GDPR Nedir?

GDPR Nedir?

General Data Protection Regulation (GDPR)

Genel Veri Koruma Yönetmeliği (GDPR) Nisan 2016’da AB Parlamentosu tarafından onaylandı ve25 Mayıs 2018tarihinde yürürlüğe girmiştir. Hükmi kişilerin verilerini depolayan veya işleyen herhangi firmaya uygulanacaktır. Bu yönetmeliğe uymayan şirketlere yüklü para cezası uygulanacaktır. Birden fazla şirket telefon numaramız, kimlik numaramız gibi birçok kişisel verilerimize sahipler. Bu yaptırımın amacı vatandaşların verilerini gizli tutmak amaçlanmıştır.

Gdpr ile Ne Sağlanmak İstenmiştir?

Eğer bir şirket verilerinizi alıyorsa, verileri ne maksatla kullanacağını hangi verileri ne kadar süre ve nasıl saklayacağını, paylaşılacaksa bilgilerin kimler tarafından paylaşılacağını bildirmelidir. Kurulun elinde tuttuğu verilerin bazı şartlarda silinmesini isteyebilir. Örnek vermek gerekirse verilerin artık kullanılmamasını istiyorsanız veya ihtiyaç duyulmadığını düşünüyorsanız verilerin silinmesini isteyebilirsiniz. Veriler nasıl ve ne amaçla kullanılırsa kullanılsın bildirilmelidir. Bir kurul veya kuruluş topladığı verileri görmek isterse 1 ay içinde görebilmektedirler. Kişi şirketin elindeki veriyi geçersiz olarak belirtiyorsa bu verilerin şirket tarafından düzenlenmesini talep edebilir.

Gdpr’a Nasıl Uyumlu Olunur?

İlk olarak en önemli şey gizlilik politikanızdır.Yorum vb. şeyler web sitenizde bulunacağından kişisel veriler olarak nitelendirilecektir, bu, bilgileri yakalamadan önce kişinin açık rızasını almanız gerekir. Sitenizde kullandığınız eklentilere dikkat etmeli ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir. Şartlar ve koşullar web sitenize adım atanları bağlayan temel ilkedir ; gizlilik politikası topladığınız verilerle ilgilenir. Etkileşim formları kişinin bilgiyi verebileceği iletişim formu gibi yerlerin verileri toplandığı zaman nasıl ve ne kadar süre ile kullanılacağı hakkında bilgi verilmelidir.

Çocuk Verileri

GDPR , çocuklara ait veriler için özel korumaları bulunmaktadır. Sistemin verileri işlemeden önce yaşlarını doğru olduğunu doğrulayıp ebeveynlerin veya vasi onayının olması gerekmektedir. En ufak veri bile PII (kişisel tanımlanabilir bilgi) olarak söylenebilir.

GDPR Kimleri Kapsamaktadır

Dijital reklamcılıkla ilintili tüm şirketler, reklam verenler, ajanslar, telefon şirketleri, reklam networkleri, veri/teknoloji şirketleri ya da yayıncılar yasanın kapsamındadır.

GDPR Tarihi

Kişisel verileri korumaya yönelik düzenleme avrupada hazırlanmıştı. GDPR öncesi benzer bi düzenleme 95/46/AT sayılı AB veri koruma direktifi yeni teknoloji ile baya bi yetersiz kaldı. Yeni bi düzenlemenin gelmesi konuşuldu. Sonuç olarak 15 Aralık 2015’te yeni bi düzenleme kabul edildi ve şu anda işlevine devam edenGDPRyürürlüğe girdi. Yeni düzenleme ile GDPR taslak biçimiyle modern ve uyumlu olarak kabul gördükten sonra 14 Nisan 2016 da kabul edildi. 25 Mayıs 2018 tarihinden beri uygulanan GDPR 24 Mayıs 2016 tarihinde Avrupa Birliği Resmi Gazetesi’nde yayınlandı.

GDPR ve KVKK

KVKK, GDPR’nin Türkiye için hazırlanan bi örneğidir. Türkiye Avrupa Birliği üyesi olmadığı için GPDR kapsamına girmez. Türkiye’de kişisel veriler oldukça hassas olduğundan dolayı ülkemiz bu tarz yönelik kanunlar çıkarabilir. Türkiye’de kişisel verilerin korunması ile ilgili çıkan son kanun KVKK’dır. Kişisel Verileri Koruma Kanunu GDPR’ye çok benzemektedir. Tabi ki iki düzenlemese arasında farklılıklar da vardır. GDPR ve KVKK kıyaslanınca KVKK GDPR’ye göre daha yetersiz kalır. GPDR kişisel verileri daha detaylı ve kapsamlı incelerken KVKK yalnızca veri sorumlularını kapsar. Yanı sıra GDPR’de ihlaller karşılığında daha ağır ve caydırıcı cezalar uygulanırken KVKK’da cezalar daha hafiftir. Son dönemlerde internet yoğunluğu ile artan siber saldırı ve korsanlar ülkemizde karşılık bulmuş ve büyük firmalar da dahil olmak üzere yeterli önlemi almadıkları için birçok kişisel veriyi çaldırmışlardır. Birçok büyük firma iş işten geçtikten sonra bu kişisel verilerin çalındığını anlamış ve profesyonel hizmet almışlardır. Bu profesyonel hizmet sayesinde tam anlamıyla kişisel verilerin korunması sağlanmıştır. KVKK’nın bu konuda daha ağır ve caydırıcı cezalar vermesi tekrardan konuşulmaya başlamıştır. GDPR madde 20 ile düzenlenen “veri taşınabilirliği hakkı” madde 37 kapsamındaki hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi” ile madde 35. kapsamındaki riskli veri işleme faaliyetleri bakımından “zorunlu veri koruma etki değerlendirmesi” gibi kurumlara ilişkin düzenlemeler, 6698 sayılı KVKK’da bulunmamaktadır.

Yaptırımlar

Ulusal hukukta 83. GDPR maddesine göre ilk defa kasıtsız olarak yapılan suçlar için yazılı uyarı ve düzenli olarak veri koruma denetimleri. , 11, 25 ila 39, 42 ile 43. maddeleri uyarınca veri işletmecilerinin yükümlülüklerini. 41. Madde uyarınca izleme kuruluşunun yükümlülükleri.42. ve 43. Maddelerde belgelendirme kuruluşunun yüklerinin ihlal edilmesi sonucunda 10 milyon euroya kadar şirketin yıllık karına göre %2 sine kadar para cezası verilir.

Rıza için koşullar

Durumun rızaya dayalı olduğu zamanlar veri sahibinin kişisel verilerinin işlenmesinde rızası olduğunu gösterebilmelidir. Veri sahibinin yazılı bir şekilde beyan etmesi halinde muvafakat talebi diğer hususlardan açıkça ayırt edilebilecek şekilde açık ve net bir biçimde sunulur. Veri sahibi belli bi süre zarfında rızasını geri çekebilir. Rızanın geri çekilmesi geri çekilmeden önce rıza ile yapılan işlemlerin yasallığını ihlal etmeyecektir. Kabul edilmeden önce veri sahibine bilgi verilecektir. Rıza vermek basit olduğu kadar rızanın geri çekilmesi bi o kadar kolay olacaktır.

GDPR Danışmanı: Batuhan SABAN