EU General Data Protection Regulation (Avrupa Birliği Genel Veri Koruma Yönergesi) yani GDPR, Avrupa Birliği’nin hazırladığı bir yönergedir. GDPR ilk olarak 1950 Avrupa İnsan Hakları Sözleşmesi’nde “Özel ve Aile Hayatına Saygı” başlığının 8.maddesi ile (“Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.”) hayatımızda ve yasalarda yer edinmeye başlamıştır. GDPR, 14 Haziran 2016 tarihinde onaylanıp 25 Mayıs 2018 tarihinde yürürlüğe girmiştir ve tamamen kullanıcı temelli bir yönergedir. Yönerge maddeleri ilgili kişilere (veri sahipleri) uygun şekilde tek tek tasarlanmıştır.
Avrupa Parlamentosu ve Avrupa Konseyin yönergeyi oluşturmaktaki asıl amaçları, Avrupa Birliğine üye olan ülkelerdeki vatandaşların veri güvenliğini sağlayabilmek adına, organizasyonların uyumluluk konusunda yeniden şekillenmesiyle birlikte etkin bir gizlilik güvenlik yaklaşımına sahip olmalarını sağlamaktır. GDPR “kişisel veri” kavramının geliştirerek kişiye ait en ufak verilerin de kişisel veri olarak adlandırdı. Ayrıca ilgili kişiye ait verilerin toplanması, saklanması ve işlenmesi için ilk önce ilgili kişiye verilerin neden toplandığı, saklandığı ve işlem gördüğü açıklamak zorunlu hale geldi.
GDPR’ın 3. Maddesi “Bölgesel Kapsam”a (“Avrupa Birliği dışında kurulu olan bir şirketin herhangi bir ödemeye dayılı olmasa dahi, Avrupa Birliğinde yaşayan bir gerçek kişiye ürün ve hizmet önermesi ya da Avrupa Birliği içindeki bir gerçek kişinin davranışlarını izlemesi, o şirketin GDPR’a tabi olduğuna dair yeterli göstergelerdir”) göre; Avrupa Birliğine üye bir ülkede iş yapıyorsanız, Avrupa Birliği vatandaşlarının verilerini işliyorsanız, yıllık çalışan sayınız 250’nin üstündeyse, özel nitelikli veri ya da ilgili kişinin hak ve özgürlüğünü etkileyecek verileri işliyorsanız GDPR yönergesine uymak zorundasınız demektir. Daha çok detaylandırmak gerekirse; Avrupa’da kullanılan para birimleri ile fiyat listesi ya da teklif ya da ihracat-ithalat yapıyorsanız yani ticaret yapıyorsanız, Web Cookies (çerezler) ile veri topluyorsanız GDPR yönergesi ile uyumlu olmalısınız.
Şartlar sağlansa bile GDPR yönergesine uyum sağlanmadıysa ağır cezai işlemler yapılmaktadır. Para cezası veri işleyen kurum ve kuruluşların yıllık küresel cironun %4’ü kadardır fakat 20 milyon €’dan düşük ise 20 milyon € ceza kesilir.
İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş.