GDPR Nedir? Kişisel Veri İşleme Şartları Ve Cezalar Nelerdir?
GDPR’ın açılımına baktığımızda General Data Protection Regulation, Türkçe’ye çevirdiğimizde ise Genel Veri Koruma Yönetmeliği olarak karşımıza çıkmaktadır. GDPR, Avrupa Birliği tarafından 2016 yılında düzenlenmiş ve 25 Mayıs 2018’de yürürlüğe girmiştir.
Bu yönetmeliğin amacı AB ülkeleri arasında gerçek kişilere ait kişisel verilerin birlik ülkelerinin hepsinde güçlü bir şekilde korunması ile veri sorumlularının aynı yükümlülüklere sahip olmasının ayrıntılı olarak düzenlenmesini ve böylece Avrupa Birliği içerisinde kişisel verilerin güvenli bir şekilde işlenmesi, paylaşılması ve korunmasını sağlamaktır.
GDPR öncesinde Avrupa’da 108 No’lu Sözleşme, 95/46/EC Sayılı Direktif ve 181 No’lu Protokol ile kişisel verilerin işlenmesi ve dolaşımı hakkında düzenlemeler bulunmakta idi. GDPR ile kişisel verilerin işlenmesi, dolaşımı ve korunması faaliyetlerinde Avrupa Birliği ülkelerinde ortak, hukuken bağlayıcı ayrıntılı bir düzenleme yürürlüğe girmiştir.
GDPR Kapsamı Nelerdir?
GDPR uygulanması mülkilik ilkesine göre değil, sınırları aşan bir uygulama olarak karşımıza çıkmaktadır. Burada anlatmak istediğimiz husus AB ülkelerinin uyması gereken bir mevzuat olması yanında sadece bu ülkeler değil AB sınırında olmayan ancak AB sınırları içerisinde faaliyet gösteren ya da AB vatandaşlarının kişisel verilerini işleme faaliyeti gösteren ülkelerdeki işletmeler veya kuruluşlar veri sorumlusu olarak kabul edilmektedir ve yükümlülükleri yerine getirmekle sorumludur.
Böylece AB ülkelerinden biri ile ihracat veya ithalat ilişkisinde bulunan işletmeler ya da kuruluşlar GDPR hükümlerine tabi tutulacaktır. Eğer GDPR hükümlerine uyumluluk göstermezler ise faaliyet gösteremeyecekleri gibi uygun davranmamaları durumunda da yaptırımla karşı karşıya kalabileceklerdir.
GDPR’ın uygulama alanın geniş olması ülkemizde faaliyet gösteren işletme ve kuruluşlar için bu hükümlere uyumluluk önem arz etmektedir.
GDPR’a göre kişisel veri tanımına baktığımızda; gerçek kişiye ait her türlü bilgi kişisel veridir. Kişisel veri tanımının yanı sıra mevzuatta işleme faaliyeti, işleme kısıtlanması, takma ad, veri sorumlusu, işleyen, rıza, genetik, biyometrik, sağlığa ilişkin veri gibi tanımlamalar da yer almaktadır. Burada rıza tanımına da bakmamız gerekir ise; kişisel veri sahibinin beyanı ile ya da açık bir şekilde onayı alınarak özgür bir şekilde iradesine uygun ve açık verdiği işlenme faaliyetine izin olarak tanımlanmıştır. Rızaya ilişkin 7. Md. ile detaylı hükme yer verilmiştir ve rızanın geri çekilmesinin de rıza vermek kadar kolay olduğu belirtilmiştir.
GDPR’da kişisel verilerin işlenmesi sırasında uyulması gereken ilkeler de açıkça belirtilmiştir. Buna göre;
- Kişisel veriler hukuka, adalete uygun ve şeffaf bir şekilde işlenmelidir.
- Belirtilen açık ve meşru amaç dışında kişisel veriler işlenemez. İstisnai olarak kamu yararına arşivleme, bilimsel/ tarihi araştırmalar ile istatistiksel amaç doğrultusunda 89 md. çerçevesinde işlenebilir.
- Kişisel verilerin işlenme amacı yeterli ve gerekli olduğu kadar sınırlı olmalıdır. İşlenecek veriler olabildiğince aza indirilmelidir.
- Doğru, güncel haliyle veriler işlenmeli ve amacının dışına çıkılmamalıdır. Doğru olmayan verilerin işlenmesi halinde derhal bu veriler silinmeli ve düzeltilmelidir.
- İşlenen kişisel veriler belli bir süre ile sınırlı olarak tutulmak zorundadır. İstisnai olarak kamu yararına arşivleme, bilimsel/ tarihi araştırmalar ile istatistiksel amaç doğrultusunda işlenen kişisel veriler 89 md. çerçevesinde uzun süre ile saklanabilir.
- Her türlü idari ve teknik tedbirler alınarak kişisel verilerin güvenliği sağlanmalıdır.
- Kontrolörler (veri sorumluları) yukarıda sayılan ilkelere ve mevzuatta yer alan hükümlere uygun işleme faaliyetini yerine getirdiklerine dair hesap verir olmalıdır.
Kişisel veri işleme şartlarını ise mevzuat da şu şekilde sıralanmıştır: açık rıza, sözleşmenin ifası, yasal zorunluluk, meşru menfaat, kamusal görev ve hayati menfaat.
GDPR’da çocuğun kişisel verilerinin işlenmesi açısından gerekli koşullar ayrı bir maddede düzenlenmiştir. Buna göre çocuk en az 16 yaşında ise kendi rızası ile kişisel verisi işlenebilecektir. Ancak 16 yaşından küçük ise rıza velayet hakkı bulunan ebeveyn tarafından verilecek ve onaylanacaktır. Mevzuat üye ülkelere yaş sınırlamasında kendi iç hukuklarına göre düzenleme yapabilmelerini öngörmüştür ancak bu sınır 13 yaşın altında olmamalıdır.
Irk/ etnik köken, siyasi görüş, dini inanç, felsefi inanç, sendika üyeliği ve gerçek kişinin kimliğini ortaya çıkaracak genetik veriler ile biyometrik veriler, sağlıkla ve cinsel yaşam ve eğilime yönelik kişisel verilerin işlenmesi yasaktır. Bu yasağa ilişkin istisnai durumlar ise 9. Maddenin 2 paragrafında belirtilmiştir. Hükme göre ilgili kişinin açık rızasının varlığı halinde bu verilerde işlenebilecektir ya da kişi fiziksel veya hukuksal açıdan rıza verecek durumda olması halinde, bir kişinin hayati menfaatinin korunması gerektiği hallerde işlenebilecektir. İlgili kişi bu verileri kendisi kamuya açık bir alanda açıklamış ise işlenebileceği gibi koruyucu hekimlik durumlarında da işlenebilecektir.
Kişiye ait mahkûmiyet bilgisi ise mevzuatta sayılan ilkeler gözetilerek ve resmi merciinin kontrolü altında veya ilgili kişinin temel hak ve hürriyetlerine zarar gelmeyeceğinin güvencesi verilerek hukukun onay vermesi durumunda işleneceği hüküm altına alınmıştır. Mahkûmiyete ilişkin sicil sadece resmi makamların denetimi altında tutulmak zorundadır.
GDPR’da kapsamlı olarak veri sahibinin hakları düzenlenmiştir. Bu hakları başlıklar olarak özetlememiz gerekir ise;
- İlgili kişinin haklarına ilişkin şeffaf bilgilendirme ve yöntemler,
- İlgili kişinin işlenen kişisel verilerine erişim sağlayabilmesi,
- Düzeltme ve silme (unutulma) hakkı,
- Kişisel verilerinin işlenmesinde kısıtlanma talep edebilme hakkı,
- Veri taşınabilirliği hakkı,
- İtiraz etme hakkı,
- Bağımsız karar verme hakkı bulunmaktadır.
GDPR kapsamında öngörülen yaptırımlar nelerdir?
GDPR hükümlerine aykırılık durumunda veri sorumluları büyük cezalar ile karşı karşıya kalabilmektedir. Buna göre cezaların miktarları 20 milyon Euro’ya kadar veya bir önceki mali yılın dünya çapındaki yıllık cirosunun % 4’üne kadar çıkmaktadır. Bu cezalardan hangisi daha yüksek ise o uygulanmaktadır.
Bu yazımızda GDPR hakkında olabildiğince bilgiler vermeye çalıştık. Ama şunu hatırlatmakta fayda var ki GDPR çok geniş kapsamlı bir mevzuat ve detay isteyen bir konudur. AB ülkeleri ile faaliyet içerisinde bulunan işletmelerin ve kuruluşların, GDPR konusunda uzman kişilere danışması onların faydasına olacaktır.