GDPR ile İlgili Bilinmesi Gerekenler
Genel veri koruma yönetmeliği olan GDPR, AB vatandaşları için kişisel verilerin korunmasına yönelik düzenlenen yönetmeliktir. 2018 yılından bu yana Avrupa Birliğine üye olan ülkelerde başarılı şekilde yürürlüğe giren GDPR; Avrupa Birliği'ne üyeliği gerçekleştirilen ülkelerin büyük kurum ve kuruluşlarında kişisel verilerin yönetmelikte yer alan kurallar çerçevesinde, usulüne uygun şekilde güvenliğini sağlamayı hedeflemektedir. GDPR, Avrupa Birliği'nde faaliyet göstererek AB vatandaşlarının kişisel bilgilerini işleyen tüm işletmeleri bağlayıcı niteliktedir. AB üyeliği bulunan ülkeler GDPR'ı kendilerine temel alarak yasalarda gerektiği zaman ağır yaptırımlar ve katı uygulamalar devreye alabilmektedir. Bu yönü ile GDRP kişisel verilerin korunması ile ilgili asgari müşterek düzenlemeler olarak da değerlendirilebilmektedir.
GDRP'ye göre hiçbir kişisel bilgi, yönetmelikte belirtildiği üzere düzenlenmediği ve kişisel veri sahibinden açık şekilde onay alınmadığı sürece işleme alınamaz. İlgili kişi eğer bu izni verirse veriler işlenebilir. Aynı zamanda ilgili kişiler bu izinleri istedikleri zaman iptal etme talebinde bulunabildikleri belirtilmiştir. GDPR, kişiler için geçmişte saklı olan verileri de olduğu gibi kapsamaktadır. GDPR maddelerine uymayan kişi ve işletmelere ciddi yaptırımlar ve cezalar uygulanmaktadır.
Konuya ilişkin kişisel veriler;
• Kişi isim, adres ve kimlik bilgileri
• Konum, IP ve cookie bilgileri gibi internet bilgileri
• Biyometrik veriler
• Fiziksel görünüme ilişkin veriler
• Tıbbi veriler
• Siyasi görüş gibi verileri kapsamaktadır.
GDPR Dikkat Edilmesi Gereken Hususlar
• GDPR dikkat edilmesi gereken konular özellikle veri işleme süreci esnasında AB sınırları içerisinde başlayarak ilgide hizmetin coğrafi biçimde başka bir bölgede bulunuyor olsa bile GDPR ile uyumluluk göstermesi gerekmektedir.
• GDPR yönetmeliğine uygun olmayan tüm verileri işleyenler için oldukça yüksek miktarlarda para cezası uygulanabilir.
• Bireylerden kişisel veriler talep edilirken rıza gerektiren durumlar basit bir sistem aracılığıyla, kolay ve anlaşılır şekilde onay alınarak gerçekleştirilmeli ve iptal talepleri de bu şekilde gerçekleştirilmelidir.
• Tüm şirketler için her zaman ihlal bildirimleri mecbur kılınmaktadır.
• Kullanıcılara hangi verilerin neden alınacağına, ne kadar süre boyunca tutulacağına, nerelerde ve nasıl kullanılacağına dair bilgiler verilmelidir.
• Bireyler kişisel verileri için kaydedilen verilerin erişim hakkına sahiptirler. Aynı zamanda verilerini güncelleyerek silme veya tutulma gibi hakların tamamına sahiptir. Kullanıcılar kişisel verileri üstünde istedikleri zaman kısıtlama da getirebilirler.
GDPR Hangi Durumlarda Uygulanır?
GDPR 23. maddede yer alan bilgiler doğrultusunda, eğer AB üyesi olmayan bir ülke tarafından AB üyesi olan herhangi bir ülkeye hizmet veya ürün sunulacaksa, ürün ve hizmeti sunan taraf GDPR'ye ilişkin tüm bilgi ve gereklilikleri açıkça kabul etmek ve yönetmeliği harfiyen uygulamak zorundadır. Bu tüzük, işleme faaliyetleri bulunan Birlik içerisinde gerçekleşip gerçekleşmediği dikkate alınmaksızın Birlik içerisindeki kontroller ve işleyicinin işletmeye ilişkin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır. 2016 yılında hazırlanan GDPR, AB’ye üye olan 28 ülkenin tamamında geçerli hale gelmiştir. Türkiye'de de yürürlükte olan KVKK'nın esas aldığı düzenleme neticesinde oluşturulmuştur. Türkiye'deki şirketler için ticari faaliyetleri çok daha güvenli bir şekilde yürütebilmek için GDPR uyumluluğuna dikkat edilmesi gerekmektedir. Bununla bağlantılı olarak kişisel herhangi bir veriyi işlemek isteyen kurumlar, kişisel verileri talep etmesi durumunda hangi veriyi hangi amaçla depoladığını beyan etmek durumunda kalacaktır. Tüm bireyler için doğrudan tıbbi bilgiler, e-posta, isim, fotoğraflar, TC kimlik numarası, banka detayları ve diğer tüm veri ürünlerinin GDPR kapsamında olduğunu bilmemizde yarar var.