GDPR

General Data Protection Regulation (GDPR) Nedir?

General Data Protection Regulation (GDPR) yani Türkçesi ile Genel Veri Koruma Yönetmeliği; bireylerin kendi haklarında toplanan ve paylaşılan veriler üzerinde daha çok kontrol sahibi olması amacı ile Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde oylama ile kabul edilmiştir. Parlamentonun onayını takiben GDPR çevirileri gerçekleştirilerek bir aylık bir süre sonunda Resmî Gazete ’de (Official Journal) yayınlanmış ve böylece resmi olarak kabul edilmiştir. GDPR 24 Mayıs 2016 tarihinde yürürlüğe girmiş olsa da iki senelik bir uyum termini sonrası 25 Mayıs 2018 tarihinde uygulanmaya başlamıştır. GDPR bugüne kadarki en güçlü dijital mahremiyet hakları koruyucusu olarak nitelendirilmektedir.

GDPR ile ilgili Resmî Gazete ilanında Parlamento, yeni veri korumasına ilişkin düzenlemesine yönelik gerekçelerini de paylaşmış ve gerçek kişilerin, kişisel verilerinin işlenmesi ile bağlantılı olarak korunması gerekliliğini temel bir hak olarak nitelendirmiş; düzenlemenin maksadının ekonomik birliğin özgürlükler ile güvenlik ve adalet alanlarında başarının, ekonomik ve sosyal gelişimin ve iç marketler bakımından ekonomilerin yaklaşımının ve bunun yanında gerçek kişilerin refahının sağlanmasına katkıda bulunması olduğunu belirtmiştir.

GDPR Kapsamı

GDPR Düzenlemesi veri sorumlusu (AB sakinlerinden veri toplayan kuruluş) veya veri işleyen (veri sorumlusu adına veri işleyen kuruluş) veya verisi işlenen ilgili kişi AB’de bulunuyorsa geçerlidir. Ayrıca bu düzenleme Avrupa Birliği dışında konumlanmış fakat AB sakinlerinin kişisel verilerini toplayan veya işleyen organizasyonlar için de geçerlidir. Avrupa Komisyonu’na göre kişisel veriler; bir kişiye ait, özel, mesleki ya da kamu yaşamıyla ilgili olsun olmasın herhangi bir bilgi olarak tanımlanmaktadır. Bir isim, ev adresi, fotoğraf, e-posta adresi, banka ayrıntıları, sosyal medya hesapları, sosyal ağ sitelerindeki mesajlar, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bir bilgisayarın IP adresi veya tarayıcıların topladığı çerezler (cookie) gibi herhangi bir bilgi olabilir.

Bu doğrultuda bahsedilen şartlarda faaliyet gösteren kişiler veya firmaların; öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) ve GDPR ‘a uyumunun analiz edilmesi ve uyum sürecinde GDPR politikası hazırlanması gerekmektedir. Veri koruması ile ilgili yükümlülükler her ne kadar KVKK kapsamında yer alsa da GDPR kapsamında çok daha fazla sorumluluk yer almaktadır.

GDPR Yönetim Sürecinin Ana Hatları

Verilerin Sınıflandırılması ve Veri Akışının Kontrolü

Veri Güvenliğinin Sağlanması

Kişilere Verilen Hakların Sunulması

Veri İhlali Durumunda Eylem Planı Oluşturulması

Veri Koruma Sorumlularının Belirlenmesi ve Hesap Verebilirlik İlkesi

Veri Kaydının Tutulması ve Sürecin İzlenmesi

Politikaların Güncellenmesi ve Sözleşmeler