GDPR

Gdpr Nedir?

GDPR, Avrupa Birliği’nde (AB) kişisel verilerin korunması ve bu verilerin işlenmesi ile ilgili bir düzenlemedir. GDPR, “Genel Veri Koruma Yönetmeliği”nin kısaltmasıdır ve 25 Mayıs 2018’de yürürlüğe girmiştir. Bu yönetmelik, AB vatandaşlarının kişisel verilerinin nasıl toplandığını, saklandığını, işlendiğini ve korunduğunu düzenlemektedir. Temel amacı, bireylerin kişisel verilerinin daha iyi korunmasını sağlamak ve bu verilerin işlenmesiyle ilgili şeffaflığı artırmaktadır. Yönetmelik, veri işleyenlerin (örnek vermek gerekirse şirketler, kurul ve kuruluşların) bu verilere nasıl erişebileceğini, kullanabileceğini ve saklayabileceğini düzenleyen katı kurallar getirir. Ayrıca, kişisel datalara erişim, düzeltme, silme ve taşıma gibi bireylerin haklarını güçlendirir.

GDPR‘ın uygulanması, şirketlerin ve kuruluşların veri güvenliğine daha fazla yatırım yapmalarını ve kişisel verileri işlerken daha dikkatli olmalarını gerektirir. Bu yönetmelik, AB içinde ve AB dışındaki şirketlerin AB vatandaşlarının verilerini işlemesi durumunda geçerlidir, bu da dünya genelinde birçok kuruluşu etkiler. AB vatandaşlarının kişisel verilerinin korunmasını ve veri işleyenlerin bu verileri nasıl kullandığını düzenleyen önemli bir düzenlemedir. Bu yönetmelik, dijital çağda gizlilik ve veri güvenliği konularında daha fazla farkındalık yaratırken, şirketlere ve kuruluşlara daha fazla sorumluluk yükler.

GDPR Kapsamı Nedir?

GDPR, bireylerin kişisel verilerinin işlenmesi ve bu verilere erişim haklarını güçlendirmeyi amaçlar. GDPR, kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılması için belirli şartlar ve koşullar belirler. GDPR kapsamında kişisel veri, belirli veya belirlenebilir bir kişiye ilişkin herhangi bir bilgiyi ifade eder. Bu bilgiler, isim, adres, e-posta adresi, fotoğraf, banka bilgileri, sosyal medya gönderileri, sağlık bilgileri, IP adresleri gibi geniş bir yelpazede olabilir.

GDPR’ın temel prensipleri arasında veri toplama ve işleme için açık onay alınması, toplanan verilerin sınırlı ve belirli amaçlar için kullanılması, veri güvenliği önlemlerinin alınması, veri sahiplerinin haklarının korunması gibi konular bulunur. Bu yönetmelik, AB içindeki tüm üye devletlerde doğrudan uygulanır ve AB dışındaki şirketlerin AB’deki kişisel verileri işlerken GDPR hükümlerine uymalarını gerektirir.

GDPR kapsamı aşağıdaki ana unsurları içerir:

1. Kişisel Verilerin Tanımı: GDPR, doğrudan veya dolaylı olarak bir kişiyi tanımlayabilen her türlü bilgiyi kişisel veri olarak tanımlar. Bu, isimler, fotoğraflar, e-posta adresleri, IP adresleri, sağlık bilgileri, banka bilgileri ve daha fazlasını içerir.
2. Veri İşleyenlerin Sorumlulukları: GDPR, veri işleyenlerin (veri kontrol eden kişi ya da kuruluşlar) kişisel verileri yasal ve adil bir şekilde işlemelerini sağlar. Bu, verileri toplarken açık rıza almayı, sınırlı ve belirli bir amaç için toplamayı, güvenli bir şekilde saklamayı ve işlemeyi içerir.
3. Veri Sahiplerinin Hakları: GDPR, veri sahiplerine (AB vatandaşlarına) çeşitli haklar tanır. Bu haklar arasında bilgi erişimi, düzeltme, silme, işlemeye itiraz, veri taşınabilirliği ve profil oluşturma ile ilgili kararlar yer alır.
4. İzin: GDPR, kişisel verilerin işlenmesi için açık ve net bir şekilde belirtilmiş rıza gerektirir. Bu rıza, serbest, bilgilendirilmiş, belirli, açık ve isteğe bağlı olmalıdır.
5. Veri İhlalleri Bildirimi: GDPR, veri ihlallerini tanımlar ve bildirilmesi gereken ihlallerin süresini belirler. İhlaller, veri güvenliği ihlalleri, veri kaybı veya yetkisiz veri erişimi gibi herhangi bir güvenlik olayını içerebilir.
6. Küresel Uygulanabilirlik: GDPR, AB içindeki ve dışındaki tüm şirketler ve kuruluşlar için geçerlidir. AB dışındaki şirketler, AB vatandaşlarının verilerini işlerken GDPR gerekliliklerini yerine getirmek zorundadır.

GDPR Kapsamında Yaptırımlar Nelerdir?

GDPR’ın ihlal edilmesi durumunda çeşitli yaptırımlar ve cezalar bulunmaktadır. İhlallerin ciddiyetine ve ihlal edilen GDPR maddesine bağlı olarak bu yaptırımlar değişebilir. İşte GDPR ihlalleri için öngörülen bazı yaptırımlar:

1. Para Cezaları: GDPR’ın ihlal edilmesi durumunda, AB’nin veri koruma otoriteleri (genellikle “Veri Koruma Otoritesi” olarak bilinir) tarafından para cezaları uygulanabilir. Para cezaları, ihlalin ciddiyetine ve işlenen veri ihlaline göre değişiklik gösterebilir. Cezalar genellikle şirketlerin yıllık küresel gelirlerinin belirli bir yüzdesi veya belirli bir miktarda sabit bir para cezası şeklinde uygulanabilir.
2. Uyarı ve Uyarı Verme: Veri Koruma Otoriteleri, ihlal eden şirkete yazılı bir uyarı verebilir. Bu uyarı, şirketi ihlali düzeltmeye veya gelecekte benzer ihlalleri önlemeye çağırır.
3. Veri İşleme Kısıtlamaları: Veri Koruma Otoriteleri, ihlal eden şirketin belirli bir süre boyunca belirli veri işleme faaliyetlerini kısıtlamasını talep edebilir.
4. Geçici veya Sürekli Veri İşleme Yasakları: Veri Koruma Otoriteleri, ağır ihlallerde veya kişisel verilere zarar veren durumlarda geçici veya sürekli olarak belirli veri işleme faaliyetlerini yasaklayabilir.
5. İhlal Bildirimi Zorunluluğu: GDPR, ciddi bir veri ihlali durumunda, ilgili yetkililere (örneğin, veri sahiplerine veya Veri Koruma Otoriteleri’ne) ihlali bildirme zorunluluğunu getirir. İhlal bildirimi yapılmaması da ayrıca cezalandırılabilir.
6. İş İşleyişinin Durdurulması: Çok ciddi ihlallerde, Veri Koruma Otoriteleri şirketin faaliyetlerini geçici olarak durdurabilir.

Bu yaptırımlar, GDPR’nin ciddiyetini vurgulamak ve şirketleri kişisel verilerin korunması konusunda daha dikkatli olmaya teşvik etmek için uygulanır. GDPR kapsamında uygulanabilecek para cezaları, ihlalin ciddiyetine, ihlal edilen GDPR maddesine ve ihlalin türüne bağlı olarak değişebilir. GDPR’nin 83. maddesi, veri koruma kurallarını ihlal eden kuruluşlara uygulanacak idari para cezalarını düzenler. Bu maddeye göre, idari para cezaları şirketin küresel gelirinin belirli bir yüzdesi veya sabit bir miktar olabilir.

İdari para cezaları, ihlalin türüne göre iki farklı düzeyde uygulanabilir:

1. En yüksek seviye: İhlal, kişisel verilerin temel prensiplerine (şeffaflık, adil işleme, amaç sınırlılığı, veri azaltımı, doğruluk, sınırlama, bütünlük ve gizlilik) aykırı olarak gerçekleşmişse veya AB Veri Koruma Kurulu tarafından belirlenen diğer özel şartlar ihlal edilmişse, idari para cezası maksimum %4 oranında veya 20 milyon Euro (ABD doları veya yerel para birimine dönüştürülebilir) kadar olabilir. Bu tutar, ihlalin türüne ve şirketin küresel gelirine göre belirlenir; hangisi daha yüksekse uygulanır.
2. Daha düşük seviye: İhlal, temel prensiplere uyulmamasına rağmen, maksimum %2 oranında veya 10 milyon Euro (ABD doları veya yerel para birimine dönüştürülebilir) kadar bir idari para cezası uygulanabilir.

Bu para cezaları, AB Veri Koruma Kurulu tarafından belirlenen çeşitli faktörlere dayanarak belirlenir ve yetkili veri koruma otoritesi tarafından ihlalin tespit edilmesini takiben şirketin iş birliğine, ihlalin süresine, ihlalin kapsamına ve şirketin önceki ihlal geçmişine göre belirlenir.

Hazırlayan-Yazan: Hayrunnisa ORMAN

https://www.nesilteknoloji.com/