Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa Birliği kuruluşlarının uyması gereken bir kurallar dizisi sağlamaktadır. GDPR, vatandaşlarının kişisel verilerini ve mahremiyetini korumasını gerektirir. Herhangi bir uyumsuzluk, şirketlere ceza kesilmesine neden olabilir.
Genel Veri Koruma Yönetmeliği Nedir?
Genel Veri Koruma Yönetmeliği, insanların kendileriyle ilgili bilgilere nasıl erişebileceklerini geliştiren ve kuruluşların kişisel verilerle yapabileceklerini sınırlayan, dünyanın en güçlü veri koruma mevzuatıdır.
GDPR temel amacı bireyleri ve onları tanımlayan verileri korumak ve bu verileri toplayan kuruluşların bunu sorumlu bir şekilde yapmasını sağlamaktır. GDPR ayrıca kişisel verilerin güvenli bir şekilde tutulmasını zorunlu kılar.
Yönetmelik Avrupa Birliği tarafından hazırlanmıştır. 1995 yılında hazırlanan Avrupa Veri Koruma Direktifinin yerini almıştır. Avrupa Parlamentosu ve Avrupa Konseyi tarafından 2016 yılında kabul edilmiştir.
Genel Veri Koruma Yönetmeliği tam anlamıyla 25 Mayıs 2018 tarihinde hayata geçmiştir. Avrupa ülkeleri, kendi ihtiyaçlarına göre küçük değişikler yapma olanağı verilmiştir.
Genel Veri Koruma Yönetmeliği Tarihçesi
1950 tarihli Avrupa İnsan Hakları Sözleşmesi, Özel Hayatın Gizliliği Hakkı İlkesi “Herkesin özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkı vardır” cümlesini içerir. Avrupa Birliği bu ilkeyi temel alarak, gizlilik hakkının korunmasının yolunu açmaya çalışmıştır.
İnternet teknolojileri ilerledikçe, Avrupa Birliği modern koruma yöntemlerine ihtiyacı olduğunu fark etti. Bu sebeple 1995 yılında, üye devletlerin kendi uygulama yasasının yer aldığı güvenlik ve veri gizliliği standartlarını belirleyen Avrupa Veri Koruma Direktifi hazırlandı.
Ocak 2012’de Avrupa Komisyonu, Avrupa Birliği genelinde Veri Koruma Reformu için planlar hazırladı. Avrupa’yı dijital çağa uygun hale getirmek için 4 yıl boyunca tartışma forumları ve müzakereler düzenlendi.
Avrupa Parlamentosu ve Avrupa Konseyi 2016 yılında Genel Veri Koruma Yönetmeliğini kabul etmiştir. Yönetmelik 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
Genel Veri Koruma Yönetmeliği Temel İlkeleri
GDPR merkezinde, insanların verilerinin nasıl işlenebileceğini yönlendirmek için tasarlanmış yedi temel ilke vardır.
- Yasallık, Adalet ve Şeffaflık: Veri sahibi, verilerinin nasıl kullanılacağı konusunda açıkça bilgilendirilmelidir.
- Amaç Sınırlaması: Veriler yalnızca belirli amaçlar için toplanabilir.
- Veri Minimizasyonu: Belirtilen amaçlar için gerektiği kadar veri toplanılır ve işlenir.
- Doğruluk: Veri toplayan kuruluşlar, verilerin doğruluğunu ve güncelliğini sağlamalıdır. Aksi kanunda bulunmadığı sürece, bir veri sahibi talepte bulunduğunda veriler silinmeli veya değiştirilmelidir.
- Depolama Sınırlaması: Kişisel olarak tanımlanan veriler, yalnızca belirtilen amaç için gerekli olduğu sürece saklanır.
- Bütünlük ve Gizlilik: Verilerin hırsızlığa veya yetkisiz kullanıma karşı güvenli bir şekilde korunduğundan emin olmak için uygun koruma önlemleri alınmalıdır.
- Hesap Verilebilirlik: Veri toplayıcılar, GDPR ile uyumluluğun sağlanmasından sorumludur.
GDPR Kapsamında Veri Sahibi Hakları Nelerdir?
Yönetmelik, bireylerin haklarının korunmasına yardımcı olmak için tasarlanmıştır.
- Unutulma Hakkı: Veri sahipleri, verilerinin silinmesini talep edebilir.
- Erişim Hakkı: Veri sahipleri, bir kuruluşun kendileri hakkında sakladığı verileri gözden geçirebilir.
- İtiraz Hakkı: Veri sahipleri, bir şirketin öznenin kişisel verilerini kullanmasına veya işlemesine izin vermeyi reddedebilir.
- Düzeltme Hakkı: Veri sahipleri, yanlış kişisel bilgileri düzenleme, silme veya yeniden oluşturma işlemleri yapabilir.
- Taşınabilirlik Hakkı: Veri sahipleri, bir şirketin kendileriyle ilgili sahip olduğu kişisel verilere erişebilir ve bunları aktarabilir.
GDPR Kapsamına Kimler Dâhil Olabilir?
Avrupa Birliği’nde yaşayan veya Avrupa Birliği üyesi ülkelerinin vatandaşlarının kişisel verilerini işlerseniz Genel Veri Koruma Yönetmeliğine uymanız gerekmektedir.
Düzenlemeler, kişisel verilerin toplanmasında kullanılan yöntem ne olursa olsun geçerlidir. Buna web siteleri ve diğer internet araçları dışındaki yöntemlerle toplanan veriler dâhildir. GDPR, kişisel verilerle ilgili beş önemli tanım yapar.
- Kişisel Veriler: Kişisel veriler, kimliği doğrudan veya dolaylı olarak belirlenebilen bir kişiyle ilgili her türlü bilgileri içerir.
- Veri İşleme: Otomatik veya manuel olsun, veriler üzerinde gerçekleştirilen herhangi bir işlemleri belirtir.
- Veri Konusu – Data Subject: Verileri işlenen kişilerdir. Bu terimin ülkemizdeki karşılığı kişisel verileri işlenen ilgili kişidir.
- Veri Kontrolörü – Data Controller: Kişisel verilerin neden ve nasıl işleneceğine karar veren kişi veya kuruluşu temsil eder. KVKK kapsamında karşılığı veri sorumlusudur.
- Veri İşleyen – Data Processor: Bir veri kontrolörü adına kişisel verileri işleyen üçüncü taraf kuruluşlardır.
GDPR Uyumsuzluğunun Cezası Nedir?
Uyumsuzluk veya veri ihlalleri için verilen cezalar ağır olabilir. Cezalar, ihlalin ciddiyeti, süresi, ihlale maruz kalan sayısı vb. ihlallere göre değişim göstermektedir.
İlk defa ve kasıtsız uygulanan suçlar için yazılı uyarı yapılmaktadır. Veri işleyenler, belgelendirme kuruluşları ve izleme kuruluşları yükümlülüklerini yerine getirmez ise 10 milyon Euro kadar ceza ödeyebilir. Eğer şirketin yıllık gelirinin %2’lik kısmı, 10 milyon Euro’dan yüksek ise gelirin %2’lik kısmı ceza olarak ödenir.
İhlali devam ettiği belirlenen şirketlere 20 milyon Euro’ya kadar ceza kesilebilmektedir. Eğer şirketin gelirinin %4’ü bu rakamı geçebiliyorsa daha yüksek para cezaları uygulanabilir.
GDPR Kapsamında Türkiye'deki Firmaların Sorumlulukları Nelerdir?
Türkiye’de verilerin korunmasına ilişkin en önemli mevzuat Kişisel Verilerin Korunması Kanunu’dur. Kişisel Verileri Koruma Kurumu söz konusu mevzuatın uygulanması, ek yönetmelikler ile çalışma usul ve esaslarını düzenlemek adına görevlendirilmiştir.
Avrupa Birliği vatandaşları hakkında kişisel bilgileri depolayan veya işleyen şirketler, AB’de fiilen kurulmamış olsa bile GDPR uymak zorundadır. Bu kapsamda şirketler;
- Sahip olunan tüm kişisel verileri, kaynağını ve paylaşım alanlarını belirlemek.
- Kapsamlı Veri Koruma Yönetimi programı uygulamak.
- Veri Koruma Politikalarını, veri işleme yönetmeliklerine göre hazırlanması
- Veri Güvenliğini sağlamak için şifreleme, gizlilik vb. önlemler alınması
- Sorumluluğunuzda bulunan veri işleme faaliyetlerinin kaydı tutulması
- Şirket içi gizlilik politikalarının hazırlanması ve yayınlanması
- Gelişebilecek özel durumlar için Veri Koruma Görevlisinin atanması
- GDPR ve KVKK yönetmeliğinde belirtilen çalışan verilerinin işlenmesine ilişkin kurallara uymak
- Kişisel veri ihlalleri için sistemi gözlemlemek, geliştirmek ve önlemler almak.
- Kişisel verileri işlenen kişileri bilgilendirmek ve başvuru yapmaları durumunda işletilecek süreçle ilgili bir sistem geliştirmek,
- Belirli durumlarda kişisel verileri silmenizi veya işlenmesini kısıtlamanızı sağlayacak bir sistem hazırlamak.
- Tüm bilgi güvenliği politikalarını, şeffaf ve kolay erişilebilir hale getirmek.
- Çalışanların kişisel verilerin işlenmesi süreçleri ile ilgili farkındalığını sağlamak için düzenli olarak eğitilmesini sağlamak
Bu yükümlülükler ve veri koruma alanlarının neredeyse tamamı mevcut AB mevzuatına dâhil edilmiştir.
Türkiye’deki Firmaların GDPR Yönetmeliklerine Cevap Vermesi Gereken Sorular:
- Hangi kişisel verileri ve neden tutuyorlar?
- Bu kişisel verileri nasıl elde ettiler?
- Veriler başlangıçta neden toplandı?
- Verileri ne kadar süreyle saklamayı planlıyor?
- Kişisel verilerin güvenliğinin korunmasını nasıl sağlıyor?
- Kişisel verileri hiç paylaşıyor mu ve paylaşıyorsa ne gibi önlemler alıyor?
KVKK, GDPR İçin Gerekli Uyumluluk Koşullarını Sağlar mı?
Türkiye’de bulunan birçok şirket KVKK ile birlikte GDPR kapsamına girmektedir. İki yönetmelik büyük ölçüde benzerlik göstermektedir. Ancak GDPR’in ortaya koyduğu kritik farklar ve yüksek cezai yaptırımlar vardır.
GDPR kapsamında Türkiye’deki firmaların sorumlulukları, Avrupa Birliğini kapsayan bir hizmet veriyorlar ise uyumluluk koşullarını tekrar gözden geçirmelidir.
KVKK ve GDPR Arasındaki Önemli Farklar ve Benzerlikler
- Veri kategorileri
GDPR ve KVKK kişisel verilerin düzenlenmesinde iki ana kategori üzerinde durmaktadır: Kişisel veriler ve özel nitelikli kişisel veriler.
- Veri Sorumlusu ve İşleyen Yükümlülükleri
Veri sorumlusu ve işleyenlerin yükümlülükleri GDPR üzerinde daha ayrıntılıdır. GDPR bu yönüyle KVKK göre daha fazla görev ve yükümlülük atamaktadır.
- Veri Sahiplerinin Hakları
Veri sahibinin hakları her iki yönetmelikte de benzer şekilde düzenlenmiştir. Bununla birlikte, GDPR, veri sahiplerine KVKK kapsamında tanınmayan çeşitli haklar verir.
- Koruma
KVKK, kişisel verilerin korunması için teknik ve idari tedbirler uygulayan veri sorumlularını belirtmiştir. GDPR teknik ve operasyonel önlemlere, KVKK’da bulunmayan belirli örnekler sunar.
- Veri Koruma Görevlisi/Temsilcisi
GDPR’den farklı olarak KVKK, bir veri koruma görevlisi atama yükümlülüğü getirmez.
- Çözümler
KVKK, Kişisel Verileri Koruma Kurumu’na şikâyette bulunma hakkının kullanılması için veri sahibinin önce veri denetleyicisine başvurmasını şart koşar. Veri sorumlusunun cevabının yetersiz bulunması veya veri sorumlusunun hiç cevap vermemesi halinde, veri sahibinin KVKK’ya şikâyette bulunma hakkı vardır.
- Para Cezaları
KVKK ve GDPR cezaları farklı bir şekilde düzenler. GDPR kapsamında düzenlenen cezalar KVKK’na kıyasla büyük oranda daha yüksektir.