GDPR
(General Data Protection Regulation - Genel Veri Koruma YönetmeliÄŸi)
​
GDPR nedir sorusuna cevap olarak, Avrupa BirliÄŸi'nde (AB) ve Avrupa Ekonomik Alanı'nda (EEA) veri koruma ve gizliliÄŸe iliÅŸkin AB hukukunda yer alan bir düzenlemedir diyebiliriz. Ayrıca kiÅŸisel verilerin AB ve EEA bölgeleri dışına aktarımını da ele alır. GDPR'nin birincil amacı, bireylere kiÅŸisel verileri üzerinde kontrol saÄŸlamak ve AB içindeki düzenlemeyi birleÅŸtirerek uluslararası ticaret için düzenleyici ortamı basitleÅŸtirmektir. Veri Koruma Direktifi 95/46/EC'nin yerine geçen yönetmelik, EEA'da bulunan bireylerin (resmi olarak GDPR'de veri sahipleri olarak adlandırılan) kiÅŸisel verilerinin iÅŸlenmesiyle ilgili hükümler ve gereklilikler içerir ve bu verileri iÅŸleyen tüm kuruluÅŸlar için geçerlidir.
​
Genel veri koruma yönetmeliÄŸi, 14 Nisan 2016 tarihinde kabul edilmiÅŸ ve 25 Mayıs 2018 tarihinden itibaren uygulanabilir hale gelmiÅŸtir. GDPR bir yönerge deÄŸil, bir düzenleme olduÄŸundan, doÄŸrudan baÄŸlayıcı ve uygulanabilirdir. Ancak, üye devletler düzenlemenin belirli yönlerinin bireysel olarak ayarlanabilmesi için esneklik saÄŸlar.
​
GDPR 2016'da, genel hükümler, ilkeler, veri sahibinin hakları, veri denetleyicilerinin veya iÅŸleyicilerin görevleri, kiÅŸisel verilerin üçüncü ülkelere aktarılması, denetim makamları, üye devletler arasında iÅŸbirliÄŸi, çözüm yolları, sorumluluk veya ihlal için cezalarla ilgili on bir bölüm vardır.
​
​
-
Yönetmelik, veri denetleyicisinin (AB sakinlerinden veri toplayan bir kuruluÅŸ) veya iÅŸleyicinin (bulut hizmeti saÄŸlayıcıları gibi bir veri denetleyicisi adına veri iÅŸleyen bir kuruluÅŸ) veya veri sahibinin (kiÅŸi) AB'de yerleÅŸik olması durumunda geçerlidir.
-
Belirli koÅŸullar altında, AB içinde bulunan bireylerin kiÅŸisel verilerini topluyor veya iÅŸliyorlarsa AB dışındaki kuruluÅŸlar için de geçerlidir.
-
Verilerin bir kiÅŸi tarafından "tamamen kiÅŸisel ve dolayısıyla profesyonel veya ticari bir faaliyetle baÄŸlantısı olmayan" iÅŸlenmesi durumda geçerli deÄŸildir.
​
Avrupa Komisyonu’na göre, kiÅŸisel veri, tanımlanmış veya tanımlanabilir bir kiÅŸiyle ilgili bilgilerdir. Bir kiÅŸiyi bilgilerinden doÄŸrudan tanımlanamıyorsa, o kiÅŸinin tanımlanabilir olup olmadığı sorgulanmalıdır. Ä°ÅŸletilen bilgiler, bu bireyin kimliÄŸini belirlemek için kullanılması makul olan olası tüm yöntemlerle birlikte hesaba katılmalıdır.
​
​
​
​
​
​
​
​
​
Bir veri konusu, bir veya daha fazla amaç için veri iÅŸleme için bilgilendirilmiÅŸ onay saÄŸlamadıkça ve en az bir yasal dayanak olmadığı sürece kiÅŸisel veriler iÅŸlenemez. Madde 6’nın yasal amaçları aÅŸağıdaki gibidir:
​
-
Veri sahibi kiÅŸisel verilerinin iÅŸlenmesine izin vermiÅŸse;
-
Bir veri konusu ile sözleÅŸme yükümlülüklerini yerine getirmek veya bir sözleÅŸme yapma sürecinde olan bir veri konusunun talebi üzerine görevler için;
-
Bir veri denetleyicisinin yasal yükümlülüklerine uymak için;
-
Bir veri konusunun veya baÅŸka bir bireyin hayati çıkarlarını korumak için;
-
Kamu yararına veya resmi makamda bir görevi yerine getirmek için;
-
Bir veri denetleyicisinin veya üçüncü bir tarafın meÅŸru menfaatleri için, bu menfaatler veri konusunun menfaatleri veya Temel Haklar Bildirgesi’ne göre (özellikle çocuklar söz konusu olduÄŸunda) hakları geçersiz kılınmadıkça.
​
BilgilendirilmiÅŸ onay, iÅŸlem için yasal dayanak olarak kullanılıyorsa, onayın toplanan veriler için belirgin olması ve her bir amaç için açık olması gerekir (Madde 7; Madde 4’te tanımlanmıştır). Onay, veri sahibi tarafından verilen belirli, özgürce verilmiÅŸ, açıkça ifade edilmiÅŸ ve açık bir onay olmalıdır.
Veri sahiplerinin bu izni herhangi bir zamanda geri almalarına izin verilmelidir ve bunu yapma süreci, onay vermekten daha zor olmamalıdır (Madde 7(3)). Yönetmelikte 16 yaşından küçük olarak tanımlanan çocuklar için rıza (üye devletlerin bireysel olarak 13 yaşına kadar düÅŸürme seçeneÄŸi olmasına raÄŸmen çocuÄŸun ebeveyni veya bakıcısı tarafından verilmeli ve doÄŸrulanabilir olmalıdır (Madde 8).
