Genel Veri Koruma Tüzüğü (“GDPR”)

TLDR:

Genel Veri Koruma Tüzüğü (GDPR), Mayıs 2018’den beri yürürlükte olan ve bireylere kişisel verileri üzerinde güçlü haklar veren ve kuruluşlara önemli yükümlülükler getiren Avrupa Birliği’nin kapsamlı gizlilik yasasıdır.

Temel GDPR Gereklilikleri

GDPR yükümlülükleri şunları içerir: işleme için yasal dayanak (onay, sözleşme, meşru çıkarlar vb.), gizlilik bildirimleri yoluyla şeffaflık, veri minimizasyonu, amaç sınırlaması, doğruluk, depolama sınırlaması, güvenlik, hesap verebilirlik, 72 saat içinde ihlal bildirimi, yüksek riskli işleme için Veri Koruma Etki Değerlendirmeleri ve bazı durumlarda Veri Koruma Görevlileri. Bireysel haklar erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itirazı içerir.

Ülke Dışı Erişim

GDPR, kuruluşun bulunduğu yere bakılmaksızın AB sakinlerinin verilerini işleyen herhangi bir kuruluş için geçerlidir; Avrupa müşterilerine hizmet veren ABD startup’ları dahil. AB dışı kontrolörler tipik olarak AB temsilcileri atamalıdır. İngiltere, Brexit sonrası paralel UK GDPR’ya sahiptir. Uluslararası veri transferleri, Privacy Shield’ı geçersiz kılan Schrems II kararının ardından artan incelemeyle karşı karşıyadır.

Cezalar ve Uygulama

GDPR cezaları küresel yıllık gelirin %4’üne veya 20 milyon Euro’ya kadar ulaşabilir, hangisi daha yüksekse. Büyük cezalar Amazon (746M €), Meta (transferler için 405M €+, 1.2 milyar €), Google (birden fazla 100M €+ ceza) ve daha birçoklarına çarpmıştır. Ulusal Veri Koruma Otoriteleri şikayetleri araştırır ve denetimler yürütür. Sınıf davalar ve bireysel iddialar düzenleyici eylemin üzerine özel uygulama ekler.

Referanslar

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
• Kişisel Verileri Koruma Kurumu (KVKK)
• KVK Kurulu Kararları
• EU GDPR (Regülasyon 2016/679) — EUR-Lex
• 5549 sayılı MASAK Kanunu

Kapsam, ilkeler ve yanlış yapmanın bedeli

GDPR, AB’nin veri koruma tüzüğüdür ve erişimi bilinçli olarak geniştir: yalnızca AB’deki kuruluşlara değil, AB’deki kişilere mal veya hizmet sunan ya da onları izleyen AB dışındaki kuruluşlara da uygulanır. İlkeler üzerine kuruludur — hukuka uygunluk, dürüstlük ve şeffaflık, amaçla sınırlılık, veri minimizasyonu, doğruluk, saklama sınırı, bütünlük ve hesap verebilirlik — ve her işleme faaliyeti için bir hukuki sebep gerektirir. İlgili kişi haklarını, ihlal bildirimini, tasarımdan itibaren veri korumayı ve birçok kuruluş için bir Veri Koruma Görevlisini zorunlu kılar. Yaptırım gücü ciddidir: cezalar 20 milyon avro ile küresel yıllık cironun %4’ünden hangisi yüksekse ona ulaşabilir. Türk şirketleri için GDPR, AB müşterilerini hedefledikleri her durumda — KVKK yükümlülüklerinin yerine değil, yanı sıra — önem taşır.