General Data Protection Regulation – GDPR
Gelişen teknoloji ile birlikte büyük şirketlerden en küçük işletmelere kadar tüm organizasyonlar hedeflediği kitleye ilişkin daha çok bilgi elde etmek için bir yarış içerisine girmiştir. Bu şirketlere karşı zayıf durumda bulunan gerçek kişilerin korunması ihtiyacı çok yeni bir olgu olmamasına rağmen, hukuksal olarak gerekli adımlar son zamanlarda atılmıştır.
Bu kapsamda “kişisel verilerin korunması” süreçleri ile ilgili en önemli adımlardan birisi olan Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) 14 Nisan 2016 tarihinde Avrupa Parlamentosu’nda onaylanmış ve 25 Mayıs 2018 tarihinden itibaren uygulanmaya başlanmıştır.
GDPR’da verilen tanıma göre; kişisel veri (personal data), kişiyi tanımlayan yada tanımlanabilir kılan her türlü veridir. Bu kapsamda, kişisel veri kavramı içerisinde değerlendirilen bazı bilgiler;
Düzenlemenin ana hedefi, ilgili kişilerin (data subjects) kendi kişisel bilgileri üzerinde kontrol sahibi olması ve veri sorumlusu (data controller) durumunda bulunan işletme/şirketlerin uyması gereken usul ve esasları belirlemektir.
GDPR, bir AB mevzuatı olarak yürürlüğe girmiş olmasına rağmen, etkileri AB ile sınırlı değildir. Öncelikle AB üyesi olan ülkelerde kurulan tüm şirket ve organizasyonlar söz konusu mevzuata uygun olarak hareket etmek zorundadırlar. Bunun dışında, AB sınırları dışında kurulan bir işletme/şirket, AB/AET vatandaşı veya bu bölgede yaşayan bir kişiye ilişkin kişisel verileri işliyor ise, düzenlemeyle getirilen hükümlere uymak zorundadır.
Özetle, AB üyesi ülkeler ile ihracat ve ithalat faaliyetleri yürüten, internet sitesi üzerinden çerezler ile kullanıcı bilgisi elde eden ve herhangi bir internet sitesi formu üzerinden iletişim, kimlik bilgisi vs. alan yurt dışında bulunan işletmeler, GDPR kapsamında gerekli tedbirleri almalıdırlar.
GDPR kapsamında ihlallerde işletmelere, bir önceki mali yılın dünya çapındaki yıllık cirosunun % 4’üne veya 20 milyon Euro’ya kadar para cezaları öngörülmektedir. Bu üst sınırlardan hangisi yüksekse o üst sınır uygulanmaktadır.
Veri sorumluları, herhangi bir veri sızıntısı olması durumunda, kişisel verilerin korunması alanında yetkili ulusal otoriteye 72 saat içerisinde bilgi vermek zorundadır. Ayrıca, kamu tüzel kişilikleri ve ana faaliyet alanı sistematik – düzenli olarak kişisel veri işleme olan şirketler için veri koruma görevlisi ile çalışma zorunluluğu da bulunmaktadır.
Kişisel veri ihlali durumunda, GDPR kapsamında işletmelere bir önceki mali yılın <strong>dünya çapındaki yıllık cirosunun % 4’üne</strong> veya <strong>20 milyon Euro’ya kadar</strong> para cezaları öngörülmektedir. Bu üst sınırlardan hangisi yüksekse o üst sınır uygulanmaktadır.
GDPR Uyum Programı
Hukuki ve Teknik Tedbirler
Averd Teknoloji olarak, GDPR Danışmanlığı süreçlerini hem hukuki hem de teknik tedbirler kapsamında bütüncül bir yaklaşımla ele alıyoruz. Ayrıca, tüm süreçleri danışmanlık alan veri sorumlusunun (işletme, kurum ve kuruluşlar) ofislerinde ve sürekli iletişim halinde yürütüyoruz.
Uyum programı, (Compliance Program) bir kurum ve kuruluşun ilgili mevzuata ve mevcut uluslararası regülâsyonlara uyumlu hale getirilme sürecidir. Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) 14 Nisan 2016 ‘da onaylanmış ve 25 Mayıs 2018’de yürürlüğe girmiştir. Bu düzenleme ile kuruluşlar için farklı yükümlülükler öngörülmektedir.
