GDPR Danışmanlığı

General Data Protection Regulation – GDPR

Gelişen teknoloji ile birlikte büyük şirketlerden en küçük işletmelere kadar tüm organizasyonlar hedeflediği kitleye ilişkin daha çok bilgi elde etmek için bir yarış içerisine girmiştir. Bu şirketlere karşı zayıf durumda bulunan gerçek kişilerin korunması ihtiyacı çok yeni bir olgu olmamasına rağmen, hukuksal olarak gerekli adımlar son zamanlarda atılmıştır.

Bu kapsamda “kişisel verilerin korunması” süreçleri ile ilgili en önemli adımlardan birisi olan Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) 14 Nisan 2016 tarihinde Avrupa Parlamentosu’nda onaylanmış ve 25 Mayıs 2018 tarihinden itibaren uygulanmaya başlanmıştır.

GDPR’da verilen tanıma göre; kişisel veri (personal data), kişiyi tanımlayan yada tanımlanabilir kılan her türlü  veridir. Bu kapsamda, kişisel veri kavramı içerisinde değerlendirilen bazı bilgiler;

Düzenlemenin ana hedefi, ilgili kişilerin (data subjects) kendi kişisel bilgileri üzerinde kontrol sahibi olması ve veri sorumlusu (data controller) durumunda bulunan işletme/şirketlerin uyması gereken usul ve esasları belirlemektir.

GDPR, bir AB mevzuatı olarak yürürlüğe girmiş olmasına rağmen, etkileri AB ile sınırlı değildir.  Öncelikle AB üyesi olan ülkelerde kurulan tüm şirket ve organizasyonlar söz konusu mevzuata uygun olarak hareket etmek zorundadırlar. Bunun dışında, AB sınırları dışında kurulan bir işletme/şirket, AB/AET vatandaşı veya bu bölgede yaşayan bir kişiye ilişkin kişisel verileri işliyor ise, düzenlemeyle getirilen hükümlere uymak zorundadır.

Özetle, AB üyesi ülkeler ile ihracat ve ithalat faaliyetleri yürüten, internet sitesi üzerinden çerezler ile kullanıcı bilgisi elde eden ve herhangi bir internet sitesi formu üzerinden iletişim, kimlik bilgisi vs. alan yurt dışında bulunan işletmeler, GDPR kapsamında gerekli tedbirleri almalıdırlar.

 
Veri sorumluları kişisel veri işleme faaliyetini aşağıda bulunan şartlardan en az birisine dayandırmak zorundadır. Ayrıca kişisel verilerini işlediği kişilere kişisel veri toplama yöntemleri, kişisel verileri işleme amaçları ve yasal dayanakları, saklama süresi, AB içinde ve dışında hangi 3.kişilerle paylaşılacağı ile ilgili aydınlatma yükümlülüğü de bulunmaktadır.

GDPR kapsamında ihlallerde işletmelere, bir önceki mali yılın dünya çapındaki yıllık cirosunun % 4’üne veya 20 milyon Euro’ya kadar para cezaları öngörülmektedir. Bu üst sınırlardan hangisi yüksekse o üst sınır uygulanmaktadır.

Veri sorumluları, herhangi bir veri sızıntısı olması durumunda, kişisel verilerin korunması alanında yetkili ulusal otoriteye 72 saat içerisinde bilgi vermek zorundadır. Ayrıca, kamu tüzel kişilikleri ve ana faaliyet alanı sistematik – düzenli olarak kişisel veri işleme olan şirketler için veri koruma görevlisi ile çalışma zorunluluğu da bulunmaktadır.

Kişisel veri ihlali durumunda, GDPR kapsamında işletmelere bir önceki mali yılın <strong>dünya çapındaki yıllık cirosunun % 4’üne</strong> veya <strong>20 milyon Euro’ya kadar</strong> para cezaları öngörülmektedir. Bu üst sınırlardan hangisi yüksekse o üst sınır uygulanmaktadır.

GDPR, Avrupa Birliği (AB) ve Avrupa Ekonomik Topluluğu (AET) içerisinde veri koruma ve gizlilik düzenlemeleri içermektedir. Ayrıca AB ve AET dışarısına aktarılacak kişisel verilerde düzenleme ile kontrol altına alınmaktadır.

GDPR Uyum Programı

Hukuki ve Teknik Tedbirler

Averd Teknoloji olarak, GDPR Danışmanlığı süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Ayrıca, tüm süreçleri danışmanlık alan veri sorumlusunun (işletme, kurum ve kuruluşlar) ofislerinde ve sürekli iletişim halinde yürütüyoruz.

Uyum programı, (Compliance Program) bir kurum ve kuruluşun ilgili mevzuata ve mevcut uluslararası regülâsyonlara uyumlu hale getirilme sürecidir. Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) 14 Nisan 2016 ‘da onaylanmış ve 25 Mayıs 2018’de yürürlüğe girmiştir. Bu düzenleme ile kuruluşlar için farklı yükümlülükler öngörülmektedir.

Siber Güvenlik Tedbirleri

Gizlilik Politikaları

Fiziki Güvenlik

İdari Tedbirler