GDPR
Neler Yapıyoruz?
GDPR Nedir?
GDPR bir veri koruma yasası olmakla, Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) anlamına gelmektedir. Genel Veri Koruma Yönetmeliği (General Data Protection Regulation); AB tarafından AB Birliği içerisindeki tüm bireylerin kişisel verilerinin korunması ve gizliliği amacıyla 25 Mayıs 2018’de yürürlüğe giren en katı gizlilik ve güvenlik düzenlemesidir.
GDPR’ın en temel amacı; gerçek kişilere kendi kişisel verileri üzerinde güçlü ve tüm üye ülkelerde eşit bir koruma mekanizması öngörerek, kişisel verilerin Avrupa Birliği içerisinde serbestçe dolaşımını sağlamak ve tüm üye ülkelerde kişisel verisi işlenen gerçek kişilerin mahremiyetini ve haklarını korumaktır.
- GDPR sorumluluğu yer veya ülkeyle sınırlı olmayıp; herhangi bir ödemeye dayalı olmasa dahi AB’de yaşayan bir gerçek kişiye (Data Subject) ürün ve hizmet öneriyor ya da AB içindeki bir gerçek kişinin davranışlarını izliyor, web sayfanızda AB’de konuşulan dillerden biri ile hizmet ve ürün öneriyor, AB vatandaşlarının bilgilerini topluyor ve onlara Avrupa’da kullanılan para birimleri ile fiyat listesi sunuyor, web sitesi üzerinden cookies (çerezler) ile alışkanlıklarını belirliyor, profillerini çıkarıyor, IP adreslerini alıyorsanız GDPR ile uyumlu olmak zorundasınız.Özetle; AB üyesi ülkeler ile ihracat ve ithalat faaliyetleri yürüten, internet sitesi üzerinden çerezler ile kullanıcı bilgisi elde eden ve herhangi bir internet sitesi formu üzerinden iletişim bilgisi, kimlik bilgisi vs. alan, Türkiye’de kurulan ve işletilen fakat herhangi bir şekilde AB’de yaşayan kişilerin verilerini işleyen veri sorumlularının GDPR kapsamında gerekli tedbirleri alması elzemdir.
- KİŞİSEL VERİLERİ KORUMA KANUNU İLE UYUMLU OLMAK TEK BAŞINA YETERLİ MİDİR?
GDPR’ın sadece AB için geçerli bir yönetmelik olduğu algısı tamamen yanlıştır. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verilerini işleyen gerçek ve tüzel kişilerin GDPR’a ayrıca uyum sağlaması elzemdir. Nitekim Türkiye’de birçok şirket de KVKK ile birlikte GDPR kapsamına da girmektedir.
Önemle belirtmek gerekir ki; Avrupa Birliği vatandaşlarının verisini işliyor iseniz Kişisel Verileri Koruma Kanunu’na (KVKK) uyumlu olmanız tek başına yeterli olmayıp GDPR uyum sürecini ayrıca ele almanız gerekmektedir. KVKK Uyum Danışmanlığı ile GDPR Uyum Danışmanlığı tamamen birbirinden farklı süreçlerdir.
- GDPR NE TÜR BİLGİLER İÇİN GEÇERLİDİR?
GDPR kişisel veriler ve özel kategorideki kişisel veriler için geçerlidir. Kişisel veri, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir. Örneğin; bir gerçek kişinin adı, soyadı, kimlik numarası, telefon numarası, konum verileri vb. kişisel veri kategorisinde yer almaktadır.
Bununla birlikte; Irk veya etnik köken, siyasi, dini ve felsefi inançlar, sendika üyeliği bilgisi, biyometrik veriler, sağlık ile ilgili veriler ve cinsel yaşam veya cinsel eğilime ilişkin veriler de özel kategorideki (hassas) kişisel veriler olarak kabul görmektedir. Önemle değinmek gerekir ki; veri işleyen gerçek veya tüzel kişiler özel kategorideki bir kişisel veriyi işliyorsa ekstra özen göstermeleri gerekmektedir.
- GDPR KAPSAMINDA ÇOCUKLARIN KİŞİSEL VERİLERİ İŞLENEBİLİR Mİ?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında çocukların kişisel verilerin işlenmesi hususu ayrıca düzenlenmemiştir. Buna karşın GDPR kapsamında KVKK’dan farklı olarak çocukların kişisel verilerinin işlenmesi ayrıca düzenlenmiş ve bu konuya ayrı bir önem atfedilmiştir.
GDPR’ın 8. maddesinde yer alan düzenlemeye göre; çocuklar “16 yaşından küçük olanlar” ve “16 yaşında veya daha büyük olanlar” olarak iki gruba ayrılmıştır. Buna göre; bir çocuğun kişisel verisinin işlenebilmesi için çocuğun en az 16 yaşında olması gerekmektedir. Kişisel verisi işlenecek çocuğun 16 yaşından küçük olması halinde ise, çocuğun kişisel verisi işlenirken veli veya vasisinin rızası alınmalı, rıza verilirken faaliyetin sınırları da yine veli/vasi tarafından belirlenmelidir.
- GDPR KAPSAMINDAKİ YÜKÜMLÜLÜKLER NELERDİR?
GDPR uyarınca veri işleyen gerçek veya tüzel kişiler, kişisel verileri işlerken GDPR’ın 5. Maddesinde yer alan ilkelere uygun davranmak zorundadır.
- Hukuka uygunluk, adil ve şeffaf olma
- Amaç ile sınırlılık
- Veri minimizasyonu
- Doğruluk
- Saklama süresinin sınırlandırılması
- Hesap verilebilirlik
Kişisel verilerin kullanımının yasal, adil ve şeffaf olmasını sağlamak da bu ilkelere dahildir. Ayrıca; kişisel veri işleyen gerçek ve tüzel kişiler, işledikleri kişisel verilerin güvenliğinden de sorumludur.
Bununla birlikte; bir veri ihlali meydana geldiğinde, GDPR uyarınca veri sorumlularının ihlalden haberdar olduktan sonraki 72 saat içinde ilgili denetim makamına veri ihlal bildiriminde bulunmaları gerekmektedir.
- GDPR İLE UYUMLULUK ADINA TEMEL OLARAK YAPILMASI GEREKENLER NELERDİR?
- Risk değerlendirmesi ve organizasyonel kontrollerin oluşturulması
- Veri akışlarının tespiti ve veri envanterinin hazırlanması
- Yasal sorumlulukların tanımlanması, belirtilmesi
- Veri koruma süreçleri ile ilgili gerekli tüm tedbirlerin alınması ve uçtan uca bir veri güvenliği altyapısının oluşturulması
- DPO (Veri Koruma Görevlisi) atanması
- Mevcut politika ve prosedürlerin güncellenmesi, Bağlayıcı Şirket Kuralları’nın (BCR) hazırlanması ve gözden geçirilmesi
- Pazarlama ve sosyal medyadaki iletişim süreçlerinin tekrar gözden geçirilmesi
- HER VERİ SORUMLUSUNUN VERİ KORUMA GÖREVLİSİ (DPO) İHTİYACI VAR MIDIR?
Veri Koruma Görevlisi (DPO), veri sorumlusunun kişisel verilerin korunmasına yönelik uyması gereken yasal yükümlülükleri düzenli olarak takip eden, bu kapsamda alınacak tedbirlerle ilgili süreçleri titizlikle yöneten gerçek kişidir. Veri koruma görevlisinin birincil görevi kuruluşun, personelin, müşterilerin, sağlayıcıların veya diğer kişilerin kişisel verilerinin geçerli veri koruma kurallarına uygun olarak işlenmesini sağlamaktır.
GDPR belirli koşulları karşılayan veri sorumlularının veri koruma görevlisi atamasını zorunlu kılmaktadır. Buna göre; veri sorumlusunun temel faaliyetlerinin doğası, kapsamı ve/veya amacı gereği, ilgili kişilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinden oluşması veya veri sorumlusunun temel faaliyetlerinin büyük ölçekte özel nitelikli kişisel veri veya ceza mahkûmiyeti ile suçlara ilişkin verilerin işlenmesini içermesi halinde, veri sorumlusunun bir veri koruma görevlisi atama yükümlülüğü bulunmaktadır.
- VERİ İHLALİ GERÇEKLEŞTİĞİNDE GDPR KAPSAMINDA NELER YAPILMALI?
Bir veri ihlali meydana geldiğinde gecikme olmaksızın ve veri ihlalini farkına vardıktan sonraki en geç 72 saat içinde ICO’ya veri ihlal bildiriminde bulunulmalıdır. Eğer bildirim süresi bundan daha uzun bir süreyse, ayrıca gecikmenin nedenleri de belirtilmelidir.
Her durumda, veri ihlali bir kontrolör tarafından belgelenmeli ve tutulan rapor ihlalin etkilerini ve alınan düzeltici önlemin tanımını içermelidir. Ayrıca; kişisel veri ihlalinin gerçek kişilerin hak ve özgürlükleri üzerinde yüksek bir risk oluşturması muhtemel ise, kontrolör veri ihlalini veri sahiplerine gecikme olmaksızın bildirmelidir.
- GDPR UYUMSUZLUK CEZALARI NELERDİR?
GDPR ihlallerine bağlı olarak tek seferde kesilen ceza tutarı 20 milyon Euro’yu veya şirketin küresel çapta yıllık cirosunun yüzde 4’ünü bulabilmektedir. İki seçenekli iş bu yaptırımlardan hangi tutar daha yüksek ise veri ihlal edene o ceza uygulanmaktadır. Bu bağlamda; GDPR kapsamında veri ihlalinde bulunanlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’na nazaran daha ağır yaptırımlarla karşı karşıya kalmaktadır.