyen müşterilerin bu işlemi veri koruma yükümlülükleriyle tutarlı bir yöntemle yapmalarına yardımcı olur.

Dünyanın hemen her ülkesinde müşterileri bulunan küresel bir şirket olarak Microsoft'un müşterilerimize yardımcı olmaya yönelik güçlü bir uyumluluk portföyü vardır. FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171 ve UK G-Cloud gibi uyumluluk tekliflerimizin tam listesini görüntülemek için uyumluluk teklifleri listemizi ziyaret edin.

Microsoft hizmetlerinde GDPR'nin gereksinimlerini karşılamak için kullanılan özellikler hakkında bilgi edinmek için lütfen www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation adresini ziyaret edin.

GDPR, kişisel verileri toplayan ve işleyen kurumlara çok çeşitli gereksinimler getirir. Bu gereksinimler arasında altı temel ilkeyle uyumluluk da vardır:

• Kişisel verilerin işlenmesi ve kullanılmasında şeffaflık, adalet ve hukuka uygunluk. Kişisel verilerin nasıl kullanıldığı konusunda bireylere karşı açık olmalı ve ayrıca bu verileri işlerken "hukuk temelinde" davranmalısınız.
• Kişisel verilerin işlenmesini belirtilen, açık ve meşru amaçlarla sınırlama. Kişisel verileri, başlangıçta bu verileri toplama amacınızla "uyumlu" olmayan amaçlarla tekrar kullanamaz veya açıklayamazsınız.
• Belirlenen amaç için yeterli ve bu amaçla alakalı olacak şekilde kişisel verilerin toplanmasını ve depolanmasını en az düzeye indirme.
• Kişisel verilerin doğruluğunu güvence altına alma ve silinmesini veya düzeltilmesini sağlama. Elinizdeki kişisel verilerin doğruluğunu ve hatalar olması durumunda düzeltilebileceğini güvence altına almak için gerekli adımları atmalısınız.
• Kişisel verilerin saklama süresini sınırlandırma. Kişisel verileri, yalnızca bu verilerin toplanma amaçlarını gerçekleştirmek için gereken süre boyunca tuttuğunuzdan emin olmalısınız.
• Kişisel verilerin güvenliğini, bütünlüğünü ve gizliliğini sağlama. Kurumunuz teknik ve kurumsal güvenlik önlemleri aracılığıyla kişisel verilerin güvenliğini korumak için gerekli adımları atmalıdır.

Kurumunuzun GDPR'yle ilgili belirli yükümlülüklerinin neler olduğunu ve bunları nasıl karşılayacağınızı anlamanız gerekir. Öte yandan Microsoft da GDPR yolculuğunuzda size yardımcı olmaya hazırdır.

Genel Veri Koruma Yönetmeliği (GDPR) hakkında daha fazla bilgi edinmek için lütfen www.microsoft.com/gdpr sayfasını ziyaret edin. Buradaki Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 ve Windows 10 ile ilgili bölümlerde belirli Microsoft ürünlerinin GDPR'ye uyumluluk için hazırlanmanıza nasıl yardımcı olabileceğini de öğrenebilirsiniz.

GDPR, bir dizi "veri sahibi hakları" aracılığıyla AB vatandaşlarına kişisel verileri üzerinde denetim sağlar. Bu haklar şunlardır:

• Kişisel verilerin nasıl kullanıldığı hakkındaki bilgilere erişim.
• Kurum tarafından tutulan kişisel verilere erişim.
• Yanlış kişisel verilerin silinmesi veya düzeltilmesini sağlama.
• Bazı durumlarda kişisel verilerin düzeltilmesini ve silinmesini sağlama ("unutulma hakkı" olarak da adlandırılır).
• Kişisel verilerin otomatik işlenmesini kısıtlama veya buna itiraz etme.
• Kişisel verilerin bir kopyasını alma.

Sorumlu, yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kurumu, kurumu veya diğer herhangi bir organdır. İşleyen, sorumlu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kurumu, kurumu veya diğer herhangi bir organdır.

Evet, GDPR hem sorumlulara hem de işleyenlere uygulanır. Sorumlular, yalnızca GDPR'nin gereksinimlerini karşılamak için gerekli önlemleri alan işleyenleri kullanmalıdır.

Veri Koruma Direktifi'yle karşılaştırıldığında, GDPR kapsamında işleyenler uyumsuzluk durumunda veya sorumlular tarafından sağlanan talimatların dışına çıkıldığında ek görev ve yükümlülüklerle karşı karşıya gelir. İşleyen görevleri aşağıdakileri içerir ancak bunlarla sınırlı değildir:

• Sadece sorumlunun talimatları doğrultusunda verileri işleme.
• Kişisel verileri korumak için uygun teknik ve kurumsal önlemleri alma.
• Veri sahibi taleplerini karşılamada sorumluya yardımcı olma.
• Kullandığı alt işleyenlerin bu gereksinimleri karşıladığından emin olma.

Bazı GDPR gereksinimlerini karşılayamayan şirketlere 20 milyon Euro'ya kadar veya yıllık dünya çapındaki cirosunun %4'ü kadar (hangisi daha yüksekse) para cezası uygulanabilir. GDPR gereksinimlerini karşılamakta başarısız olursanız ek münferit çözüm yolları riskinizi artırabilir.

Tüzükte tanımlanmış olan çeşitli faktörlere bağlıdır. GDPR'nin 37. Maddesinde sorumlular ve işleyenlerin şu durumlarda bir veri koruma görevlisi belirleyeceği belirtilir: (a) işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kurumu veya organı tarafından gerçekleştirilmesi; (b) sorumlu veya işleyenin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya (c) sorumlu veya işleyenin temel faaliyetlerinin 9 Maddesi uyarınca özel kategorilerdeki verilerin ve 10. Maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana gelmesi.

GDPR ile uyumluluğu sağlamak kurumların çoğunda zamana ve paraya mal olacaktır; öte yandan iyi yapılandırılmış bir bulut hizmetleri modeliyle faaliyet gösteren ve etkili bir veri yönetim programı olan kurumlar daha yumuşak bir geçiş yapabilir.

GDPR "kişisel verilerin" toplanmasını, saklanmasını, kullanılmasını ve paylaşılmasını düzenler. Kişisel veri kavramı GDPR'de çok geniş anlamıyla, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanır.

Kişisel veriler, bunlarla sınırlı kalmamak kaydıyla çevrimiçi tanımlayıcıları (IP adresleri gibi), çalışan bilgilerini, satış veritabanlarını, müşteri hizmetleri verilerini, müşteri geri bildirim formlarını, konum verilerini, biyometrik verileri, CCTV görüntülerini, sadakat programı kayıtlarını, sağlıkla ilgili ve finansal bilgileri ve çok daha fazlasını içerebilir. İnsansız bir manzara fotoğrafı gibi kişisel gibi görünmeyen bilgileri bile, bu bilgiler tanımlanabilir bir kişinin hesap numarasına veya benzersiz koduna bağlanıyorsa, içerebilir. Hatta takma ad kullanılmış kişisel veriler de, eğer bu takma ad belirli bir kişiyle bağlanabiliyorsa, kişisel veri olabilir.

Bazı "özel" kategorilerdeki kişisel verilerin (kişinin ırk veya etnik kökenini ortaya koyan ya da sağlığıyla veya cinsel eğilimiyle ilgili kişisel veriler gibi) işlenmesinin "normal" kişisel verilerin işlenmesinden daha sıkı kurallara tabi olduğuna dikkat etmelisiniz.

Bu kişisel veri değerlendirmesi son derece olguya özel bir değerlendirmedir, dolayısıyla kendi özel durumlarınızı değerlendirirken bir uzmanla çalışmanızı öneririz.

Evet. Kurallar biraz farklılık gösterse de, GDPR kendi amaçları için veri toplayan ve işleyen kurumlara ("sorumlulara") uygulandığı gibi başkaları adına veri işleyen kurumlara da ("işleyenler") uygulanır. Bu, kontrolörlere uygulanan mevcut Veri Koruma Direktifi'yle farklılıklarından biridir.

Kişisel veriler tanımlanmış veya tanımlanabilir bir kişiye ilişkin her türlü bilgidir. Kişinin özel, genel ve iş rolleri arasında bir ayrım yapılmaz. Kişisel veriler şunları içerebilir:

Kişisel veri örnekleri:

Kimlik

• Ad
• Ev adresi
• İş adresi
• Telefon numarası
• Cep telefonu numarası
• E-posta adresi
• Pasaport numarası
• Nüfus cüzdanı
• Sosyal Güvenlik Numarası (veya eşdeğeri)
• Ehliyet
• Fiziksel, psikolojik veya genetik bilgiler
• Tıbbi bilgiler
• Kültürel kimlik

Finans

• Banka ayrıntıları / hesap numaraları
• Vergi dosya numarası
• İş adresi
• Kredi/ATM kartı numaraları
• Sosyal medya gönderileri

Çevrimiçi yapıtlar

• Sosyal medya gönderileri
• IP adresi (AB bölgesi)
• Konum / GPS verileri
• Çerezler

Evet, bununla birlikte GDPR Avrupa vatandaşlarına ait kişisel verilerin Avrupa Ekonomik Alanı dışındaki hedeflere aktarımını sıkı bir şekilde düzenler. Bu aktarımlara olanak tanımak için belirli bir yasal mekanizma, örneğin bir sözleşme hazırlamanız veya bir sertifika mekanizmasına uymanız gerekebilir. Microsoft, kullandığımız mekanizmaları Çevrimiçi Hizmet Koşullarında ayrıntıları olarak açıklar.

Sürekli işleme ve veri bekletmenin örneğin “sorumlunun tabi olduğu Birlik veya üye devlet hukuku çerçevesinde işleme faaliyeti gerektiren bir yasal yükümlülüğe uygunluk açısından” (Madde 17(3)(b)) meşru gerekçeleri olduğunda, GDPR kurumların verileri bekletmesi gerekebileceğini kabul eder. Öte yandan bekletme gerekçelerinin veri sahiplerinin hakları ve özgürlüklerinden, veriler toplandığı zamanki beklentilerinden vb. daha ağır bastığından emin olmak için hukuk müşavirinize danışmalısınız.

GDPR'de şifreleme, ihlalden etkilenmiş olan kişisel verileri okunamaz hale getiren bir koruma önlemi olarak tanımlanır. Dolayısıyla, şifrelemenin kullanılıp kullanılmaması kişisel veri ihlalini bildirme gereksinimlerini etkileyebilir. GDPR ayrıca bazı durumlarda, riske bağlı olarak şifrelemenin uygun bir teknik veya kurumsal önlem olduğuna da işaret eder. Ayrıca şifreleme Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'nın ve finans hizmetleri sektörüne özgü sıkı uyumluluk yönergelerinin getirdiği bir gereksinimdir. Microsoft'un Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Veritabanı ve Windows 10 gibi ürün ve hizmetleri, aktarılan ve bekleyen veriler için güçlü bir şifreleme sunar.

Microsoft ürün ve hizmetlerinin GDPR uyumluluğuna hazırlanmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için lütfen ürünlerimizin GDPR gereksinimlerini karşılamaya nasıl yardımcı olacağına bakın.

GDPR veri koruma gereksinimlerini değiştirir; kişisel veri ihlallerinin bildirilmesiyle ilgili olarak işleyenlere ve sorumlulara daha sıkı yükümlülükler getirir. Yeni tüzüğe göre, işleyen kişisel veri ihlalinden haberdar olduğunda herhangi bir gecikmeye meydan vermeden bunu veri sorumlusuna bildirmelidir. Kişisel veri ihlalinden haberdar olan sorumlu 72 saat içinde ilgili veri koruma makamına bildirmelidir. İhlalin kişilerin hakları ve özgürlükleri açısından yüksek riske neden olma olasılığı varsa, sorumluların herhangi bir gecikmeye meydan vermeden etkilenen kişilere de durumu bildirmesi gerekir. Bu konuyla ilgili ek yönergeler AB'nin 29. Madde Çalışma Grubu tarafından geliştirilmektedir.

Microsoft'un Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 ve Windows 10 gibi ürün ve hizmetlerinin bugün güvenlik tehditlerini ve ihlallerini saptamanıza, değerlendirmenize ve GDPR'nin ihlal bildirim yükümlülüklerine uymanıza yardımcı olacak çözümleri vardır.

Microsoft FastTrack bir hizmet avantajıdır*; müşterilerin Microsoft Bulut ile daha hızlı değer oluşturmasına yardımcı olan müşteri başarısı hizmetimizdir. FastTrack'in yardımcı olduğu konular:

• E-postayı, içeriği geçirme ve Microsoft 365 hizmetlerini ortaya çıkarma.
• Cihazları dağıtma ve güvenle yönetme.
• İşletmenizi etkinleştirme ve son kullanıcıların benimsemesini sağlama.

Microsoft FastTrack müşterilere sunulan sürekli ve tekrarlanabilir bir hizmet avantajıdır. Microsoft mühendisleri ve uzmanları tarafından müşterilerin veya iş ortaklarının benimsemesini/kullanımını planlama, başlatma ve yönlendirme konusunda yardımcı olmak, müşterilerin ve iş ortaklarının buluta güvenle ve kendi belirledikleri bir tempoda geçmelerine katkıda bulunmak için sağlanır.

Müşterilere belirli dağıtımlarda ve Çevrimiçi Hizmetlerimize geçişte yardımcı olurken, Microsoft FastTrack GDPR'nin uygulamaya konduğu 25 Mayıs 2018 tarihinden başlayarak GDPR ile uyumluluğu taahhüt eder. FastTrack profesyonel hizmet avantajı kapsamında dağıtım ve benimseme yardımı için müşterimizin mevcut iş ortaklarıyla da birlikte çalışırız veya İş Ortaklarına başvururuz.

Daha fazla bilgi için https://FastTrack.Microsoft.com sitesine bakın.

*“Hizmet avantajı” OST ve MBSA belgelerimizde tanımlandığı şekliyle “profesyonel hizmet” olarak kabul edilir.

FastTrack mühendisleri ve uzmanları müşterilerin veya iş ortaklarının başarmak istediği senaryoları ve iş değerini planlama konusunda endüstri uzmanlarıdır. Müşterilerin veya iş ortaklarının bu hedeflere ulaşmasına yardımcı olacak ürün ve hizmetleri planlama, dağıtma ve benimsenmelerini yönlendirme konusuna odaklanırlar. Microsoft’un ürün ve hizmetlerinin GDPR ile uyumluluğunuzu nasıl desteklediği hakkında daha fazla bilgi edinmek için Güven Merkezi web sitemize bakabilirsiniz. Müşterilerimizi ve iş ortaklarımızı GDPR'yi, özel olarak kurumlarına nasıl uygulandığını ve uyumluluğun en iyi şekilde nasıl güvence altına alınacağını uzman bir hukuk müşaviriyle görüşmeleri için teşvik ederiz.

Müşterilerimizin şifrelemeyle ilgili GDPR gereksinimlerini ve bir bütün olarak GDPR gereksinimlerini saptamak için kendi hukuk ve uyumluluk ekipleriyle çalışmalarını öneririz. GDPR uyumluluğu her müşterinin toplanan verilerine, kullanım senaryolarına ve endüstri sektörleri veya vektörlerine özgüdür.

Microsoft FastTrack daha hızlı dağıtımlar ve ROI sağlamaya, ayrıca Microsoft ürün ve hizmetlerini kullanan çalışanlarınızı veya son kullanıcılarınızı benimsemeleri için yönlendirmeye çalışan bir müşteri başarısı hizmetidir. Bunlar göz önüne alınarak müşteriler veya iş ortakları Microsoft FastTrack aracılığıyla bir yardım isteği gönderdiklerinde, müşterilerimiz veya iş ortaklarımız için Microsoft ürün ve hizmetlerini uygun şekilde dağıtma sürecimizi başlatırız.

FastTrack profesyonel hizmet avantajımız kapsamında dağıtım ve benimseme yardımı için müşterimizin mevcut iş ortaklarıyla da birlikte çalışırız veya İş Ortaklarına başvururuz. GDPR alanında uzmanlaşmış ve Microsoft İş Ortaklarına Güven Merkezi'nin GDPR sayfasında açıklandığı şekliyle uyumluluk yönünde yardımcı olabilecek İş Ortakları hakkında daha fazla bilgiyi burada bulabilirsiniz. GDPR'ye hazır olma durumunuzu ve Microsoft Bulut ile GDPR uyumluluğunu nasıl hızlandırabileceğinizi değerlendirmek için Güvenilir Bulut/GDPR web sayfamıza başvurabilir ve dağıtım yardımı için Microsoft FastTrack'i kullanabilirsiniz.