GDPR
(General Data Protection Regulation - Genel Veri Koruma Yönetmeliği)
GDPR nedir sorusuna cevap olarak, Avrupa Birliği'nde (AB) ve Avrupa Ekonomik Alanı'nda (EEA) veri koruma ve gizliliğe ilişkin AB hukukunda yer alan bir düzenlemedir diyebiliriz. Ayrıca kişisel verilerin AB ve EEA bölgeleri dışına aktarımını da ele alır. GDPR'nin birincil amacı, bireylere kişisel verileri üzerinde kontrol sağlamak ve AB içindeki düzenlemeyi birleştirerek uluslararası ticaret için düzenleyici ortamı basitleştirmektir. Veri Koruma Direktifi 95/46/EC'nin yerine geçen yönetmelik, EEA'da bulunan bireylerin (resmi olarak GDPR'de veri sahipleri olarak adlandırılan) kişisel verilerinin işlenmesiyle ilgili hükümler ve gereklilikler içerir ve bu verileri işleyen tüm kuruluşlar için geçerlidir.
Genel veri koruma yönetmeliği, 14 Nisan 2016 tarihinde kabul edilmiş ve 25 Mayıs 2018 tarihinden itibaren uygulanabilir hale gelmiştir. GDPR bir yönerge değil, bir düzenleme olduğundan, doğrudan bağlayıcı ve uygulanabilirdir. Ancak, üye devletler düzenlemenin belirli yönlerinin bireysel olarak ayarlanabilmesi için esneklik sağlar.
GDPR 2016'da, genel hükümler, ilkeler, veri sahibinin hakları, veri denetleyicilerinin veya işleyicilerin görevleri, kişisel verilerin üçüncü ülkelere aktarılması, denetim makamları, üye devletler arasında işbirliği, çözüm yolları, sorumluluk veya ihlal için cezalarla ilgili on bir bölüm vardır.
-
Yönetmelik, veri denetleyicisinin (AB sakinlerinden veri toplayan bir kuruluş) veya işleyicinin (bulut hizmeti sağlayıcıları gibi bir veri denetleyicisi adına veri işleyen bir kuruluş) veya veri sahibinin (kişi) AB'de yerleşik olması durumunda geçerlidir.
-
Belirli koşullar altında, AB içinde bulunan bireylerin kişisel verilerini topluyor veya işliyorlarsa AB dışındaki kuruluşlar için de geçerlidir.
-
Verilerin bir kişi tarafından "tamamen kişisel ve dolayısıyla profesyonel veya ticari bir faaliyetle bağlantısı olmayan" işlenmesi durumda geçerli değildir.
Avrupa Komisyonu’na göre, kişisel veri, tanımlanmış veya tanımlanabilir bir kişiyle ilgili bilgilerdir. Bir kişiyi bilgilerinden doğrudan tanımlanamıyorsa, o kişinin tanımlanabilir olup olmadığı sorgulanmalıdır. İşletilen bilgiler, bu bireyin kimliğini belirlemek için kullanılması makul olan olası tüm yöntemlerle birlikte hesaba katılmalıdır.
Bir veri konusu, bir veya daha fazla amaç için veri işleme için bilgilendirilmiş onay sağlamadıkça ve en az bir yasal dayanak olmadığı sürece kişisel veriler işlenemez. Madde 6’nın yasal amaçları aşağıdaki gibidir:
-
Veri sahibi kişisel verilerinin işlenmesine izin vermişse;
-
Bir veri konusu ile sözleşme yükümlülüklerini yerine getirmek veya bir sözleşme yapma sürecinde olan bir veri konusunun talebi üzerine görevler için;
-
Bir veri denetleyicisinin yasal yükümlülüklerine uymak için;
-
Bir veri konusunun veya başka bir bireyin hayati çıkarlarını korumak için;
-
Kamu yararına veya resmi makamda bir görevi yerine getirmek için;
-
Bir veri denetleyicisinin veya üçüncü bir tarafın meşru menfaatleri için, bu menfaatler veri konusunun menfaatleri veya Temel Haklar Bildirgesi’ne göre (özellikle çocuklar söz konusu olduğunda) hakları geçersiz kılınmadıkça.
Bilgilendirilmiş onay, işlem için yasal dayanak olarak kullanılıyorsa, onayın toplanan veriler için belirgin olması ve her bir amaç için açık olması gerekir (Madde 7; Madde 4’te tanımlanmıştır). Onay, veri sahibi tarafından verilen belirli, özgürce verilmiş, açıkça ifade edilmiş ve açık bir onay olmalıdır.
Veri sahiplerinin bu izni herhangi bir zamanda geri almalarına izin verilmelidir ve bunu yapma süreci, onay vermekten daha zor olmamalıdır (Madde 7(3)). Yönetmelikte 16 yaşından küçük olarak tanımlanan çocuklar için rıza (üye devletlerin bireysel olarak 13 yaşına kadar düşürme seçeneği olmasına rağmen çocuğun ebeveyni veya bakıcısı tarafından verilmeli ve doğrulanabilir olmalıdır (Madde 8).