anonym.legal
Bloga DönGDPR & Uyumluluk

Uzaktan Çalışma Yeni Bir GDPR Riski Yarattı...

Ofis içindeki ekipler tam özellikli masaüstü yazılımlar kullanıyor. Uzaktan çalışanlar ise potansiyel olarak farklı ayarlarla web uygulamaları...

April 21, 20266 dk okuma
remote work GDPRplatform consistencyhybrid workplace privacytechnical controlsGDPR compliance

COVID-SONRASI Platform Tutarsızlığı Sorunu

Uzaktan ve hibrit çalışmanın normalleşmesi, pek çok kuruluşun öngörmediği bir GDPR uyum zorluğu yarattı: farklı yerlerden çalışan çalışanlar artık aynı uyum yükümlülüğü altında farklı araçlar, farklı yapılandırmalar kullanıyor.

COVID öncesi standart açıktı: tüm çalışanlar kontrol edilen ofis ortamlarında yönetilen çalışma istasyonlarından çalışıyordu. Kurumsal yazılım eşit şekilde dağıtılıyordu. BT, her makinede aynı yapılandırmayı uyguluyordu. Uyum ortamı nispeten homojendi.

COVID sonrası, uyum ortamı heterojen:

  • Ofis içindeki çalışanlar, BT tarafından dağıtılan kurumsal yazılımlarla yönetilen çalışma istasyonları kullanıyor
  • Uzaktan çalışanlar, bazen şirket tarafından yönetilen, bazen BYOD olan ev çalışma istasyonları kullanıyor
  • Mobil çalışanlar, mevcut olan her cihazı kullanıyor, sınırlı yapılandırma kontrolü ile
  • Hibrit çalışanlar, ofis içi ve uzaktan yapılandırmalar arasında geçiş yapıyor

Her ortamda farklı araçlar, farklı araç yapılandırmaları ve farklı teknik kontroller olabilir. GDPR yükümlülüğü — kişisel verilerin uygun teknik önlemlerle korunması — dört ortamda da aynı şekilde geçerlidir.

2025 Hukukuna Göre Hukuki Standart

AB Genel Mahkemesi'nin 2025 tarihli veri ihlali sorumluluğuna ilişkin kararları, kuruluşların GDPR Madde 32 uyumunu göstermek için yalnızca politikalara güvenemeyeceklerini netleştirmiştir. Mahkemenin görüşü:

"Uygun teknik ve organizasyonel önlemlerin uygulandığını göstermek, işlemenin yapıldığı sırada operasyonel olan belirli teknik kontrollerin kanıtını gerektirir. Çalışanların kişisel verileri 'anonymize etmeleri gerektiğini' belirten politika belgeleri, teknik bir kontrolün kanıtı değildir."

Bu karar, uyum yaklaşımı "Bizim, çalışanların AI araçlarını kullanmadan önce verileri anonimleştirmelerini gerektiren bir gizlilik politikamız var. Uzaktan çalışanlar politikayı okuyor." olan kuruluşlar için sonuçlar doğurmaktadır.

Politika kontrol değildir. Anonimleştirmeyi gerçekleştiren teknik önlem — çalışanın nerede çalıştığına bakılmaksızın — kontrolüdür. Eğer teknik önlem ofis içi ve uzaktan ortamlarda tutarlı bir şekilde uygulanmıyorsa, kontrol tutarlı değildir.

Yapılandırma Tutarlılığı Gereksinimi

PII anonimleştirme teknik kontrolleri için, ortamlar arasında yapılandırma tutarlılığı şunu ifade eder:

Aynı varlık kapsama: Bir çalışan bir belgeyi ofiste veya evde işlerken, aynı 285+ PII varlık türü tespit edilir. "Yaklaşık olarak aynı" değil — aynı. Eğer ofis içindeki masaüstü uygulama ve uzaktaki web uygulaması farklı tespit motorları kullanıyorsa, kapsama tutarlılığı garanti edilemez.

Aynı eşikler: Otomatik anonimleştirme için güven eşik değeri her iki ortamda da aynıdır. %87 güvenle tespit edilen bir varlık, evde ve ofiste otomatik anonimleştirmeyi tetikler — ofiste otomatik anonimleştirme ama evde sadece bir uyarı değil.

Aynı ön ayarlar: Uyum tarafından yapılandırılan "GDPR Standardı" ön ayarı, çalışan aracına ofis çalışma istasyonundan veya ev dizüstü bilgisayarından erişip erişmediğine bakılmaksızın aynı şekilde uygulanır. Ön ayar senkronizasyonu, yapılandırma değişikliklerinin tüm erişim noktalarına yayılmasını sağlar.

Aynı denetim izi: Evden yapılan işlemler ve ofiste yapılan işlemler aynı merkezi denetim izinde görünür. "Uzaktan işleme kaydı" ile "ofis içi işleme kaydı" arasında ayrı bir kayıt yoktur.

Web Uygulaması ile Masaüstü Uygulaması Ayrımının Önemi

Pek çok kuruluş, ofis içindeki kullanıcılar için bir masaüstü uygulaması dağıtmış ve uzaktan kullanıcılar için bir web uygulamasına güvenmiştir. Eğer bunlar farklı satıcılardan farklı ürünlerse, farklı tespit motorlarına sahip olabilirler.

Ama eğer aynı satıcının ürünleri — aynı sağlayıcıdan bir masaüstü uygulama ve bir web uygulaması — ise, farklılık gösterebilirler:

  • Güncelleme döngüleri (masaüstü uygulama web uygulamasından birkaç sürüm geride olabilir)
  • Yapılandırma mirası (masaüstü uygulama ön ayarı, web uygulama ön ayarı değişiklikleri ile senkronize olmayabilir)
  • Kayıt davranışı (masaüstü uygulama yerel olarak kaydedebilirken, web uygulaması merkezi olarak kaydedebilir)

Uyum belgeleri için ilgili soru şudur: çalışan hangi arayüzü kullanırsa kullansın, aynı tespit uygulandığını gösterebilir misiniz? Eğer cevap, iki farklı sistemden iki farklı denetim kaydı formatını uzlaştırmayı gerektiriyorsa, cevap "zor bir şekilde" olacaktır.

Pratik Yaklaşım: Platformdan Bağımsız Kapsama

Pratik uyum hedefi, platformdan bağımsız kapsama sağlamaktır: hangi arayüzü kullanırsa kullansın aynı koruma geçerlidir.

Bu, aşağıdaki yollarla başarılabilir:

Sunucu tarafı tespit API'si: Tüm arayüzler (masaüstü uygulama, web uygulaması, Chrome uzantısı) aynı sunucu tarafı tespit API'sini çağırır. Tespit modeli bir kez çalışır (sunucu tarafında), her arayüzde ayrı ayrı değil. Aynı model, aynı sonuçlar, arayüze bakılmaksızın.

Senkronize ön ayarlar: Yapılandırma ön ayarları sunucu tarafında saklanır ve tüm arayüzler tarafından çalışma zamanında yüklenir. Bir ön ayar değişikliği hemen tüm arayüzlere yayılır. "Masaüstü ön ayarı" ile "web ön ayarı" arasında ayrı bir ön ayar yoktur.

Merkezi denetim kaydı: Tüm arayüzlerden gelen tüm işleme olayları aynı denetim veritabanına kaydedilir. Denetim izi, hangi arayüzün kullanıldığını gösterir ve ortamlar arasında işleme kalıplarının uyum analizini sağlar.

Tutarlı dağıtım: BT, Chrome Uzantısını dağıtır ve uzaktan çalışanlar için web uygulamasını ofis içindeki çalışanlar için masaüstü uygulamasıyla aynı ön ayar yapılandırmasıyla yapılandırır. Yapılandırma belgeleri tüm ortamları kapsar.

Kullanım Durumu: Kurumsal Hibrit Ekip Uygulaması

35 kişilik bir kurumsal uyum ekibi — 20 ofiste (Münih merkezi), 15 uzaktan (Almanya ve Hollanda genelinde dağıtılmış) — bir iç denetim sırasında platform tutarsızlığını bir uyum açığı olarak belirledi.

Belirlenen açık: Ofis içindeki ekip, kurumsal yapılandırmaya sahip bir Windows masaüstü PII aracı kullanıyordu (285 varlık türü, GDPR ön ayarı). Uzaktan ekip, farklı bir satıcı tarafından sağlanan, farklı varlık kapsamasına sahip bir web tabanlı araca erişiyordu (yaklaşık 80 varlık türü, GDPR'ya özgü ön ayar yok). Aynı ekip üyeleri, aynı veriler, farklı araçlar.

Birleşik dağıtım:

  • Tüm 35 ekip üyesi için aynı platform dağıtıldı
  • Ofis içi: Yönetilen çalışma istasyonlarına (Windows/Mac) masaüstü uygulama yüklendi
  • Uzaktan: Web uygulaması tarayıcı üzerinden erişildi, masaüstü uygulamasıyla aynı ön ayar yapılandırması
  • Tarayıcı AI kullanımı için tüm çalışma istasyonlarına ve uzaktan cihazlara Chrome Uzantısı yüklendi
  • BT tarafından yönetilen tek bir ön ayar yapılandırması, tüm arayüzler arasında senkronize edildi

Birleştirmeden sonraki denetim belgeleri:

  • Tüm 35 ekip üyesini ve tüm arayüzleri kapsayan tek bir "Teknik Önlemler Belgesi"
  • Tüm işlemler için tek bir denetim izi (tüm arayüzlerden merkezi kayıt)
  • Yapılandırma tutarlılığı doğrulaması: BT, tüm arayüzlerin aynı ön ayar sürümünü gösterdiğinden emin olmak için üç ayda bir kontrol yapar

İç denetim bulgusu, birleşik dağıtımdan 8 hafta içinde kapatıldı.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle