Skip to main content

GDPR

TL; doktor

Genel Veri Koruma Yönetmeliği (GDPR), dünyadaki en katı gizlilik ve güvenlik yasalarından biridir. Avrupa Birliği tarafından hazırlanmış ve onaylanmış olmasına rağmen, yönetmelik, AB'deki insanları hedefledikleri veya onlar hakkında veri topladıkları sürece, nerede faaliyet gösterirlersegöstersinler kuruluşlara yükümlülükler getirmektedir. Yönetmelik 25 Mayıs 2018tarihinde yürürlüğe girdi. GDPR, gizlilik ve güvenlik standartlarını ihlal edenleri on milyonlarca avroya varan yaptırımlarla cezalandırıyor.

GDPR nedir?

GDPR (Genel Veri Koruma Yönetmeliği), AB ve AEA'daki Avrupa Birliği veri koruma ve gizlilik mevzuatına ve kişisel verilerin AB ve AEA dışına aktarılmasına yönelik bir yasadır. GDPR'nin temel amacı, bireylere kişisel verileri üzerinde kontrol sağlamakve Avrupa Birliği'ndeki gizlilik yasalarını birleştirerek uluslararası ilişkiler için düzenleyici ortamı basitleştirmektir. Düzenleme zorunludurve kişisel verileri elinde bulunduran veya işleyen tüm kuruluşlar uymak zorundadır.

Kurallar 25 Mayıs 2018'de yürürlüğe girdi ve 2018 Veri Koruma Yasası'na yansıtıldı. Yönetmelik hem “operatörler” hem de “veri işlemciler” için geçerlidir ve birleştirilmiş eski kuralların yanı sıra veri sahipleri için bir dizi yeni hakkı kapsar.

Kişisel veri nedir?

Kişisel veriler, kimliği doğrudan veya dolaylı olarak belirlenebilen bir kişiye atıfta bulunan ve aşağıdaki niteliklere sahip verilerdir:

  • elektronik olarak işlenmiş;
  • arşivlerde saklanan;
  • erişilebilir bir bilgi setinin parçası, örneğin eğitim bilgileri;
  • bir kamu otoritesi tarafından tutulan;
  • mutlaka kişiye özel değil, ancak kimliklerinin belirlenmesine yol açan;
  • Örnekler: ad, e-posta adresleri, konum, din, etnik köken, cinsiyet, web çerezlerinde saklanan veriler, IP'ler, siyasi görüşler, biyometrik veriler vb.

GDPR ilkeleri

Kişisel veriler adil, yasal ve şeffaf bir şekilde işlenmelidir.

  • Veriler, tanımlanmış ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayacak şekilde daha fazla işlenmemelidir.
  • Veriler aşırı olmamalı, yalnızca kesinlikle gerekli olduğu kadar veri işlemelidir.
  • Veriler doğru olmalı ve gerekirse güncellenmelidir.
  • Veriler gerekenden daha uzun süre saklanmamalıdır.
  • Veriler güvenli tutulmalıdır.
  • Yöneticiler, topladıkları kişisel verilerin türünden ve bunları nasıl kullandıklarından sorumludur. Çalışanlar, kişisel verileri kuruluşun prosedürleri dışında açıklamamalı veya başkaları tarafından tutulan kişisel verileri kendi amaçları için kullanmamalıdır.

GDPR kimler için geçerlidir?

GDPR, AB'de faaliyet gösteren tüm kuruluşların yanı sıra AB müşterileri veya işletmelerine mal veya hizmet sağlayan AB dışı tüm kuruluşlar için geçerlidir. Bu, doğrudan, kendi amaçları için veya dolaylı olarak üçüncü taraf uygulamaları ve araçları (örn. Google Analytics) için ziyaretçileri hakkında veri toplayan tüm web sitelerini içerir.

Bir telefonda kayıtlı bir aile üyesinin telefon numarası gibi başka bir kişi hakkında kişisel düzeyde verilere sahip olan bir kişinin, bu veriler için GDPR'yi dikkate alması gerekmeyecektir.