DosyaManşetler

GDPR nedir: Avrupa Birliği Veri Koruma Tüzüğü neler getiriyor?

gdpr avrupa birliği veri koruma tüzüğü

gdpr avrupa birliği veri koruma tüzüğü

Avrupa Birliği Veri Koruma Tüzüğü teriminin İngilizcesi olan “General Data Protection Regulation” teriminin kısaltması olan GDPR‘ı son zamanlarda birçok yerde görüyor olmalısınız. 25 Mayıs 2018 tarihinden itibaren yürürlüğe girecek olan bu yeni yönerge, 28 Avrupa Birliği üye ülkesi genelinde işleyecek standart veri koruma kanunu oluyor. Kişisel verilerin kontrolü ve işlenmesine dair yeni katı kuralları beraberinde getiriyor. Ayrıca kişisel verilerin korunmasının ve veri koruma haklarının kapsamını, kontrolü Avrupa Birliği vatandaşlarına geri vererek genişletiyor.

Microsoft’un konuyla ilgili hazırlamış olduğu bilgilendirme sayfasında, bu yeni tüzüğün Avrupa Birliği’nin 95/46/EC sayılı Veri Koruma Direktifi’nin yerini aldığı dile getiriliyor. GDPR’ın bu direktif ile arasında aşağıdaki farkları barındırdığı vurgulanıyor:

  • Daha geniş yetki alanı: Genel Veri Koruma Regülasyonu, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacaktır.
  • Cezalar: GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.
  • Onay: Onay, net ve kolayca anlaşılır bir şekilde istenmeli ve diğer konulardan ayırt edilebilmelidir. Buna ek olarak, onayın geri alınması da verilmesi kadar kolay olmalıdır.
  • İhlal Bildirimleri: İhlal bildirimleri zorunlu olacaktır ve kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde tamamlanması gerekecektir.
  • Gizlilik: GDPR, veri koruma işlevinin sistemler tasarlanırken baştan dahil edilmesini, sonradan ekleme yoluyla uygulanmamasını şart kılar.
Tüzükte birçok önemli madde bulunuyor. Artırılan cezalar, ihlâl bildirimleri, verilerin Avrupa Birliği dışına taşınması için izin ve sorumluluk kararı bunların arasında yer alıyor. Sonuç olarak, bu yeni tüzüğün işletmelere büyük etkisi oluyor; müşteri verilerinin toplanması, depolanması ve kullanılmasıyla ilgili yöntemleri kalıcı biçimde değiştiriyor.

GDPR, Avrupa Birliği vatandaşlarının kişisel verilerini tutan ve işleyen tüm kuruluşları, coğrafi konumları neresi olursa olsun kapsıyor. Avrupa Birliği sınırları dışındaki birçok kuruluş Avrupa Birliği Genel Veri Koruma Tüzüğü’nün kendilerini kapsadığından haberdar değil. Eğer bir kuruluş Avrupa Birliği vatandaşlarına mal ya da servis sunuyorsa, ya da onların davranışlarını izliyorsa, GDPR uyumluluk gereksinimlerini karşılamak zorunda.

Tüzüğe aykırı davranışların büyük cezası bulunuyor. Bu ceza 20 milyon avroya kadar varabilir ya da bir şirketin toplam küresel gelirlerinin yüzde 4’ü kadar ceza verilebilir ki, bu durumda cezanın miktarı daha da artacaktır. Söz konusu ceza; veri işlemek için müşteri iznini yeterli biçimde almamak veya temel “Privacy by Design” konseptlerini ihmal etmek gibi en ciddi ihlâllere uygulanacaktır. Ne var ki, cezalar için katmansal yaklaşım da bulunuyor. Örneğin bir şirket, kayıtlarını düzenli tutmadığı, bir ihlâlle ilgili denetleyici kuruluşa ya da veri öznesine bildirimde bulunmadığı ya da etki değerlendirmesi yürütmediği takdirde, gelirlerinin yüzde 2’si oranında cezayla karşılaşabilir. Kuralların hem denetçi hem de işletmeciler için geçerli olduğunu önemle belirtmek gerekiyor.