GDPR Nedir? Avrupa Birliği’nin Veri Koruma Düzenlemesine Dair Kapsamlı Rehber

  1. Anasayfa
  2. Blog
  3. Yazılım Geliştirme
  4. GDPR Nedir? Avrupa Birliği’nin Veri Koruma Düzenlemesine Dair Kapsamlı Rehber

Dijitalleşen dünyada en büyük değerlerden biri haline gelen kişisel veriler, günümüz iş modellerinin merkezine oturdu. Fakat buradaki söz konusu dataların kişiler ve kurumlar için dikkat edilmesi gereken önemli bir yükümlülük olmuştur. Bu bağlamda, dünya genelinde veri gizliliği konusunda çığır açan düzenlemelerden biri olan GDPR (General Data Protection Regulation) öne çıkıyor.

Peki GDPR tam olarak nedir? Kimleri kapsar? Hangi hakları tanır ve şirketlere ne gibi yükümlülükler getirir? Gelin, bu önemli konuyu adım adım ele alalım.

 

GDPR Nedir? 

GDPR, Avrupa Birliği tarafından hazırlanan ve kişisel verilerin işlenmesini sıkı kurallara bağlayan bir veri koruma düzenlemesidir. 2016 yılında kabul edilmiş, 2 yıllık geçiş sürecinin ardından 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
Bu tarihten itibaren AB içerisinde faaliyet gösteren tüm şirketlerin bu düzenlemeye tam uyum sağlaması zorunlu hale gelmiştir.

 

Kimleri Kapsar? 

GDPR yalnızca Avrupa Birliği vatandaşlarını değil, AB içinde kişisel veri işleyen tüm kişi ve kurumları kapsar. Örneğin:

  • Bir Türk vatandaşı, Avrupa'daki bir siteden hizmet alıyorsa GDPR kapsamındadır.
  • Avrupa’da faaliyet gösteren bir yazılım şirketi, AB dışındaki bireylerin verilerini işliyorsa, bu kişilerin verileri de GDPR koruması altına girer.
    Yani vatandaşlık değil, verinin işlendiği yer önemlidir.


GDPR’nin Temel Amacı

GDPR’nin en büyük hedefi, bireylerin kişisel veriler üzerindeki kontrolünü artırmak ve veri işleme süreçlerini şeffaf, güvenli ve sorumlu hale getirmektir.

Bunun yanında:

  • Tüm AB ülkelerinde veri koruma yasalarını birbirine uyumlu hale getirmek,
  • Şirketleri veri güvenliğine yatırım yapmaya zorlamak da GDPR’nin hedefleri arasındadır.

 

GDPR Hangi Tür Verileri Kapsar? 

GDPR, yalnızca ad-soyad gibi temel bilgileri değil, kişinin doğrudan ya da dolaylı şekilde tanımlanabileceği her türlü veriyi kapsar:

Kapsam Dahilindeki Veri Türleri:

  • Ad, soyad, adres, kimlik numarası
  • Telefon numarası, e-posta adresi
  • IP adresi, coğrafi konum bilgisi
  • Sağlık bilgileri, genetik veriler
  • Banka bilgileri, gelir durumu
  • Politik görüş, dini inanç, sendika üyeliği gibi hassas veriler

 Bu verilerin toplanması, saklanması, paylaşılması ve silinmesi işlemleri GDPR kuralları çerçevesinde yürütülmelidir.

 

GDPR’nin Temel İlkeleri 

GDPR, veri işleme süreçlerini denetlemek için şu 7 temel ilkeyi esas alır:

  1. Hukuka Uygunluk, Adillik ve Şeffaflık: Veri, yasalara uygun, adil ve kullanıcıya açık bir şekilde işlenmelidir.
  2. Amaç Sınırlılığı: Elde edilen veriler, yalnızca önceden belirlenmiş, açıkça ifade edilmiş ve yasal olarak geçerli amaçlarla kullanılmalıdır.
  3. Veri Minimalliği: Gerekli olandan fazla veri toplanmamalıdır.
  4. Doğruluk: Veriler güncel ve doğru tutulmalıdır.
  5. Depolama Sınırlaması: Veriler sadece gereken süre boyunca saklanmalı, sonrasında silinmelidir.
  6. Gizlilik ve Bütünlük: Veriler yetkisiz erişim, sızma ve kötüye kullanım riskine karşı korunmalıdır.
  7. Hesap Verebilirlik: Kurumlar, bu ilkelere uyduklarını belgeleyebilmelidir.

GDPR ile Bireylere Tanınan Haklar

GDPR, bireylerin kişisel verileri üzerindeki kontrolünü artırmak için geniş kapsamlı haklar tanımıştır:

  • Bilgilendirme Hakkı: Kişi, verilerinin hangi amaçla, nasıl ve kimler tarafından işlendiğini bilme hakkına sahiptir.
  • Erişim Hakkı: İsteyen herkes, kendisi hakkında tutulan verilere erişebilir.
  • Düzeltme Hakkı: Kişi, kendisiyle ilgili hatalı veya tamamlanmamış bilgilerin güncellenmesini isteme hakkına sahiptir.
  • Silme Hakkı (Unutulma Hakkı): Kişisel bilgilerinin sistemden kalıcı olarak kaldırılmasını talep edebilir.İşlemeyi Kısıtlama Hakkı: Verilerin işlenmesini belirli koşullarda geçici olarak durdurma hakkı.
  • Veri Taşınabilirliği: Verilerini farklı bir sağlayıcıya taşıma hakkı.
  • İtiraz Hakkı: Belirli işleme faaliyetlerine (özellikle pazarlama) itiraz etme hakkı.

 Bu haklar sayesinde kullanıcılar, şirketlerin veri işleme süreçlerine karşı daha güçlü konumda yer alır.


Şirketler İçin GDPR Yükümlülükleri 

Şirketler ve kurumlar için GDPR sadece bir tercih değil, zorunlu bir yasal yükümlülüktür. GDPR’ye uyum sağlamak adına şirketlerin:

  • Veri işleme süreçlerini belgelemeleri,
  • Gizlilik politikalarını güncellemeleri,
  • Gerektiğinde kullanıcıdan açık rıza almaları,
  • Veri ihlali durumunda 72 saat içinde bildirimde bulunmaları,
  • Büyük ölçekli veri işleniyorsa Veri Koruma Görevlisi (DPO) atamaları gerekir.

Aksi halde ciddi yaptırımlar söz konusudur.

 


GDPR Uyumsuzluğu ve Cezalar

GDPR’ye uymayan kurumlar, ciddi yaptırımlar ve yüksek para cezaları ile karşılaşabilir

  • Kuruluşun küresel yıllık cirosunun %4'ü veya
  • 20 milyon Euro’ya kadar ceza
    (İki seçenekten hangisi daha yüksekse, o uygulanır.)

Bu cezalar yalnızca büyük ölçekli şirketleri değil, küçük girişimleri de içine alır. Bu nedenle GDPR uyumluluğu, tercihe bağlı bir uygulama değil; tüm kurumların uymakla yükümlü olduğu yasal bir zorunluluktur.


Sonuç: Yasal Zorunluluğun Ötesinde Bir Güven Sorumluluğu 

Bakış açısı olarak GDPR için yasal bir düzenlemenin uyulması gereken sorumlulukları dışında bakıldığında aynı zamanda kullanıcıların güvenliğini ve kurumlara karşı güven veren bir kurum kültürünü de sağlayacak bir temeldir. 

Veri güvenliği, itibar, müşteri sadakati ve yasal sorumluluk gibi pek çok faktör açısından GDPR’ye uyum, tüm modern işletmelerin öncelikleri arasında yer almalıdır.

Unutmayın:
Veriye saygı, bireye saygıdır. GDPR ise bu anlayışın yasal karşılığıdır.

Bizi Takip Edin!