Makaleler

GDPR Nedir?

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girdi.

GDPR’da kullanıcı, “ilgili kişi” olarak tanımlanmaktadır. Siz, ben ve herkes, kişisel verilerimizin sahipleriyiz.

Önceki gizlilik yönergelerinde asıl amaç, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı ve bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise asıl olan doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş olması.

GDPR uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak önemli bir zorunluluk haline geldi. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim de gerekli olabilmektedir.

Genel Veri Koruma Tüzüğü GDPR' a kimler uymak zorunda?

Avrupa Birliği sınırları içerisindeki vatandaşların ve müşterilerin verilerini toplayan ve saklayan tüm şirketler, Genel Veri Koruma Tüzüğü GDPR'ye tabidir.

Kişisel Verilerin Korunması Kanunu’ na Kısa Bir Giriş

Kişisel verilerin korunması, kişisel verilerin işlenmesinin koruma altına alınması ile temel hak ve özgürlüklerin korunması ile yakından ilgilidir.

Kişisel verilerin korunması, verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin hangi amaçla toplanması, ne kadar süreyle saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsayarak kişilerin verilerinin güvenlik altına almayı amaçlamaktadır.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir veriye kişisel veri diyebilmemiz için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş,resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Rizikoyu en aza indirmek…

Rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini yeniden düzenlemek gerekmekte. Bununla beraber yöneticilerin ve çalışanların bu konuda eğitim almalarını da sağlaması lazım. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi gerek. Bu belgelendirme işleminin de Kişisel verilerin korunması kanuna uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirmesi gerek.