GDPR Nedir?

 

GDPR Nedir?

GDPR Açılımı Nedir?

GDPR, Mayıs 2018'de Avrupa'da yürürlüğe girmesi ile birlikte kullanılmaya başlanan bir kavramdır. GDPR, açılım olarak “General Data Protection Regulation” anlamına gelmektedir. GDPR’yi Türkçe’ye Genel Veri Koruma Yönetmeliği olarak çevirmek mümkündür. Genel Veri Koruma Yönetmeliği sayesinde kurum ve kuruluşların, kişisel verileri kullanmalarına dayalı tutarak bireyin gizlilik ve güvenini korumak mümkün olmaktadır.

Genel Veri Koruma Yönetmeliği Nedir?

Son yıllarda internet kullanımının iyice artması ve veri paylaşımının hız kazanması ile kişisel verilerin güvenliği hususunda endişeler oluşmaktadır. Bir siteye üye olurken veya çevrimiçi platformlarda alışveriş yaparken ad-soyad, adres, telefon, e-posta ve hatta kredi/banka kart numaraları da dahil olmak üzere birçok veri paylaşımı yapılmakta. İnternet kullanıcıları için büyük önem teşkil eden/edebilecek bu verilerin korunması hem bireyler hem de şirketler için oldukça önemlidir. Bu noktada kişisel verilerin korunmasına dair en bilinen ve güvenilir uygulama olan GDPR (Genel Veri Koruma Yönetmeliği) karşımıza çıkmaktadır.

Genel Veri Koruma Yönetmeliği, 25 Mayıs 2018 tarihinde yönetmeliğe girmekle birlikte Avrupa genelindeki bütün Avrupa Birliği vatandaşlarını kapsayan ve bu vatandaşların kişisel verilerini korumak ve güvence altına almak adına oluşturulmuş bir yönetmeliktir. Avrupa Birliği’ne dahil olan tüm ülkelerde geçerliliği olan GDPR, özellikle Avrupa’da bulunan büyük kurum ve kuruluşlar içerisindeki kişisel verilerin, yönetmelikte belirtilen kurallar ışığında güvence altına alınmasını amaç olarak hedeflemektedir.

GDPR, Avrupa Birliği sınırları içerisinde bulunan bütün ülkeler ve vatandaşların kişisel verilerini bulunduran bütün şirket, kurum-kuruluş, firma ve işletmelerde geçerliliğini sürdürmektedir.

GDPR’a uyulmadığı takdirde, Avrupa Ülkeleri gerekli yaptırımlar uygulamakta ve katı uygulamaları devreye sokabilmektedir. Bu nedenle GDPR, kişisel verilerin işlenmesi çerçevesinde asgari müşterek düzenleme olarak kabul görebilmektedir. Bu yönetmelik kapsamında, hiçbir kişisel veri, veri sahibinden açık onay alınmadığı sürece işlenemez ya da kullanılamaz. Aynı zamanda, açık onay veren kişiler, tercih ettikleri durumlarda veya istedikleri zaman bu izni geri alma hakkına da sahiptir. GDPR güvencesi altında bulunan bazı kişisel veriler aşağıda verilmiştir:
● Bireylerin ırk ve köken bilgileri,
● Bireylerin siyasi görüşleri,
● Ad-soyad, adres, kimlik ve pasaport bilgileri,
● Bireylerin fiziksel görünüşüne ait olan ve biyometrik veriler,
● Bireyin tıbbi durumu ile ilgili veriler.

GDPR Hangi Ülkeler İçin Geçerlidir?

GDPR, yukarıda da belirtildiği üzere, bütün Avrupa Ülkelerinde Avrupa Birliği vatandaşı olan kişiler için geçerlidir. Türkiye’de ise halihazırda 1995 yılından beri bulunan KVKK yani Kişisel Verilerin Korunması Kanunu geçerlidir. Bu nedenle GDPR’nin Türkiye’de geçerli olmadığını fakat ona yakın düzenlemeler dahilinde bulunan KVKK’nın geçerli olduğunu söylemek mümkündür.

Aynı zamanda, GDPR Avrupa Birliği'ne dahil olmayan ancak Avrupa'ya yönelik ürün ve hizmet sağlayan ülkeleri de kapsamaktadır. GDPR'nin 23 nolu paragrafı uyarınca eğer Avrupa Briliği üyesi olmayan bir ülkeden Avrupa Birliği üyesi olan bir ülkeye mal veya hizmet sağlanıyorsa, mal ve hizmet sağlayan ülke GDPR'yi kabul etmek ve uygulamak durumundadır.

Genel Veri Koruma Tüzüğü Hangi Koşullarda Uygulanır?

Daha önce de bahsedildiği gibi, Genel Verileri Koruma Tüzüğü Avrupa Birliği’nde bulunan tüm vatandaşları içinde barındırmak ile birlikte bu vatandaşların izni olmaksızın hiçbir kurum veya kuruluş vatandaşların kişisel verilerini işleyemez ya da kullanamaz.

Kısacası, kişisel veriler kişisel veri işletmecileri tarafından en az bir yasal dayanağın olmadığı durumlarda işlenemez ve kullanılamazlar. Tüzükteki 6. nolu madde uyarınca bu yasal dayanaklar aşağıda verilmiştir:
● Veri paylaşan kişi, kişisel verilerinin işlenmesine izin vermiş ise,
Veri paylaşan kişi ile yapılan sözleşmeden ortaya çıkan yükümlülükler yerine getiriliyor ise,
● Veri sorumlusunun yasal mecburiyetliklere uyması amacı ile,
● Veri paylaşan kişinin veya bir bir başka vatandaşın hayati çıkarları söz konusu ise,
● Kamu yararına olan durumlarda ya da resmi makamda bir görev yerine getiriliyor ise,
● Bir veri sorumlusu veya bir üçüncü tarafın Avrupa Birliği Temel Haklar Bildirgesi uyarınca geçersiz kılınamayan yasal yararları amacı ile.

Yukarıdaki yasal dayanak olarak kabul edilen durumlar haricinde Genel Veri Koruma Tüzüğü kapsamında hiçbir vatandaşın verileri işlenemez veya kullanılamaz. İşlendiği ya da kullanıldığı durumlarda Genel Veri Koruma Tüzüğü uygulanma durumunda kalınır.

KVKK VE GDPR Farkı Nedir?

GDRP Avrupa Birliği’ne üye olan ülkeler için geçerlidir ancak Türkiye’de hali hazırda kullanılan KVKK 1995 yılından beri geçerliliğini korumaktadır. En temelde kişisel verilerin korunmasını amaçlayan bu iki yönetmelik/kanun arasında benzerlikler olduğu gibi bazı farklar da bulunmaktadır. Bu farklar aşağıda verilmiştir:
● GDPR, kişisel verilerin korunması hususunda çok daha detaylı ve kapsamlı bir düzenlemedir. GDPR kapsamında hem internet kullanıcıları hem de veri sorumluları bulunmaktadır. Ancak KVKK sadece veri sorumlularını kapsar, herkesi kapsamaz.
● GDPR kapsamında kişisel verilerin korunması durumunda yapılabilecek ihlal ve yanlış bir faaliyette, sorumlu kişiler için büyük ve caydırıcı yaptırımlar uygulanmaktadır. Örneğin, GDPR ile geçerli olan yükümlülüklere uyulmaması halinde azami ceza limiti kurumun yıllık cirosunun %4'ü veya 20 milyon Euro'dur. Öte yandan, Türkiye'de KVKK kapsamında bir ihlal olması durumunda uygulanacak olan yaptırımlar daha düşük seviyededir. Örneğin, KVKK ile geçerli olan yükümlülüklere uyulmaması halinde azami ceza limiti 1 milyon Türk Lirasıdır.

● KVKK yükümlülükleri sadece Türkiye Cumhuriyeti sınırları içinde olan veri paylaşımlarını kapsamaktadır. Bu bağlamda, Avrupa Birliği ve ABD bölgesinde KVKK'nın gerçek veya tüzel kişiler üzerinde herhangi bir yaptırım gücü bulunmamaktadır. Ancak, GDPR tüm Avrupa Birliğini kapsamakla birlikte kapsama alanı çok daha geniştir. Dünyanın her yerindeki Avrupa Birliği vatandaşlarına bu yönetmelik ile koruma sağlanır.

● KVKK yönetmeliği uyarınca veri işleyen kişilere veri sorumlusu denmektedir ve veri sorumluları VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)'e kayıtlı olmak zorundadırlar. Diğer yandan, GDPR yönetmeliğinde veri işleyen kişiler veri kontrolörü olarak adlandırılır ve veri kontrolörünün hiçbir kurum veya kuruluşa kayıt yükümlülükleri bulunmaz.