Genel Veri Koruma Yönetmeliği, AB tarafından düzenlenen bir tüketici veri gizliliği yönetmeliğidir. GDPR, AB içerisinde bulunan vatandaşların kişisel verilerini saklayan bütün işletmeleri kapsamaktadır. İşletmenin konumu Avrupa birliği sınırları içerisinde olmasa bile bu vatandaşların verilerini topladığı için yönetmelikten sorumludur.
25 Ocak 2012’de GDPR önerisi kabul edilmiş, 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından kabul edilmiştir. 2016 yılında yönetmelik Avrupa Birliği Resmi Gazetesi’nde yayınlanmıştır. İki yıllık uyumlandırma süreci sonunda 25 Mayıs 2018 tarihinde tüm üye devletlerde uygulanır hale gelmiştir.
GDPR, gerçek kişilerin kişisel verilerin korunması hakkını güvence altına almıştır. Avrupa Komisyonu’na göre kişisel veriler, bir şahsa ilişkin, onun yaşamıyla ilgili olsun ya da olmasın, herhangi bir bilgi olarak tanımlanmıştır. Bu bilgiler, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişisel veri sahibinden izin alınmadıkça işlenemez.
GDPR’a göre verilerin hukuka uygun olarak işlenmesi gerekmektedir. Hukuka uygun işlenebilmesi için işletmelerin, kişisel veri işleme faaliyetlerine başlamadan önce “işleme koşulları” olarak tanımlanan hukuka uygun bir temel belirlemeleri ve bu hukuka uygunluk temelini yazıya dökmeleri gerekmektedir. Bu işleme koşulları GDPR md.6’da düzenlenmiştir.
İşleme faaliyetinin rızaya dayanması gerekmektedir. Veri sahibinin rızası GDPR md.4’de düzenlenmiştir. Rızanın şartları da ilgili yönetmeliğin 7. maddesinde düzenlenmiştir. Verilen rızanın açık, özgür bir şekilde ve belirli bir konu hakkında olması gerekmektedir. Veri sahibi istediği zaman rızasını geri çekebilmektedir.
Çocukların kişisel verilerinin korunması da GDPR’da düzenlenmiştir. Buna göre, 16 yaşındaki ve üstündeki çocuklar kişisel verilerinin işlenmesi için rıza verebilmektedir. 16 yaş altı çocuklar için ebeveyn yükümlülüğü bulunan insanların rıza vermesi gerekmektedir.
GDPR md.5’de hesap verilebilirlik hükmü düzenlenmiştir. Buna göre uyum yükümlülüğünde olan işletmelerin uygun ölçüde teknik ve yöntemsel önlemler alarak uyumluluğun sağlanması ile ilgili düzenlemeler yapmaları gerekmektedir.
GDPR’a göre işletmenin hakları şunlardır;
• Kullanıcıları kendi kimliği, topladığı veri, neden topladığını, neleri depoladığını ve kimlerle paylaştığı hakkında bilgilendirmek
• Herhangi bir veri toplarken kullanıcıdan açık ve net onay almak
• Kullanıcıların, toplanılan verilere erişmesine ve indirmesine izin vermek
• Kullanıcıların istedikleri takdirde verilerini silmelerine izin vermek
• Kullanıcıları herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirmek
GDPR’a göre kişisel verileri işlenen kişinin bazı hakları bulunmaktadır. Bu haklar, bilgilendirilme hakkı, erişim hakkı, düzeltme hakkı, unutulma hakkı, kısıtlama hakkı, taşınabilirlik hakkı, nesne hakkı ve otomatik karar almaya tabi olmamak hakkıdır. Bu haklara başvurulması durumunda, işletmenin 30 gün içinde cevap vermesi gerekmektedir.
GDPR md 37’de belirtilen işletmeler, veri koruma görevlisi atamak zorundadır. Veri koruma görevlisi veri işleme sürecinin GDPR’a uygunluğunu incelemekle görevlidir. Aynı zamanda verileri işlenen kişileri bilgilendirmesi gerekmektedir.
Bu yönetmelik ile birlikte Avrupa Veri Koruma Kurulu kurulmuştur. Bu kurulun görevi, GDPR’ın düzgün bir şekilde uygulanmasını sağlamaktır. GDPR md.70 bu Kurul’un görevlerini düzenlemiştir.
GDPR uyarınca uygulanacak idari yaptırım md 83’te düzenlenmiştir. Veri sorumluları veya veri işleyenlerin kasıtlı veya ihmali sebebiyle veri işleme kurallarını ihlal etmesi durumunda, uygulanacak olan toplam idari para cezası, en ağır ihlal için belirtilen meblağı aşamamaktadır.
10 milyon Euro veya veri sorumlusunun bir önceki mali yılda dünya çapında toplam cironun %2’si oranında idari para cezası veya 20 milyon Euro veya bir önceki mali yılda dünya çapına toplam cironun %4’ü oranında idari para cezası verilmektedir. GDPR’a aykırılık halinde yüksek miktarda idari para cezası yaptırımıyla karşılaşılmaktadır.
Schrems II kararının ardından, AB Veri Koruma Yetkilileri, Avrupa Temel Garantilerini güncelledi. Avrupa Temel Garantileri güncellenirken Avrupa Adalet Divanı ve AİHM kararları dikkate alındı. Bu düzenlemeyle, kişisel verilerin aktarılması sıras...
DETAYPosta, telgraf veya diğer yollarla iletişim özgürlüğü ve gizliliği anayasa tarafından garanti edilmesine rağmen, BAE'nin bir bütün olarak belirli bir kişisel verileri koruma düzenlemeleri yoktur. Bir Elektronik İşlemler ve Ticaret Yasası ve b...
DETAY