11 Madde de Avrupa GDPR Tüzüğü

1. GDPR Kapsamı

GDPR Düzenlemesi; verileri işleyen kuruluş AB sınırları içerisinde işliyorsa veya ilgili kişi AB vatandaşıysa/ikamet ediyorsa geçerli kabul edilir. Avrupa Komisyonu’na göre bir verinin kişisel veri olarak adlanması için verinin ilgili kişinin hayatından herhangi bir parça taşıması yeterli. Örneğin mesleği, ırkı, cinsel yönelimi, adı ve soyadı, dini inancı, IP adresi…

2. Tekli Kural Seti ve Tek Yetkili Mercii

Tüzüğün belirlediği kurallar çerçevesine göre AB üyesi tüm ülkelerde tek bir kural seti uygun görülmüştür. AB üyesi ülkeler; şikayetlerin iletilmesi ve soruşturulması, cezalandırma yetkisi gibi şeyler için bağımsız bir SA kurması zorunludur. Tüm SA’lar birbirleriyle iş birliği halinde olmalıdır. Birden fazla ülkede kuruluşu bulunan işletmeler ana merkezin olduğu SA’ya bağlı olur. Böylece bağlı olduğu SA onun Baş Otorite’si haline gelir. Baş Otorite, işletmenin AB içindeki tüm veri faaliyetlerini denetler. Bunun için “Tek Yetkili Mercii” (GDPR 46-55. maddeleri) unvanı ile faaliyet gösterir.

3. Sorumluluklar ve Yükümlülükler

Veri Sorumluları, hangi verilerini ne kadar süre ve ne için sakladıklarını/işlediklerini ilgili kişiye bildirmekle yükümlüdür.

İlgili kişi; GDPR ile birlikte kendisini etkileyen, algoritmik temellere dayanan kararları sorgulama hakkına sahiptir. Ayrıca isterlerse bu kararlarla hukuki süreç başlatabilir.

Veri Sorumluları; GDPR kuralları çerçevesinde “standart gizlilik ve mahremiyete göre tasarım” ilkelerine göre önlem alması gerekir. Bu ilke veri koruma önlemlerinden, ürün ve hizmet için iş sürecinin geliştirilmesi esnasında hazırlanması gerekir. Bu yüzden kişisel verileri bulanıklaştırma (takma ad/rumuz) gibi önlemler veri sorumlusu tarafından olabildiğince çabuk sürece eklemesi gerekir.

Önlemlerin uygulanması ve veri işleme faaliyetleriyle Veri İşleyen ilgilense de sorumlu olan Veri Sorumlusudur. Bu yüzden Veri Sorumlusu, düzenli olarak Veri İşleyeni denetlemesi gerekir.

İlgili kişinin hak ve özgürlükleriyle ilgili bir risk oluşması halinde DPIA yapılmalıdır. Eğer risk “yüksek risk” olarak adlandırılıyorsa DPA’den ön onay alarak riskin değerlendirmeye ve azaltımı için çalışmaya başlatılır. DPO; bu süreçte yetkilileri denetleyerek bir sorun oluşumunu engeller.

DPO atanmasının gerekli olduğu durumlar:

• Kamu Otoritesi’nin bulunması
• Veri Sorumlusu’nun veya Veri İşleyen’in temel faaliyetleri ağadaki gibi olursa:
  • Mecburi olarak ilgili kişinin düzenli bir şekilde izlenmesi gerektiğinde.
  • Hassas veri kategorisine giren kişisel verilerin büyük bir kısmının işlenmesi veya mahkumiyet kararları ve cezai işlemli kişisel verilerin işlenmesi.

4. Rıza

Veri Sorumlusunun, ilgili kişinin verilerini toplamak ve işlemek için ilgili kişiden açık rıza alması gerekir. Açık rızayı alırken de açık ve net olmak zorundadır. Reşit olmayan bireylerin rızaları, ebeveyn veya yasal vasisi tarafından verilir. Veri sorumluları, rızayı daha sonradan kanıtlayabilmelidir. Ayrıca rıza daha sonradan ilgili kişinin isteği ile geri çekilebilir.

5. Veri Koruma Görevlisi (DPO)

Mahkemeler ya da adli yetkilerle hareket eden bağımsız yargı otoriteleri hariç olmak üzere; kamu otoritesi tarafından veri işlenmesi dahilinde DPO atanmalıdır. Özel sektörlerde, ilgili kişinin düzenli verisinin işlenmesi durumunda işlemle ilgilenen veri sorumlusu bulunmalıdır. Bu veri sorumlusuna, kanun ve uygulamaları konusunda uzman bilgisi olan biri tarafından denetimle desteklenmelidir.

6. Bulanıklaştırma

GDPR, bulanıklaştırmayı; veriyle ilgili kişinin doğrudan bağlantı kurulmaması için yürütülen bir süreç olarak tanımlar. Böylece ilgili kişinin verileri tehlike altındayken ilgili kişiye ulaşılamayacağı için sıkıntı yaşanmasını önler.

Kişisel veri, yeterince iç politika ve önlemlerle bulanıklaştırılması gerekir. Bu şekilde etkin olarak veri anonimleştirilir.

7. İhlaller

Veri sorumlusu, gecikme olmaksızın bağlı olduğu SA’e bilgi vermek zorundadır. Veri ihlali rapor haline getirilmeli ve 72 saat içerisinde Denetleme Kurumuna bildirilmeli. Bir sorun teşkil etmesi ihtimalinde ilgili kişilerin bilgilendirilmesi yasal zorunluluktur. Ayrıca Veri İşleyen, veri ihlalini fark ettiği anda veri sorumlusunu bilgilendirmekle yükümlüdür.

Bulanıklaştırılmış verilerin ihlalle karşı karşıya kalması halinde ilgili kişilere bilgi verilmesi zorunlu değildir.

8.Yaptırımlar

• İlk ve Kasıtsız Uygunsuzluk da yazılı uyarı
• Düzenli periyodik veri koruma denetimleri
• 10.000.000 EUR veya bir önceki mali yıla ait yıllık dünya cirosunun %2’sine kadar olan ceza. Hangisi daha büyük miktar ise
• Önceki mali yılın yıllık dünya çapında konsolide cirosunun %20’sine veya 20.000.000 EUR’ya kadar bir para cezası

9. Silinme Hakkı

Unutulma hakkı, kişinin isteği üzerine internet ortamından kendisine dair fotoğraf, bilgi ve belgelerin kaldırılması hakkıdır. 2014 Mart ayında GDPR’nin yürürlüğe girmesiyle birlikte Unutulma Hakkı, sınırlandırılarak Silinme Hakkı’na çevrilmiştir.

10. Veri Taşınabilirliği

İlgili kişi, kişisel verilerini isteğine göre bir elektronik işleme sisteminden başka bir elektronik işleme sistemine aktarabilir. Veri sorumlusunun bu duruma karışma hakkı yoktur. Ayrıca veri sorumlusu, kişisel verileri Açık Standart olarak bilinen elektronik formatta saklanmalıdır.

11. Mahremiyete Göre Tasarım ve Standart Gizlilik

Mahremiyete Göre Tasarım ve Standart Gizlilik; ürün ve hizmetler için veri korumasının, iş süreçlerinin geliştirilmesi safhasında tasarlanmasını gerektirir. Bu mahremiyet ayarları yüksek seviyede düzenlenmesi gerekir. Veri sorumlusu, bütün veri işleme döngüsü boyunca GDPR kurallarına uygun olarak işlendiğinden emin olmalıdır. Emin olmak için teknik ve prosedürel önlemleri dikkate alması gerekir.

GDPR resmî sayfasını ziyaret etmek için tıklayın.

GDPR Tüzüğünün Türkiye versiyonu KVKK kanunun kurum sayfasını ziyaret etmek için tıklayın.

KVKK veya GDPR uyum sürecinizi başlatmak için tıklayın.

İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş