Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) tarafından kişisel verilerin korunmasını ve AB içindeki bireylerin mahremiyetini sağlamak amacıyla çıkarılan kapsamlı bir veri koruma ve gizlilik yönetmeliğidir. 25 Mayıs 2018’den bu yana yürürlükte olan GDPR, küresel olarak veri koruması için en etkili yasal çerçevelerden biri haline geldi. Yönetmelik, bireylere kişisel verileri üzerinde daha fazla kontrol sağlamayı ve bu verileri işleyen işletmelere ve kuruluşlara katı gereklilikler getirmeyi amaçlamaktadır.
GDPR’nin Geçmişi ve Amacı
GDPR, hızlı teknolojik gelişmeler ve dijital çağda verilerin artan önemi nedeniyle modası geçmiş olan 1995 Veri Koruma Direktifi’nin (Direktif 95/46 / EC) yerini alacak şekilde tanıtıldı. AB, dijital platformların, büyük veri analitiğinin ve çevrimiçi hizmetlerin yükselişiyle kişisel verilerin modern ekonomide değerli bir meta haline geldiğini kabul etti.
GDPR’nin temel hedefleri şunlardır:
Bireysel gizlilik haklarının korunması: GDPR, bireylerin gizlilik haklarını güçlendirir ve kişisel verilerinin sorumlu ve güvenli bir şekilde ele alınmasını sağlar.
Şeffaflığın artırılması: Kuruluşlar, kişisel verileri nasıl topladıkları, kullandıkları ve depoladıkları hakkında açık ve erişilebilir bilgiler sağlamalıdır.
Hesap verebilirliğin teşvik edilmesi: Veri denetleyicileri ve işleyiciler, yönetmeliğe uyumu sağlayarak veri işleme faaliyetlerinden sorumlu tutulur.
Düzenleyici ortamın basitleştirilmesi: GDPR, AB genelinde veri koruma yasalarını standartlaştırmayı ve kuruluşların çelişkili düzenlemelerle karşılaşmadan sınırlar ötesinde faaliyet göstermelerini kolaylaştırmayı amaçlamaktadır.
GDPR Kapsamındaki Temel Tanımlar
Yönetmeliğin temelini oluşturan GDPR kapsamında birkaç önemli terim tanımlanmıştır:
Kişisel Veriler: Tanımlanmış veya tanımlanabilir bir gerçek kişiyle (veri konusu) ilgili her türlü bilgi. Buna isimler, e-posta adresleri, konum verileri, çevrimiçi tanımlayıcılar, genetik veriler, sağlık bilgileri vb. Dahildir.
Veri Konusu: Kişisel verilerin ilişkili olduğu birey. Veri sahiplerinin kişisel verilerini kontrol etmek için GDPR kapsamında belirli hakları vardır.
Veri Denetleyicisi: Kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen kişi, kuruluş veya kuruluş. Kişisel verilerin işlenmesinin GDPR’ye uygun olmasını sağlamaktan bir veri denetleyicisi sorumludur.
Veri İşleyicisi: Kişisel verileri veri denetleyicisi adına işleyen bir kuruluş. İşlemciler verileri veri denetleyicisinin talimatlarına göre işler ve GDPR gerekliliklerine uymalıdır.
İşleme: Toplama, depolama, kullanma, yayma veya silme dahil olmak üzere kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlem kümesi.
GDPR’nin Temel İlkeleri
Genel Veri Koruma Yönetmeliği, kişisel verilerin nasıl ele alınması gerektiğini düzenleyen birkaç temel ilke üzerine kurulmuştur. Bu ilkeler, verilerin şeffaf, adil ve güvenli bir şekilde toplanmasını, işlenmesini ve depolanmasını sağlamak için tasarlanmıştır. GDPR’nin ilkeleri şunlardır:
Yasallık, Adalet ve Şeffaflık: Kişisel veriler yasal, adil ve şeffaf bir şekilde işlenmelidir. Kuruluşlar, bireyleri veri toplama amaçları ve verilerinin nasıl kullanılacağı hakkında bilgilendirmelidir.
Amaç Sınırlaması: Kişisel veriler belirli, meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayacak şekilde daha fazla işlenmemelidir.
Verilerin En Aza İndirilmesi: Kuruluşlar yalnızca işlendiği amaçlar için gerekli olan kişisel verileri toplamalıdır. Toplanan veri miktarı, esas olanla sınırlı olmalıdır.
Doğruluk: Kişisel veriler doğru olmalı ve güncel tutulmalıdır. Kuruluşların, verilerin yanlış olması durumunda düzeltilmesini veya veri silinmesi ni sağlamak için makul adımlar atması gerekir.
Depolama Sınırlaması: Kişisel veriler, verilerin toplandığı amaçlar için gerekenden daha uzun süre veri sahiplerinin tanımlanmasına izin verecek şekilde saklanmalıdır.
Bütünlük ve Gizlilik: Kişisel veriler, yetkisiz veya yasa dışı işleme, kayıp, imha veya hasara karşı koruma dahil olmak üzere uygun güvenliği sağlayacak şekilde işlenmelidir.
Hesap Verebilirlik: Kuruluşlar GDPR ilkelerine uymaktan sorumludur ve uygunluğu gösterebilmelidir. Bu, uygun belgelerin korunmasını ve uygun önlemlerin uygulanmasını içerir.
Veri Sahiplerinin Hakları
GDPR, bireylere (veri konularına) kişisel verilerinin nasıl kullanıldığını kontrol etmeleri için yetki vermeleri için bir dizi hak verir. Bu haklar şunları içerir:
Erişim Hakkı: Veri sahipleri, bir kuruluş tarafından tutulan kişisel verilerine erişim talep etme hakkına sahiptir. Bu, hangi verilerin işlendiğini, işlenmenin amacını ve verilerin ne kadar süreyle saklanacağını bilmeyi içerir.
Düzeltme Hakkı: Bireyler, bir kuruluş tarafından tutulan yanlış veya eksik kişisel verilerin düzeltilmesini talep edebilir.
Silme Hakkı (Unutulma Hakkı): Veri sahipleri, verilerin toplandığı amaç için artık gerekli olmadığı veya kişinin rızasını geri çekmesi gibi belirli koşullar altında kişisel verilerinin silinmesini talep edebilir.
İşlemeyi Kısıtlama Hakkı: Bireyler, örneğin verilerin doğruluğuna itiraz edildiğinde veya verilerin işlenmesi için artık gerekli olmadığında kişisel verilerinin işlenmesinin kısıtlanmasını talep edebilir.
Veri Taşınabilirliği Hakkı: Veri sahipleri kişisel verilerini yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir biçimde talep edebilir ve istenirse başka bir veri denetleyicisine aktarabilir.
İtiraz Hakkı: Bireyler, verilerinin meşru menfaatlere dayalı olarak veya doğrudan pazarlama amacıyla işlenmesine itiraz edebilirler.
Otomatik Karar Verme ve Profil Oluşturma ile İlgili Haklar: Veri sahipleri, üzerinde yasal veya önemli etkileri olabilecek profil oluşturma da dahil olmak üzere yalnızca otomatik işleme dayalı olarak alınan otomatik kararlara itiraz edebilir.
GDPR Kapsamındaki Kuruluşların Yükümlülükleri
Kişisel verileri toplayan, işleyen veya depolayan kuruluşlar, GDPR kapsamındaki çeşitli yükümlülüklere uymak zorundadır. Uyumluluk için temel gereksinimler şunları içerir:
Onay: Kuruluşlar, verilerini işlemeden önce veri sahiplerinden açık onay almalıdır. Rıza bilgilendirilmeli, spesifik ve özgürce verilmelidir. Birey, herhangi bir zamanda rızayı geri çekme yeteneğine sahip olmalıdır.
Veri Koruma Etki Değerlendirmeleri (DPIA’LAR): Bireylerin mahremiyetini etkileyebilecek yeni projeler başlatırken veya faaliyetleri işlerken, kuruluşlar potansiyel riskleri değerlendirmek ve hafifletici önlemler uygulamak için DPIA’LAR yürütmelidir.
Tasarım Gereği ve Varsayılan Olarak Veri Koruması: Kuruluşlar, veri koruma önlemlerini en başından itibaren sistemlerine, süreçlerine ve politikalarına dahil etmelidir (tasarım gereği veri koruması). Ayrıca, varsayılan olarak yalnızca gerekli kişisel verilerin işlenmesini sağlamalıdırlar (varsayılan olarak veri koruması).
Veri Koruma Görevlisinin (DPO) Atanması: Bazı kuruluşların GDPR’ye uyumu denetlemek için bir Veri Koruma Görevlisi (DPO) ataması gerekir. Bir DPO, veri koruma uygulamalarının etkin bir şekilde uygulanmasını sağlar ve kuruluşa veri gizliliği konularında tavsiyelerde bulunur.
İhlal Bildirimi: Kuruluşlar, kişisel veri ihlalinden haberdar olduktan sonraki 72 saat içinde ilgili makamlara bildirimde bulunmalıdır. İhlal, bireylerin hak ve özgürlükleri için yüksek risk oluşturuyorsa, etkilenen bireyler de bilgilendirilmelidir.
Uluslararası Transferler: GDPR, kişisel verilerin Avrupa Ekonomik Alanı (AEA) dışına aktarılmasına kısıtlamalar getirmektedir. Transferler yalnızca yeterli düzeyde veri koruması sağladığı kabul edilen ülkelere veya uygun güvencelerin (ör. Standart Sözleşme Hükümleri) kullanılmasıyla gerçekleştirilebilir.
Uyumsuzluk Cezaları
GDPR’ye uyulmaması ağır cezalara neden olabilir. Yönetmelik iki kademeli para cezası öngörmektedir:
Kayıt tutma, onay yönetimi veya veri koruma etki değerlendirmeleriyle ilgili ihlaller için küresel yıllık cironun (hangisi daha büyükse) 10 milyon Euro’ya veya% 2’sine kadar.
Bireylerin haklarına uyulmaması veya verilerin yasa dışı işlenmesi gibi daha ciddi ihlaller için küresel yıllık cironun (hangisi daha büyükse) 20 milyon Euro’ya veya% 4’üne kadar.
GDPR’nin İşletmeler Üzerindeki Etkisi
GDPR’nin yürürlüğe girmesi, özellikle Avrupa Birliği’nde faaliyet gösteren veya hedef alan işletmeler üzerinde önemli bir etkiye sahiptir. Şirketler, uyumluluğu sağlamak için yeni sistemlere, süreçlere ve teknolojilere yatırım yapmalıdır. GDPR, veri korumanın yanı sıra, işletmelerin müşterilerle etkileşim biçimindeki değişiklikleri de teşvik ederek şeffaflığı ve bireylerin mahremiyetine saygıyı vurguladı. Bazı işletmeler için, özellikle teknoloji sektöründekiler için GDPR, temel özellik olarak gizlilikle yeni ürün ve hizmetlerin geliştirilmesini etkilemiştir.
Genel Veri Koruma Yönetmeliği, Avrupa Birliği’nin giderek artan veri odaklı bir dünyada bireylerin kişisel verilerini korumaya yönelik çığır açan bir çabasını temsil etmektedir. GDPR, bireylerin haklarını geliştirerek, kuruluşlara daha katı gereklilikler getirerek ve şeffaflığı ve hesap verebilirliği vurgulayarak kişisel verilerin nasıl toplandığına, saklandığına ve işlendiğine güven oluşturmayı amaçlamaktadır. Yönetmeliğe uyum karmaşık olabilse de, sonuçta veri güvenliğini artırarak, müşteri güvenini artırarak ve gelişen bir dijital ortamda uzun vadeli başarı sağlayarak işletmelere fayda sağlar.
