Skip to main content

Kişisel Verileri (GDPR) Neler Oluşturur?

GDPR, AB vatandaşları ve sakinlerinin kişisel verilerinin korunması üzerine inşa edilmiştir. Bunun ne anlama geldiğini anlamak, şirketinizin GDPR gereksinimlerine hakim olmasını sağlayacaktır. Aslında, GDPR yalnızca kişisel veriler için geçerlidir. Ancak kişisel veriler tam olarak nedir? Bu kategorinin genişliği sizi şaşırtabilir! Bu makalede, hangi verilerinizin GDPR düzenlemeleri kapsamına girdiğini belirlemenize yardımcı olacağız ve umarız faydalı bilgileri gereksiz yere silmenizi engelleyeceğiz.

Ayrıca, kişisel veriler ile hassas kişisel veriler arasındaki farkı da açıklayacağız - nasıl toplandığı, saklandığı ve işlendiğine ilişkin etkileriyle birlikte GDPR kapsamında önemli bir ayrım.

Kişisel Veriler Tam Olarak Nedir?

Ne yazık ki, GDPR, kişisel veri olarak kabul ettiği şeylerin kapsamlı bir listesini içermez. Mevzuatta kişisel verilerin - “Kimliği belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olduğu belirtilmektedir.

Meslekten olmayan kişi için bu, yaşayan bir veri öznesini tanımlamak için - tek başına veya diğer bilgilerle birlikte - kullanılabilecek herhangi bir bilgi anlamına gelir. Kişisel veriler, ad veya kullanıcı adı gibi bariz bir şey olabilir veya CCTV görüntüleri gibi daha az belirgin bir şey olabilir.

Bunun nedeni, bu tür verilerin bir yerde fiziksel varlığınızı doğrulamak için kullanılabilmesidir. Ayrıca telefon konum verilerini, IP adreslerini ve tanımlama bilgilerinin yanı sıra e-posta ve ev adreslerini de içerir.

Ancak, GDPR düzenlemelerinde tanımlandığı gibi, bunların kendi başlarına mutlaka kişisel veri oluşturmadığını hatırlamak önemlidir - her şey belirli koşullara bağlıdır.

Durumun bununla ne ilgisi var?

Örneğin birinin adını alın.

Bunun her zaman GDPR kapsamında kişisel veri olarak sınıflandırılacağını varsayabilirsiniz, ancak yanılıyorsunuz. ABD'de 48,532 John Smith olduğu göz önüne alındığında, bu ad tek başına belirli bir kişiyi tanımlamak için kullanılamaz ( ABD Sayım Bürosu). Buna karşılık, Elon Musk'ın oğlunun gezegende X Æ A-12 Musk (şimdilik) olarak adlandırılan tek kişi olduğunu söylemek muhtemelen güvenlidir.

Bu nedenle GDPR'nin adını kişisel veri olarak kabul etmesi mantıklıdır, çünkü bu bilgi kendi bireysel kimliğini sıfırlamak için tek başına yeterlidir. Ancak bu, dosyadaki diğer bilgilerle birleştirilirse değişir. johnsmith@businessx.com e-posta adresi, bu şirket için çalışan yalnızca bir John Smith olduğunu gösterdiği için kişisel veri olarak kabul edilecektir.

Kişisel Veri sayılmayan herhangi bir şey var mı?

Çoğu durumda, ölen kişilerin verileri GDPR kapsamında kişisel veri olarak kabul edilmez. Gerekçe 26ayrıca anonim verilerin GDPR düzenlemeleri kapsamına girmediğini belirtir. Anonimleştirme, tüm kişisel tanımlayıcıları verilerden temizleme işlemidir. Kişileri tanımlamak için yeniden işlenebilen takma adlı veya şifreli verilerle karıştırılmamalıdır. Bununla birlikte, GDPR, veri sahipleri için ekstra bir güvenlik düzeyi sağladığından, kişisel verilerin takma adlara dönüştürülmesini aktif olarak teşvik eder. Bunun nedeni, takma adlı verilere yalnızca yetkili çalışanlar tarafından erişilebilmesi ve böylece verilerini şirketlere veren kişilerin gizlilik risklerini azaltmasıdır.

GDPR'ye Duyarlı Kişisel Veriler Hakkında Neler Var?

Hassas kişisel veriler – veya 9. Maddeninresmi dilinde “özel kategori verileri” – GDPR tarafından ekstra güvenlikle ele alınması gereken bir şey olarak vurgulanmıştır. İşte tüm hassas kişisel veri örnekleri:

  • Irk veya etnik köken
  • siyasi görüşler
  • Dini veya felsefi inançlar
  • sendika üyeliği
  • Sabıka kaydı
  • sınıflandırılmış veriler
  • Genetik veriler
  • Finansal Veri
  • Biyometrik veri
  • Sağlık verileri
  • Cinsel yaşam veya cinsel yönelim
  • İş veya iş bilgileri

Kişisel veriler ile hassas kişisel veriler arasındaki bu ayrım önemlidir. GDPR kapsamında, hassas veriler yalnızca aşağıdaki koşullardan bir veya daha fazlasını karşılaması halinde işlenebilir:

  • Kişi açık rıza vermişse veya verileri zaten kamuya açıklamışsa
  • Verilerin, fiziksel olarak rıza gösteremeyen veri sahiplerinin çıkarlarını korumak için gerekli olması durumunda
  • Veriler, yasa kapsamında istihdam, sosyal güvenlik veya sosyal koruma gerekliliklerini karşılamak için gerekliyse
  • Verilere, meşru faaliyetler yürütmek için kar amacı gütmeyen bir kuruluş tarafından ihtiyaç duyulursa
  • Sağlık veya tıpla ilgili olarak önemli ölçüde kamu yararı ile ilgili faaliyetler için verilere ihtiyaç duyulursa

Veri Hazırsınız

Umarım, artık dosyada hangi kişisel ve hassas verilere sahip olduğunuz konusunda daha iyi bir fikriniz vardır. Bu, verileri tanımlamaya ve sınıflandırmaya ve kişisel verileri saklama şeklinizin GDPR kapsamında AB internet kullanıcılarının haklarına saygı duymasını sağlamaya yönelik ilk adımdır. Bu hassas bilgilerin güvenliğini artırmak, talihsiz bir veri ihlali durumunda sizi daha iyi koruyacak ve şirketinizin veri koruma yetkililerinden alacağı cezaları azaltacaktır.

Kapsamlı kılavuzumuzda GDPR ve veri gizliliği hakkında daha fazlasını keşfedebilirsiniz.