GDPR nedir? Kapsamı, amacı, para cezaları ve uyum süreci

GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. 25 Mayıs 2018 tarihinde yürürlüğe giren bir Avrupa Birliği koruma düzenlemesidir. AB yurttaşlarının kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Bu da ister AB’de olsun ister AB dışında, tüm şirketlerin etkilendiği anlamına gelir. GDPR, dünyadaki en katı ve en karmaşık kişisel veri koruma düzenlemesidir.

Veri türleri

İki tür veri vardır; kişisel ve kişisel olmayan. 

·      Kişisel veri 

Kişisel veriler, doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir bir gerçek kişiye bağlanabilecek her türlü bilgidir. Genel Veri Koruma Yönetmeliği, veriler bilgi değeri olma eğiliminde olduğundan ‘veri’ yerine ‘bilgi’ terimini kullanır. Her türlü kişisel bilgi, yaşayan herhangi bir kişiye bağlanabilir.

·      Kişisel olmayan veriler 

Kişisel olmayan veriler asla tanımlanmış veya tanımlanabilir bir gerçek kişiyle bağlantılı değildir. Bu kategori, daha önce kişisel olarak sınıflandırılmış ancak gerçek bir kişiyle bağlantısı kaldırılmış verileri de içerir.

GDPR açısından kişisel veri işlenmesi nedir? 

Kişisel verilerle ilgili çeşitli eylem türleri, kişisel verilerin işlenmesi olarak kabul edilir:  Toplama, kaydetme, organizasyon, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla ifşa etme, yayma veya kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha etme. 

GDPR kuralları, kişisel verileri tamamen veya kısmen, otomatik veya manuel işlem kullanarak veya verilerin, yapılandırılmış bir dosyalama sisteminin bir parçası olan şirketler için geçerlidir.

Kişisel veri örnekleri

Kişisel verilerin işlenmesi için Genel Veri Koruma Yönetmeliği uygulanmaktadır. Şirketlerin aşağıdaki kişisel verileri koruması gerekir: 

• Çalışanların kişisel verileri (isim, adres, doğum tarihi vb.)
• Müşteriler/hastalar/sakinler hakkında bilgiler (pazarlama veri tabanları, tıbbi kayıtlar, kişi listeleri)
• İş ortaklarının ve sağlayıcıların kamuya açık olmayan kişisel verileri
• Üçüncü kişilere aktarılan ve üçüncü kişiler tarafından işlenen kişisel veriler (muhasebe defterleri, kredi kayıtları, doğrudan pazarlama)
• Görüntüler ve ses kayıtları
• Şifrelenmiş veriler (IP adresleri, MAC adresleri, gerçek bir kişiye bağlanabilen çerezler)
• Bireylerin fotoğrafları
• Video kayıtları

GDPR’ın amacı

Genel Veri Koruma Yönetmeliği’nin amacı, yurttaşların gizliliğini korumaktır. Dolayısıyla şirketler, bu yurttaşların kişisel verilerini korumakla yükümlüdür ve rızaları olmadan bunları işleyemez veya üçüncü kişilere satamaz.

Geçmişte şirketler, veri sahiplerinin rızası olmadan birbirlerine veri satarlardı. GDPR, AB içinde kişisel verilerin korunması için tek tip standartlaştırılmış bir norm oluşturmayı amaçlamaktadır.

GDPR’nin bir diğer amacı, eski kuralları modern dijital toplumla uyumlu olacak şekilde modernize etmektir.

Bireyin hakları 

GDPR, AB yurttaşlarının verilerinin nasıl kullanıldığını ve nasıl şikayette bulunacaklarını anlamalarına yardımcı olmayı amaçlamaktadır. Amaç, bireylere kişisel verileri üzerinde kontrol sağlatmaktır. Yurttaşlar aşağıdaki haklara sahiptir:

• bilgilendirilme hakkı 
• erişim hakkı 
• düzeltme hakkı 
• silme/unutulma hakkı 
• işlemeyi kısıtlama hakkı 
• veri taşınabilirliği hakkı 
• itiraz hakkı ve otomatik karar verme ve profil oluşturma ile ilgili haklar

GDPR’nin Kapsamı 

Genel Veri Koruma Yönetmeliği, bir kuruluş AB dışında bulunsa bile, mal ve hizmet sunan veya AB’de insanları istihdam eden her şirket de dahil olmak üzere AB yurttaşlarının kişisel verilerini işleyen tüm kuruluşları etkiler.

GDPR, şirketler, dernekler, kuruluşlar, yetkililer ve bazı durumlarda özel kişiler için geçerlidir.

GDPR tüm Avrupa Birliği’ni kapsar. Tüm üye devletler için geçerlidir ve İzlanda, Lihtenştayn, Norveç ve Birleşik Krallık gibi Avrupa Ekonomik Alanı ülkelerini kapsar.

GDPR’nin yedi ilkesi 

GDPR açısından kişisel verilerin işlenmesi yedi ilkeye bağlıdır.

• Yasallık, adalet ve şeffaflık 
• Amaç sınırlaması 
• Veri minimizasyonu 
• Doğruluk 
• Depolama alanı sınırlaması 
• Dürüstlük ve gizlilik (güvenlik) 
• Sorumluluk

GDPR ihlalleri (Para cezaları)

GDPR ihlali durumunda, şirketlerin ödemek zorunda kalabileceği iki tür para cezası vardır.

• Düşük seviye; hangisinin daha yüksek olduğuna bağlı olarak, 10 milyon Euro veya bir önceki yıla göre dünya çapındaki yıllık gelirin %2’si kadarı. Kayıt tutma, veri güvenliği vb. ile bağlantılı ihlaller. 
• Üst seviye; hangisinin daha yüksek olduğuna bağlı olarak, 20 milyon Euro veya bir önceki mali yıla göre dünya çapındaki toplam gelirin %4’üne kadarı. Bu para cezaları genellikle veri koruma ilkeleri, işlemenin yasal dayanağı, hassas verilerin işlenmesinin yasaklanması, veri konularının haklarının reddedilmesi veya AB üyesi olmayan ülkelere veri aktarımı ile ilgili ihlaller için verilir. 

GDPR para cezaları, büyük veya küçük kadar her türlü işletme için geçerlidir. 

Para cezaları her bir dava için belirlenir ve etkili, orantılı ve caydırıcı olmalıdır. Uygun şekilde yüksek bir para cezası verilmesi için kullanılan bir kriter kataloğu vardır. Aşağıdaki kriterler dikkate alınır:

• İhlalin kasıtlı olup olmadığı 
• Etkilenen kişi sayısı 
• Şirketin hasarı azaltmak için ne tür önlemler aldığı 
• Yetkililerle işbirliği düzeyi vb. 

AB içinde GDPR farklılıklar 

Almanya’nın BDSG’si 

GDPR yürürlüğe girdiğinde, yeni Almanya Gizlilik Yasası (BDSG) de yürürlüğe girdi. GDPR’ı tamamlar, altını çizer, değiştirir ve belirli konulara odaklanır. BDSG, Almanya’da bulunan ve kişisel verileri Almanya’da işleyen özel şirketlerin yanı sıra Almanya’da mal ve hizmet sunan veya Almanya’daki veri sahiplerinin davranışlarını izleyen şirketler için de geçerlidir.

Dünyadaki GDPR benzeri beş gizlilik yasası 

Brezilya

Brezilya, LGPD’yi Eylül 2020’de, GDPR’dan hemen sonra başlattı. Kapsam ve uygulanabilirlik açısından çok benzerler. Brezilya ekonomisinde iş yapmak isteyen şirketler LGPD’ye uymak zorunda.

Güney Afrika

Güney Afrika’nın Kişisel Bilgilerin Korunması Yasası (POPIA) Temmuz 2020’den itibaren geçerlidir. GDPR ve POPIA arasında yasaların ne kadar katı olduğu konusunda birkaç fark vardır. GDPR’ın para cezaları daha yüksek ancak POPIA hapis cezaları da içeriyor.

Türkiye

Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılından bu yana birçok kez değiştirildi ve özellikle kişisel verilerin işlenmesi söz konusu olduğunda GDPR’a oldukça yakın.

ABD

Her eyaletin kendi gizlilik yasaları var. New York Eyaletinde, New York’ta faaliyet gösteren finansal kurumlar için geçerli olan 23 NYCRR 500 var. Kaliforniya’da, GDPR’a çok benzeyen Kaliforniya Tüketici Gizliliği Yasası (CCPA) var.

CCPA, tüketicilere kişisel bilgilerini kontrol etmeleri için etkili bir yol sunarak anayasal gizlilik hakkını daha da ileri götürmeyi amaçlamaktadır. Tasarı, Kaliforniya Eyalet Yasama Meclisi tarafından kabul edildi ve Ocak 2020’de yürürlüğe girdi.

Tayland

Şubat 2019’da Tayland Kişisel Verileri Koruma Yasası (PDPA) onaylandı, ancak yürürlük tarihi ertelendi. Kanun 1 Haziran 2022 tarihinden itibaren geçerlidir. PDPA, GDPR gibidir, çünkü kişisel verilerin geniş bir tanımını, kişisel verilerin toplanması ve kullanılması için yasal bir temel oluşturma gerekliliğini ve ihlal sonucu yüksek cezalar öngörür. Para cezaları daha düşüktür, ancak hapis cezası olasılığı vardır.

En büyük 3 GDPR cezası 

#1 Amazon – 746 milyon € para cezası 

Lüksemburg Ulusal Veri Koruma Komisyonu (CNDP) tarafından Amazon.com Inc.’e 746 milyon € para cezası verildi. Mayıs 2018’de Amazon’a karşı 10.000 kişi tarafından yapılan bir şikayet nedeniyle soruşturma açıldı. CNPD, Amazon’un reklam hedefleme sistemi kullanıcılardan uygun onayı almadığı için GDPR’ı ihlal ettiğini tespit etti.

#2 WhatsApp – 225 milyon € para cezası 

İrlanda Veri Gizliliği Komisyonu (DPC), 2 Eylül 2021’de WhatsApp İrlanda’ya para cezası verdi. Şeffaflık ilkesi WhatsApp Ireland Ltd tarafından ihlal edildi ve şirket kullanıcılara doğru bilgi vermedi. WhatsApp, 2021 yılında kullanıcıların kişisel verilerinin işlenmesiyle ilgili şeffaflığı artırmak için Kullanıcı Gizlilik Bildirimi’ni güncelledi.

#3 Google LLC – 90 milyon € para cezası

CNIL (Commission nationale de l’informatique et des libertés), Google LLC’ye 90 milyon € para cezası verdi. Fransa’daki YouTube kullanıcılarının kolayca kabul ettiği çerezleri aynı kolaylıkta reddetmelerine izin vermedi. Kullanıcıların çerezleri reddetmeleri engellendiğinde, şirket bundan fayda sağlar ve bu da GDPR ihlali olarak kabul edilir.

GDPR için veri güvenliğini sağlamaya yönelik 5 adım 

1
Veri denetimi gerçekleştirme 

Şirketinizin ne tür kişisel veriler ürettiğini ve bilgilerin nerede saklandığını bilmelisiniz.  

2 
Belge işleme yönergelerini uygulama 

Kişisel verilerin nasıl işlenebileceğini belirten bir kurallar kümesi oluşturun. 

3
Çalışanlarınızı eğitin 

Her çalışan, kişisel verilerin nasıl ele alınacağının farkında olmalıdır.  

4
Verilerinizi şifreleme 

GDPR, tüm medya ve harici cihazların şifrelenmesini önerir. 

5
Verilerinizi sızıntılara ve içeriden gelen tehditlere karşı koruyun 

Veri kaybını önleme, yalnızca GDPR nedeniyle değil, verilerin şirketlerin sahip olduğu en değerli varlıklardan biri olması nedeniyle uygulanması gereken kapsamlı bir stratejidir. E-posta, bulut depolama, anlık mesajlaşma programları, baskı, USB sürücüler, mobil cihazlar gibi verilerinizi ve iletişim yöntemlerinizi güvence altına alın.