Genel Veri Koruma Tüzüğü (GDPR) Nedir?

Yagmur Sahin
DataBulls
Published in
4 min readOct 16, 2021

GDPR- Genel Veri Koruma Kanunu, Avrupa’nın yeni veri gizliliği ve güvenliği yasası, dünya çapındaki kuruluşlar için yüzlerce sayfalık yeni gereksinimler içeren bir sözleşme metnidir.

Düzenleme 25 Mayıs 2018'de yürürlüğe girmiştir ve gizlilik ve güvenlik standartlarını ihlal edenlere on milyonlarca avroyu bulan cezalar ile ağır para cezaları içermektedir. 11 Mart 2019 tarihinde ise Avrupa Birliği Siber Güvenlik Kanunu’nu AB Parlamentosu’nda onaylanmıştır.

Avrupa Parlamentosu, Konsey ve Avrupa Komisyonu, AB üye ülkelerine siber güvenlik tehditleri ve saldırıları ile mücadelede destek verilmesi amacıyla AB Siber Güvenlik Ajansı olan ENISA’yı yeni yetkilerle donatan siyasi bir anlaşmaya varmıştır.

Kanun ayrıca, çevrimiçi hizmetlerin ve tüketici cihazlarının siber güvenliğini artırarak, siber güvenlik sertifikası için bir Avrupa birliği çerçevesi oluşturmaktadır. GDPR, özünde, AB vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlamak için tasarlanmış yeni bir kurallar dizisidir.

Avrupa Birliği’ndeki hem vatandaşların hem de işletmelerin dijital ekonomiden tam olarak yararlanabilmesi için iş için düzenleyici ortamı basitleştirmeyi amaçlamaktadır. Kişisel veriler, mahremiyet ve rıza ile ilgili olanlar da dahil olmak üzere yasaları ve yükümlülükleri Avrupa çapında belirlemektedir.

GDPR öncesi 1998 yılında yürürlüğe giren 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”, kişisel verilerin korunması alanında Avrupa coğrafyası ile sınırlı kalmayan ve tüm dünyada kabul gören bir çerçeve sunmuş, doğrudan hukuki bağlayıcılığı olmaması nedeni ile birlik üyesi her ülke tarafından kendi yerel mevzuatlarını yaratmalarında referans olarak kullanılmıştır.

GDPR’nin kapsamını düzenleyen ikinci maddesine göre; GDPR, kişisel verilerin tamamen ya da kısmen otomatik araçlarla yahut dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçası olması amaçlanan araçlarla işlenmesine uygulanmaktadır.

Art. 2 GDPR-Material scope:

“This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.”

Görüldüğü üzere GDPR; Avrupa Birliği tabanlı kontrolör ve işleyicilere uygulandığı gibi, Avrupa Birliği içerisinde yer alan veri sahibinden mal veya hizmet sunulması yahut veri sahibinin davranışların izlenmesi durumlarında, veri işleme işleminin nerede gerçekleştiğine bakılmaksızın, uygulanmaktadır.

Diğer bir deyişle GDPR, genişletilmiş bir bölgesel kapsam benimsemiştir.

Genel Veri Koruma Yönetmeliği (GDPR) Avrupa Birliği (AB) Genel Veri Koruma Yönetmeliği (GDPR) AB tarafından onaylanmış ve 14 Nisan 2016’da yürürlüğe girmiştir. Mayıs 2018’de ise resmi olarak ülkeler tarafından AB verilerinin işlenmesinde bir standart haline gelmiştir.

Veri Koruma Direktifi ve GDPR ve şu nedenlerle tasarlanmıştır:

  • Avrupa genelinde farklı veri gizliliği yasalarını standartlaştırmak.
  • AB vatandaşlarının mahremiyetini korumak.
  • AB veri koruma ve gizlilik önlemlerini uyumlu hale getirmek.
  • Anlamlı para cezaları ve yaptırımlar yoluyla uyumu teşvik etmek
  • AB vatandaşlarına kişisel verilerinin sorumluluğunu vermek.

GDPR, AB içinde bulunan kuruluşların yanı sıra dışında bulunan kuruluşlar için geçerlidir. AB veri konularında mal veya hizmet sunuyorlarsa veya davranışlarını izliyorlarsa yahut GDPR burada ikamet eden veri sahiplerinin kişisel verilerini işleyen ve tutan tüm şirketler için geçerlidir.

GDPR, AB Veri Koruma Direktifinden aşağıdaki şekillerde farklılık göstermektedir:

GDPR, AB’nin tüm üye ülkeleri için geçerlidir ve üye devletlerin veri koruma tutarsızlıklarını ortadan kaldırmaktadır.

Yetki Alanının Genişletilmesi — GDPR’nin kapsamı Avrupa sınırlarının ötesine genişletilmiştir ve AB vatandaşını barındıran veya işleyen herhangi bir kuruluşa uyumu genişletir.

Vatandaş İzni ve Hakları — Kuruluşlar artık belirsiz terminoloji kullanamaz  Kuruluşlar, rıza koşulları ve verilerin sade bir dille nasıl kullanılacağı hakkında bilgi sahibi olurlar.

Kişilerin kendi verilerine erişmesi (erişim hakkı) ve verilerini alması (veri taşınabilirliği) ve talep üzerine sildirme hakkı vardır(unutulma hakkı).

Gizlilik Korumaları — Gizlilik, artık gizlilik korumasının zorunlu olduğu yasal bir gerekliliktir.

Yaptırım — GDPR benzer şekilde mahkemeler aracılığıyla uygulanır ve ceza ve medeni hukuk yollarına ek olarak idari yaptırımlar öngörülmiştür. Mahkemenin ihlal için verebileceği para cezaları. Para cezaları 20 milyon veya dört Euro’ya kadar çıkabilmektedir.

İhlal Bildirimleri — GDPR kapsamında artık ihlal bildirmek gerekli değildir çünkü bildirimler her yerin yerel gizlilik otoritesine yapılmaktadır. Veri Koruma Görevlisi (DPO) kavramı ile birlikte bildirimler tek ve ilgili makama yapılır.

Daha Fazlası İçin:

DataBulls’u Medium, Linkedin ve Twitter platformlarından takip edebilirsiniz.

Aramıza yazar olarak katılmak isterseniz Linke tıklayarak formu doldurmanız yeterli olacaktır. Sizi aramızda görmekten mutluluk duyarız.

Bir sonraki yazıda görüşmek üzere.

Bir sonraki yazıda görüşmek üzere.

--

--

Yagmur Sahin
DataBulls

London 📍 Lawyer | Privacy & Data Protection Professional | Philosophy-Psychology-Tech Linkedin: https://www.linkedin.com/in/data-privacy-yagmursahin/