ŞartlarŞartlar

GDPR Nedir?

GDPR uyumluluğu nedir, GDPR açılımı nedir, GDPR kimlere uygulanır gibi soruların cevaplandığı detaylı GDPR rehberi.

GDPR, General Data Protection Regulation yani Genel Veri Koruma Yönetmeliği'nin kısaltmasıdır. Kişisel verilerin korunmasına yönelik Avrupa Birliği tarafından oluşturulan ve 25 Mayıs 2018 tarihinde yürürlüğe giren kapsamlı bir yasal çerçevedir. Genel Veri Koruma Tüzüğü olarak da adlandırılır.

GDPR'nin Amacı ve Kapsamı

GDPR, AB vatandaşlarının kişisel verilerinin nasıl toplandığını, işlendiğini, depolandığını ve paylaşıldığını düzenler. Kişisel verilerini koruma altına alan bu düzenleme, bireylere kendi verileri üzerinde daha fazla kontrol sağlamayı amaçlar.

GDPR Avrupa Birliği içerisinde yer alan tüm şirketleri etkiler, ancak söz konusu kural yalnızca Avrupa genelinde faaliyet gösteren şirketlerle sınırlı değildir. AB vatandaşlarının verilerini işleyen tüm organizasyonları kapsar.

GDPR Uyumluluğu

GDPR uyumluluğu, veri işleme faaliyetlerinin aşağıdaki temel ilkelere uygun olmasını gerektirir:

  1. Hukuka uygunluk, adalet ve şeffaflık.
  2. Amacın sınırlandırılması.
  3. Verilerin en az seviyeye indirilmesi.
  4. Doğruluk.
  5. Saklama süresinin sınırlandırılması.
  6. Bütünlük ve gizlilik.
  7. Hesap verebilirlik.

Kişisel veri işleyen kuruluşlar, bu ilkelere uygun davranmaktan sorumludur ve bunu gösterebilmelidir.

GDPR Kimlere Uygulanır?

GDPR, aşağıdaki durumlarda Avrupa Birliği dışındaki şirketlere de uygulanır:

  • AB vatandaşlarının kişisel verileri hakkında işlem yapan
  • AB içerisinde kişilere ürün veya hizmet sunan
  • AB vatandaşlarının davranışlarını izleyen
  • AB pazarında faaliyet gösteren

Bu kapsamda, vatandaşlarının verilerini işleyen Türkiye'deki şirketler de GDPR'ye uymak zorundadır. Bir şekilde AB ile iş yapan veya AB vatandaşlarının verilerini işleyen tüm kuruluşlar, bu düzenlemeye tabi olur.

GDPR ve Bireylerin Hakları

GDPR kapsamında bireyler aşağıdaki haklara sahiptir:

  • Bilgi edinme hakkı.
  • Erişim hakkı.
  • Düzeltme hakkı.
  • Silme hakkı (unutulma hakkına sahiptir).
  • İşleme sınırlandırma hakkı.
  • Veri taşınabilirliği hakkı.
  • İtiraz hakkı.
  • Otomatik karar vermeye tabi olmama hakkı.

Bu haklar, bireylerin kişisel verilerinin nasıl kullanıldığı üzerinde kontrol sahibi olmalarını sağlar. İlgili kişiden açık rıza alınması, kişisel verilerin işlenmesi için temel gerekliliklerden biridir.

GDPR'nin Türkiye'deki Uygulaması

GDPR, doğrudan Türkiye'de geçerli değildir. Ancak, AB ülkelerinde faaliyet gösteren, AB vatandaşlarına hizmet sunan, AB vatandaşlarının davranışlarını izleyen Türk şirketleri GDPR'ye uymak zorundadır.

GDPR'nin Yaptırımları

GDPR ihlalleri için ağır cezalar öngörülmüştür:

  • Düşük seviyeli ihlaller için 10 milyon Euro veya global yıllık cironun %2'si (hangisi daha yüksekse).
  • Yüksek seviyeli ihlaller için 20 milyon Euro veya global yıllık cironun %4'ü (hangisi daha yüksekse).

Bu ceza tutarları, diğer veri koruma düzenlemelerindeki cezalardan çok daha yüksektir ve şirketleri uyum konusunda teşvik etmektedir.

GDPR ve KVKK Arasındaki Farklar

Türkiye'nin kendi veri koruma kanunu olan KVKK (Kişisel Verilerin Korunması Kanunu) ile GDPR arasında bazı önemli farklar bulunmaktadır:

  1. GDPR'de veri işleyen taraflar da doğrudan sorumlu tutulurken, KVKK'da idari para cezaları genellikle veri sorumlularına uygulanır.
  2. Unutulma hakkı GDPR'de açıkça düzenlenmiştir, KVKK'da ise bu hak mahkeme kararlarıyla şekillenir.
  3. GDPR'deki ceza tutarları çok daha yüksektir.
  4. GDPR, veri taşınabilirliği hakkı ve zorunlu veri koruma görevlisi gibi ek koruma mekanizmaları içerir.

GDPR Uyumluluğu İçin Atılması Gereken Adımlar

Şirketlerin GDPR uyumluluğunu sağlaması için yapması gerekenler:

  1. Veri envanteri oluşturmak.
  2. Veri işleme faaliyetlerini belgelemek.
  3. Veri koruma etki değerlendirmeleri yapmak.
  4. Veri işleme politikaları geliştirmek.
  5. Güvenlik önlemlerini artırmak.
  6. Veri ihlali bildirim süreçlerini oluşturmak.
  7. Veri koruma görevlisi atamak (gerekliyse).
  8. Çalışanları eğitmek.
  9. Rıza mekanizmalarını güncellemek.
  10. Üçüncü taraf veri işleme sözleşmelerini gözden geçirmek.

Sonuç

GDPR, kişisel verilerin korumaya yönelik küresel standartları yükselten önemli bir düzenlemedir. AB vatandaşlarının haklarını korurken, aynı zamanda veri işleyen kuruluşlar için de bir güvenlik ve uyum çerçevesi sunar.

Günümüzde küreselleşen iş dünyasında, GDPR'ye uyum sağlamak yalnızca yasal bir zorunluluk değil, aynı zamanda müşteri güvenini kazanmak ve sürdürülebilir bir iş modeli oluşturmak için de gereklidir.

Daha fazla bilgi için Avrupa Birliği Resmi GDPR Sayfasını inceleyebilirsiniz.

← KVKK Nedir?
→ Güvenli Site Nasıl Anlaşılır?