GDPR: Genel Veri Koruma Yönetmeliği nedir?

En son güncellendiği tarih: Oca 17


GDPR

1995 yılında kabul edilen ve Avrupa Birliği gizlilik ve insan hakları hukukunun önemli bir bileşeni olarak AB içerisindeki kişisel verilerin işlenmesini düzenleyen Veri Koruma Direktifi'nin (Data Protection Directive) yerini alan Genel Veri Koruma Yönetmeliği (GDPR: General Data Protection Regulation), Avrupa Parlamentosu tarafından Avrupa Birliği (AB) ve Ekonomik Alanı (AEA) içindeki tüm bireylerin (vatandaşlar ve ikamet eden kişiler) kişisel verilerini ve mahremiyetlerini korumaya yönelik olarak Nisan 2016’da kabul edilmiş ve 25 Mayıs 2018 itibariyle de yürürlüğe girmiştir.


Yönetmelik, bireyin kendisi ile ilgili toplanan "Kişisel Tanımlanabilir Bilgi (PII)" verilerinin esas sahibi olarak bu bilgilerin nasıl kullanıldığına ve dağıtıldığına dair karar verme hakkını korumaktadır. GDPR bireylerin kişisel verilerini toplayan ve saklayan kuruluşlar için bir kurallar bütünüdür ve bu kurallara riayet edilmemesi durumunda şirketlerin karşılaşacağı cezaların miktarı 20.000.000 Avro'ya veya şirketin global cirosunun %4'üne kadar ulaşabilecektir. 


Kişisel Tanımlanabilir Bilgi (PII) nedir?

Kısaca kişinin doğrudan veya dolaylı olarak tanımlanmasına yol açabilecek bilgiler olarak tanımlanır.NIST (National Institute of Standarts and Technology) tarafından kullanılan tanım çerçevesinde "Kişisel Tanımlanabilir Bilgiler" anlamına gelen PII (Personally Identifiable Information) kapsamında aşağıdaki veriler yer almaktadır.

  • Bireyin tam adı

  • Yüzü (fotoğrafları)

  • Ev adresi

  • Eposta adresi

  • Kimlik numarası

  • Pasaport numarası

  • Araç plakası

  • Ehliyet numaraı

  • Parmak izi veya el yazısı

  • Kredi kart bilgileri

  • Dijital kimliği

  • Doğum tarihi

  • Doğum yeri

  • Genetik bilgileri

  • Telefon numarası

  • Giriş adı, ekran adı, takma ad veya diğer tanıtıcılar 

Kimlerin GDPR'a uyması gerekiyor?

Avrupa Birliği (AB) ve Ekonomik Alanı (AEA) içindeki bireyler hakkında veri toplayan veya işleyen tüm kuruluşlar GDPR'dan etkilenecektir. Diğer bir ifade ile yönetmelik sadece AB temelli kuruluşları etkilemekle kalmayacak, AB vatandaşlarına ait PII verilerini toplayan veya işleyen herhangi bir işletme de GDPR'a tabi olacaktır. Bu bakımdan yönetmelik küresel ölçekte faaliyet gösteren firmalar için de bağlayıcı olacaktır.

Örneğin,  Çok uluslu bir organizasyon AB&AEA bölgesi içinde faaliyet gösteriyor veya web sitesi bu bölge içerisinde ikamet eden bireyler tarafından ziyaret ediliyorsa GDPR'a uyması gerekecektir.  

Daha spesifik olarak, AB, Veri Denetleyicilerinin, yani kendi kullanımları için kişisel verileri toplayan organizasyonların ve Veri İşlemcilerinin yani kişisel verileri işleyen kuruluşların, GDPR tarafından etkileneceğini belirtmiştir.

Gartner raporuna göre 2018 yılı sonuna kadar GDPR'dan etkilenen firmaların %50'si yönetmeliğin gereksinimleri ile tam uyum içinde olmayacaktır.

İşletmeniz Veri Denetleyicisi mi yoksa Veri İşleyicisi mi?

Yeni düzenleme, farklı sorumluluklara sahip iki tür kuruluşu tanımlıyor:

  • Veri Denetleyicisi (Data Controller):

Kişisel verilerin işlenme amaç ve araçlarını belirleyen gerçek, tüzel, kamu, özel veya diğer kuruluşlar

  • Veri İşleyicisi (Data Processors)

Veri Denetleyicisi adına kişisel verileri işleyen gerçek, tüzel, kamu, özel veya diğer kuruluşlar. Fiziksel Güvenlik Sistemleri perspektifinden değerlendirdiğimizde erişim kontrol sistemi dahilinde kart bilgilerini veya video güvenlik sistemi dahilinde video verilerini toplayan işletmeler Veri Denetleyicisi kapsamına girmektedir.Veri Denetleyicisi adına kişisel bilgilerini işleyen, örneğin bulut hizmet sağlayıcıları veya müşterileri için güvenlik sistemi barındıran şirketker Veri İşleyecisi durumundadır.

Örneğin, gözetim amaçlı CCTV sistemi kullanan bir mağaza sahibi Veri Denetleyicisi olurken, mağaza sahibi adına ve sağladığı talimatlara göre CCTV sisteminden gelen verileri yöneten şirket Veri İşleyicisi konumundadır.

Fiziksel güvenlik sistemleri tarafından toplanan kişisel veri örnekleri:

  • Video güvenlik sistemleri tarafından kaydedilen kişilerin görüntüleri

  • Erişim kontrol sistemleri tarafından kayıt altına alınan kart sahibi bilgileri

  • Otomatik plaka tanıma sistemleri tarafından algılanan ve kayıt altına alınan plaka bilgileri

Tasarım Gereği Gizlilik (Privacy by design) ve Varsayılan Olarak Gizlilik (Privacy by default)

Veri Denetleyicisi kişisel verilerin işlenmesinde GDPR'a göre tanımlanmış olan veri güvenliği prensiplerini sağlayacak şekilde teknik ve organizasyonel önlemleri uygulamakla yükümlüdür. GDPR bunu "Tasarım Gereği Gizlilik" olarak ifade eder. Video gözetim sistemi bağlamında örnek bir Tasarım Gereği Gizlilik uygulaması, sistemin kullanıcıya dijital olarak kamera görüş alanını sınırlayabilme özelliği sunmak suretiyle kameraların ilgili alan dışındaki bölgelerden görüntü almasını önleyebilmesi olarak ifade edilebilir.


Veri Denetleyicisi ayrıca, söz konusu kişisel verilerin gizliliğine en az müdahale edilerek işlenmesini sağlayacak şekilde teknik veya organizasyonel önlemleri uygulama yükümlülüğü de taşır. GDPR bu durumu "Varsayılan Olarak Gizlilik" olarak ifade etmektedir. Örneğin, Video gözetim sisteminin kullanıcının karşısına otomatik olarak kamera görüş alanını belirlemesini (seçmesini) sağlayan bir özellik sunması şeklinde olabilir. Yanısıra, sistem tasarımının başından itibaren video verisinin şifrelenmesini ve anonimleştirilmesini destekleyebilmelidir.


Denetleyicilerinin bir diğer görevi de varsayılan olarak minimum verinin toplanmasını sağlamaktan sorumlu olmalarıdır. Örneğin, video verisinin sürekli olarak kaydedilmesi ve arşivlenmesi GDPR hükümlerinin ihlali anlamına gelmektedir.


Bireylerin hakları 

GDPR bireylere "Unutulma Hakkı" yani bir kuruluşun sisteminden kişisel verilerinin silinebilmesi dahil olmak üzere bir dizi yeni hak sağlamıştır. Bireyler kendilerine ait verilerin doğrudan pazarlama aktiviteleri için işlenmemesini talep etme hakkına sahip olabileceklerdir. "Erişim Hakkı" ile bireyler kendilerine ait verilere uzak erişim ile güvenli bir Self Servis portalı üzerinden erişebileceklerdir. 


Yönetmelik şeffaflığı artırmak için zorunlu "İhlal Raporlama" kuralları da getirmiştir. Bu bağlamda herhangi bir veri ihlal olayının tespit edilmesi durumunda takip eden 72 saat içerisinde bu durumun rapor edilmesi zorunludur. 

Ek olarak, yönetmelik kişisel verilerin yönetilmesi, değiştirilmesi, saklanması ve analiz edilmesi ile ilgili şartları belirtmektedir.


Türkiye’de durum nedir?

AB’deki kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir. GDPR metninde kullanılan “davranışların izlenmesi” terimiyle, bireylerin tüketim tercih ve alışkanlıklarının tespitine yönelik teknik yöntemlerle Internet üzerindeki faaliyetlerinin gözetlenmesi ifade edilip; AB dışında faaliyet göstermesine karşın AB tüketicisini hedefleyen şirketlerin GDPR’a tabi olacakları anlaşılmaktadır. 

Örneğin, e-ticaret sitesini Avrupa’ya açmak isteyen Türkiye’deki işletmeler, faaliyetleri kapsamında GDPR’a tabi olacaktır. Böyle bir durumda ilgili şirketin Veri Koruma Müdürü (Data Protection Officer) ataması zorunlu olacaktır.

Kaynaklar:

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

0 görüntüleme
  • LinkedIn
  • youtube
  • Facebook
  • Beyaz Instagram Simge
  • twitter