TLDR:
Genel Veri Koruma Tüzüğü (GDPR), Mayıs 2018’den beri yürürlükte olan ve bireylere kişisel verileri üzerinde güçlü haklar veren ve kuruluşlara önemli yükümlülükler getiren Avrupa Birliği’nin kapsamlı gizlilik yasasıdır.
Temel GDPR Gereklilikleri
GDPR yükümlülükleri şunları içerir: işleme için yasal dayanak (onay, sözleşme, meşru çıkarlar vb.), gizlilik bildirimleri yoluyla şeffaflık, veri minimizasyonu, amaç sınırlaması, doğruluk, depolama sınırlaması, güvenlik, hesap verebilirlik, 72 saat içinde ihlal bildirimi, yüksek riskli işleme için Veri Koruma Etki Değerlendirmeleri ve bazı durumlarda Veri Koruma Görevlileri. Bireysel haklar erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itirazı içerir.
Ülke Dışı Erişim
GDPR, kuruluşun bulunduğu yere bakılmaksızın AB sakinlerinin verilerini işleyen herhangi bir kuruluş için geçerlidir; Avrupa müşterilerine hizmet veren ABD startup’ları dahil. AB dışı kontrolörler tipik olarak AB temsilcileri atamalıdır. İngiltere, Brexit sonrası paralel UK GDPR’ya sahiptir. Uluslararası veri transferleri, Privacy Shield’ı geçersiz kılan Schrems II kararının ardından artan incelemeyle karşı karşıyadır.
Cezalar ve Uygulama
GDPR cezaları küresel yıllık gelirin %4’üne veya 20 milyon Euro’ya kadar ulaşabilir, hangisi daha yüksekse. Büyük cezalar Amazon (746M €), Meta (transferler için 405M €+, 1.2 milyar €), Google (birden fazla 100M €+ ceza) ve daha birçoklarına çarpmıştır. Ulusal Veri Koruma Otoriteleri şikayetleri araştırır ve denetimler yürütür. Sınıf davalar ve bireysel iddialar düzenleyici eylemin üzerine özel uygulama ekler.