Soru - Cevap

AB’nin Veri Koruma Kanunu Olan GDPR Nedir?

Yazan: Ben Wolford

Çeviren: Ümit Sözbilir

Düzenleyen: Esranur Maral

Özet: GDPR nedir? Avrupa’nın Veri Gizliliği ve Güvenliği Yasası, dünya çapındaki kuruluşlar için yüzlerce sayfalık yeni gereksinimler içermektedir. GDPR’ye yapılacak bu genel bakış, yasayı anlamanıza ve sizin için hangi bölümlerinin geçerli olduğunu belirlemenize yardımcı olacaktır.

Genel Veri Koruma Tüzüğü (GDPR, General Data Protection Regulation), dünyadaki en katı gizlilik ve güvenlik yasasıdır. Avrupa Birliği (AB) tarafından tasarlanıp kabul edilmesine rağmen AB’deki insanları hedefledikleri veya bunlarla ilgili verileri topladıkları sürece, herhangi bir yerdeki kuruluşlara yükümlülükler yükler. Tüzük 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. GDPR, gizlilik ve güvenlik standartlarını ihlal edenlere ağır para cezaları uygulayacak ve cezalar on milyonlarca avroyu bulacak.

GDPR ile Avrupa, daha fazla insanın kişisel verilerini bulut hizmetlerine emanet ettiği ve ihlallerin günlük bir olay olduğu bir zamanda veri gizliliği ve güvenliği konusundaki sağlam duruşunun sinyallerini veriyor. Tüzüğün kendisi büyük, geniş kapsamlı ve detayları oldukça hafiftir, bu da GDPR uyumluluğunu özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler) için ürkütücü bir olasılık hâline getirir.

Bu yazı ve bağlantılı olan internet sitesi, KOBİ sahipleri ve yöneticilerinin karşılaşabilecekleri belirli zorlukları ele almaları amacıyla bir kaynak olarak oluşturuldu. Hukuki tavsiyenin yerini almasa da GDPR uyum süreçlerinde nelere odaklanacağınızı anlamanıza yardımcı olabilir. Ayrıca gizlilik araçları ve risklerin nasıl azaltılacağı hakkında ipuçları da sunuyoruz. GDPR yorumlanmaya devam ederken sizi gelişen en iyi uygulamalar konusunda güncel tutacağız.

Bu sayfayı bulduysanız -“GDPR nedir?”- büyük ihtimalle hızlandırılmış bir kurs arıyorsunuz. Belki de belgenin kendisini henüz bulmadınız (Belgenin tam hâli için tıklayınız.). Belki hepsini okumak için zamanınız yoktur. İşte bu yazı tam da size göre. Bu makalede, GDPR’nin gizemini çözmeye çalışıyoruz ve umuyoruz ki GDPR uyumluluğu konusunda endişeli KOBİ’ler için bunu daha az ezici hâle getiriyoruz.

GDPR’nin Tarihi

Özel hayatın gizliliği hakkı, “Herkesin özel hayatına ve aile hayatına, konutuna ve yazışmalarına saygı gösterilmesi hakkına sahiptir.” diyen 1953 yürürlük tarihli Avrupa İnsan Hakları Sözleşmesi’nin bir parçasıdır. AB bu düşünceyi ilke edinerek söz konusu hakkın korunmasını yasalarla sağlamaya çalışmıştır.

Teknoloji ilerledikçe ve internet icat edilince AB modern korumalara olan ihtiyacı kabullendi. Bu nedenle 1995 yılında, her üye devletin kendi uygulama yasasını dayandırdığı veri gizliliği ve güvenliği standartlarını belirleyen AB Veri Koruma Direktifi’ne geçti. Ancak internet, şimdiden Hoover’ın bugünkü verilerine dönüşüyordu. 1994 yılında, ilk banner reklam çevrim içi olarak yayımlandı. 2000 yılında, finans kuruluşlarının çoğu çevrim içi bankacılık hizmeti sundu. 2006 yılında Facebook halka açıldı. 2011’de bir Google kullanıcısı, e-postalarını taramak için şirkete dava açtı. Bundan iki ay sonra da Avrupa Veri Koruma Otoritesi, AB’nin “kişisel verilerin korunmasına ilişkin kapsamlı bir yaklaşıma” ihtiyacı olduğunu ilan etti ve 1995 direktifini güncellemek için çalışmalar başladı.

GDPR, Avrupa Parlamentosu’nu geçtikten sonra 2016 yılında yürürlüğe girdi. 25 Mayıs 2018 itibarıyla tüm kuruluşların buna uyumlu olması zorunlu hâle geldi.

Kapsam, Cezalar ve Temel Tanımlar

Öncelikle, AB vatandaşlarının veya sakinlerinin kişisel verilerini işliyorsanız veya bu tür kişilere ürün veya hizmet sunuyorsanız GDPR, AB’de yerleşik olmasanız bile sizin için geçerlidir. Bu konuyla ilgili yazıyı okumak için tıklayınız.

İkincisi, GDPR’yi ihlal etmenin cezaları çok yüksektir. Rıza koşullarının ihmali ve veri öznesinin haklarının ihlali durumunda 20 milyon avro’ya kadar para cezası veya şirketin küresel gelirin %4’üne karşılık gelen para cezasından (hangisi daha yüksekse) ona hükmedilmesi şeklinde iki ceza kademesi vardır. Ayrıca kişinin kişisel verilerinden doğacağı zararlar için tazminat talep etme hakkı da vardır. Cezalarla ilgili daha fazla bilgiye buradan ulaşabilirsiniz.

GDPR, bir dizi hukuki terimi uzun uzun tanımlar. Aşağıda bu makalede bahsettiğimiz en önemli şeylerden bazıları verilmiştir:

Kişisel Veri: Kişisel veri, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir. İsimler ve e-posta adresleri kişisel verilerdendir. Konum bilgisi, etnik köken, cinsiyet, biyometrik veriler, dini inanç, web çerezleri ve siyasi görüşler de kişisel veriler kapsamındadır. Sahte veriler, birisinin kimliğini tespit etmek görece kolaysa bu yine tanımın kapsamına girebilir.

Veri İşleme: Veriler üzerinde otomatik veya elle gerçekleştirilen herhangi bir eyleme denir. Metinde belirtilen örnekler arasında veriyi toplama, kaydetme, düzenleme, yapılandırma, depolama, kullanma, silme vs. yani temelde her şey var.

Veri Öznesi: Kişisel verisi işlenen gerçek kişiyi ifade eder. Bunlar müşterileriniz veya site ziyaretçileriniz olabilir.

Veri Denetçisi: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kuruluşunuzda verileri işleyen bir sahip veya çalışansanız bu siz kişi siz oluyorsunuz.

Veri İşleyen: Veri denetçisinin verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. GDPR’nin bu kişiler ve kuruluşlar için özel kuralları vardır. Tresorit gibi bulut sunucularını veya ProtonMail gibi e-posta servis sağlayıcılarını içerebilirler.

Peki GDPR Ne Diyor?

Bu makalenin geri kalanında, GDPR’nin tüm önemli düzenleme noktalarını kısaca açıklayacağız.

Veri Koruma İlkeleri

Verileri işlerseniz bunu madde 5/1 ve madde 5/2’de belirtilen yedi koruma ve hesap verebilirlik ilkesine göre yapmanız gerekir:

  1. Hukuka uygunluk, adalet ve şeffaflık: İşleme faaliyeti yasal, adil ve veri öznesi için şeffaf olmalıdır.
  2. Amacın belirli, açık ve meşru amaçlara yönelik olması: Verileri topladığınız zaman bu verileri hangi amaçlarla işleyeceğinizi verinin öznesine belirtmelisiniz.
  3. Veri minimizasyonu: Yalnızca belirtilen amaçlar için kesinlikle gerekli olduğu kadar veri toplamalı ve işlemelisiniz.
  4. Doğru ve gerektiğinde güncel tutulması: Kişisel verileri doğru ve güncel tutmalısınız.
  5. Verilerin amaç için gereken süre kadar muhafaza edilmesi: Kişisel olarak tanımlayıcı verileri yalnızca belirtilen amaç için gerekli olduğu sürece saklayabilirsiniz.
  6. Bütünlük ve gizlilik: Verileri işleme, uygun güvenlik, bütünlük ve gizliliği sağlayacak şekilde yapılmalıdır (örneğin şifreleme kullanılarak).
  7. Hesap verebilirlik: Veri denetleyicisi, GDPR’nin tüm bu ilkelere uygunluğunu gösterebilmekten sorumludur.

Hesap Verebilirlik

GDPR, veri denetleyicilerinin GDPR uyumlu olduklarını gösterebilmeleri gerektiğini söylüyor ve bu durum, olan şeyin ardından yapabileceğiniz bir şey değil: GDPR ile uyumlu olduğunuzu düşünüyor ancak bunu somut olarak ortaya koyamıyorsanız GDPR’ye uyumlu değilsiniz demektir. Uyumlu olmak için yapmanız gereken şeyler:

  • Ekibinizin veri koruma sorumluluklarını belirleyin.
  • Topladığınız verilerin; nasıl kullanıldığı, nerede depolandığı, bunlardan hangi çalışanın sorumlu olduğu gibi bilgilerle ilgili ayrıntılı belgeyi muhafaza edin.
  • Çalışanlarınızı eğitin ve teknik, idari güvenlik tedbirlerini uygulayın.
  • Verileri sizin için işlemek üzere sözleşme yaptığınız üçüncü taraflarla Veri Gizlilik Sözleşmelerini yürütün.
  • Bir Veri Koruma Görevlisi atayın (tüm kuruluşların buna ihtiyacı olmasa da yapmaları gerekir).

Veri Güvenliği

Uygun teknik ve idari tedbirleri” uygulayarak verileri güvenli bir şekilde işlemeniz gerekir.

Teknik önlemler, çalışanlarınızın kişisel verilerin depolandığı hesaplarda iki faktörlü kimlik doğrulamasını kullanmasını istemekten uçtan uca şifreleme kullanan bulut sağlayıcılarla sözleşme yapmaya kadar her şey anlamına gelir.

İdari tedbirler; çalışan eğitimleri, çalışanlar için olan el kitabınıza bir veri gizliliği politikası eklemek veya kişisel verilere erişimi yalnızca organizasyonunuzdaki ihtiyaç duyan çalışanlarla sınırlamak gibi birtakım tedbirlerdir.

Bir veri ihlaliniz varsa veri öznesine bildirmek veya cezalarla karşılaşmak için 72 saatiniz vardır. (Verileri bir saldırgan için yararsız hâle getirmek için şifreleme gibi teknolojik güvenlik tedbirleri kullanırsanız bu bildirim gerekliliğinden feragat edilebilir.)

Tasarım ve Varsayılan Olarak Veri Korunması

Şu andan itibaren, kuruluşunuzda yaptığınız her şey “tasarım ve varsayılan olarak” veri korumayı dikkate almalıdır. Pratik olarak bu, herhangi bir yeni ürün veya faaliyetin tasarımında veri koruma ilkelerini dikkate almanız gerektiği anlamına gelir. GDPR madde 25’te bu ilkelerden bahsedilmektedir.

Örneğin, şirketiniz için yeni bir uygulama başlattığınızı varsayalım. Uygulamanın kullanıcılardan toplayabileceği kişisel verileri düşünmeniz, ardından veri miktarını en aza indirmenin yollarını ve bunları en son teknolojiyle nasıl koruyacağınızı düşünmeniz gerekir.


Verileri İşlemenize İzin Verildiğinde

GDPR’nin 6.maddesi, kişi verileri işlemenin yasal olduğu durumları listeler. Aşağıdakilerden biriyle gerekçelendiremediğiniz sürece, birisinin kişisel verilerine dokunmayı aklınızdan bile geçirmeyin yani bu verileri toplamayın, saklamayın, reklam verenlere satmayın:

  1. Veri öznesi, verileri işlemek için size kesin ve net bir rıza vermiştir (Örneğin, açık rıza vererek pazarlama e-posta listenize dâhil olmuşlardır.).
  2. Veri öznesiyle taraf olduğunuz bir sözleşmeyi yürütmek veya yapmaya hazırlanmak için veri işleme gereklidir. (Örneğin olası bir kiracıya mülk kiralamadan önce geçmiş kontrolü yapmanız gerekir.)
  3. Yasal bir yükümlülüğünüze uymak için verileri işlemeniz gerekir. (Örneğin, yargı alanınızdaki mahkemeden bir emir almışsınızdır.)
  4. Birinin hayatını kurtarmak için verileri işlemeniz gerekir. (Bunun ne zaman geçerli olduğunu muhtemelen anlayacaksınız.)
  5. Kamu yararına bir görevi yerine getirmek veya bazı resmi görevleri yerine getirmek için veri işlemeniz gerekebilir. (Örneğin, özel bir çöp toplama şirketisinizdir.)
  6. Birinin kişisel verilerini işlemek için meşru menfaatiniz var. Bu en esnek yasal dayanaktır ancak “veri öznesinin temel hakları ve özgürlükleri” her zaman çıkarlarınızı -özellikle de bir çocuğun verileri ise- geçersiz kılar. (Burada bir örnek vermek zordur çünkü davanız için göz önünde bulundurmanız gereken çeşitli etmenler vardır. Birleşik Krallık Bilgi Komiserliği Ofisi bununla ilgili yararlı rehberlik sağlar. İlgili rehbere ulaşmak için tıklayınız.

Veri işlemeniz için yasal dayanağı belirledikten sonra bu temeli belgelemeniz ve veri öznesini bilgilendirmeniz gerekir (şeffaflık!). Daha sonra gerekçenizi değiştirmeye karar verirseniz iyi bir nedene sahip olmanız, bu nedeni belgelemeniz ve veri öznesini bilgilendirmeniz gerekir.

Açık Rıza Mevcut Olmalı

Bir veri öznesinin verilerini işlemek için verdiği açık rızanın neleri kapsadığına dair katı yeni kurallar vardır.

  • Açık rıza “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı” karşılamaktadır. Beyan veya açık bir şekilde onaylayıcı eylem şeklinde muğlak olmayan irade göstergesi gerekmektedir.
  • Açık rıza talepleri “diğer konulardan açıkça ayırt edilebilir” olmalı ve “açık ve sade bir dille” sunulmalıdır.
  • Veri özneleri istedikleri zaman önceden verilmiş olan rızalarını geri çekebilirler ve onların bu kararına saygı duymanız gerekir. İşlemenin yasal temelini diğer gerekçelerden biriyle değiştiremezsiniz.
  • 13 yaşın altındaki çocuklar yalnızca ebeveynlerinin izniyle verilerinin işlenmesine izin verebilir.
  • Açık rıza metinlerini saklamanız gerekir.

Veri Koruma Görevlileri

Yaygın inanışın aksine her veri denetleyicisinin veya işleyicinin bir Veri Koruma Görevlisi (DPO) ataması gerekmez. Bir DPO tayin etmeniz gereken üç koşul vardır:

  1. Adli sıfatla hareket eden bir mahkeme dışında bir kamu otoritesinizdir.
  2. Temel faaliyetleriniz, insanları büyük ölçekte sistematik ve düzenli olarak izlemenizi gerektirir. (Örneğin Google’sınız.)
  3. Temel faaliyetleriniz, GDPR’nin 9. maddesi altında listelenen özel veri kategorilerinin veya 10. maddede belirtilen cezai mahkûmiyet ve suçlarla ilgili verilerin büyük ölçekli işlenmesidir (Örneğin, bir tıbbi ofissiniz.).

Herhangi bir mecburiyetiniz olmasa da bir DPO atamayı tercih edebilirsiniz. Bu rolde birinin olmasının faydaları vardır. Temel görevleri arasında GDPR’yi ve bunun kuruluşa nasıl uygulanacağını anlamak, kuruluştaki kişilere sorumlulukları hakkında tavsiyelerde bulunmak, veri koruma eğitimleri yürütmek, denetimler yapmak ve GDPR uyumluluğunu izleyip düzenleyicilerle bir bağlantı olarak hizmet vermek yer alır.

DPO hakkında daha detaylı bilgi için buradaki makaleye bakabilirsiniz.

Kişilerin Gizlilik Hakları

Bir veri denetleyicisi ve/veya veri işleyensinizdir ama interneti kullanan bir kişi olarak aynı zamanda bir veri öznesisiniz. GDPR, bireylere kuruluşlara ödünç verdikleri veriler üzerinde daha fazla kontrol sağlamayı amaçlayan veri konuları için yeni gizlilik haklarını kabul eder. Bir kuruluş olarak, GDPR ile uyumlu olduğunuzdan emin olmak için bu hakları anlamak önemlidir.

Aşağıda veri öznelerinin gizlilik haklarının bir listesi verilmiştir:

  1. Kendisine ait verinin ne zaman saldırıya uğradığını bilme hakkı
  2. Erişim hakkı
  3. Verilerin silinmesi veya düzeltilmesi hakkı
  4. Unutulma hakkı
  5. İşlemenin kısıtlanmasını talep hakkı
  6. Veri taşınabilirliği hakkı
  7. İtiraz etme hakkı
  8. Otomatik karar verme ve profil oluşturma ile ilgili haklar.
  9. Denetim makamına şikâyet hakkı

Sonuç

GDPR’nin tüm önemli noktalarını 1.500’den biraz fazla kelimeyle ele aldık. Tüzüğün kendisi (beraberindeki direktifler hariç) 88 sayfadır. GDPR’den etkileniyorsanız, kuruluşunuzdaki birinin onu okumasını ve GDPR ile uyumlu olduğunuzdan emin olmak için bir avukata danışmanızı şiddetle tavsiye ederiz.

Yoluyla
https://gdpr.eu/what-is-gdpr/

Ümit Sözbilir

Sorgulamayı seven bir doktora adayı, yüksek enerji fizikçisi, astronomi sevdalısı, çevre fizikçisi, kitap kurdu, bilmeden konuşmayan. https://www.cern.ch/usozbili

Bir yanıt yazın

Göz Atın
Kapalı
Başa dön tuşu