GDPR Nedir ve Ne İşe Yarar?

GDPR Temelleri
Written By Av. Bilgehan Arifoglu, LL.M

GDPR (Genel Veri Koruma Tüzüğü), Avrupa Birliği'nin 25 Mayıs 2018'den bu yana yürürlükte olan veri koruma kanunudur. AB'deki kişilerin kişisel verisini işleyen her kuruluş için bağlayıcı kurallar koyar ve bu kişilere verilerinin nasıl toplanıp kullanıldığı üzerinde hukuken talep edilebilir haklar tanır. Ağır ihlaller, 20 milyon avroya veya dünya genelindeki yıllık cironun %4'üne kadar (hangisi yüksekse) cezalandırılabilir.

GDPR tam olarak neyi düzenler?

GDPR, kişisel verinin işlenmesini düzenler. Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü bilgidir (m. 4(1)). "İşleme" kavramı bilinçli olarak geniş tutulmuştur. Veriyi toplamak, saklamak, görüntülemek, paylaşmak ve silmek; bunların hepsi işleme sayılır (m. 4(2)). Kuruluşunuz kişiler hakkında bilgi tutuyorsa, yaptığınız işin bir kısmı neredeyse kesinlikle GDPR kapsamındadır.

Tüzük aynı anda iki iş görür. Verinin nasıl ve neden kullanılacağına karar veren kuruluşlara yükümlülük yükler, verisi kullanılan kişilere de haklar tanır. Uyum çalışmasının çoğu, bu iki tarafı dengede tutmaktan ibarettir.

GDPR'a kimler uymak zorunda?

Belirleyici olan coğrafya değil, veridir. GDPR şirketin sınırlarını değil, verinin kendisini takip eder.

AB'de yerleşik bir kuruluşsanız, işleme nerede gerçekleşirse gerçekleşsin GDPR uygulanır. AB dışındaki kuruluşlara da uygulanır: AB'deki kişilere mal veya hizmet sunuyorsanız ya da AB'deki kişilerin davranışlarını izliyorsanız (m. 3). İstanbul'da, New York'ta veya Singapur'da, AB'de hiçbir ofisi olmayan bir şirket de tam olarak kapsam içinde olabilir.

Bunu GDPR kimlere uygulanır başlıklı yazımızda ayrıntılı ele alıyoruz.

GDPR kişilere hangi hakları tanır?

Tüzük, kişilere bir kuruluşa karşı doğrudan kullanabilecekleri bir dizi hak verir (m. 12 ila 22). Başlıcaları şunlardır:

  • Verisinin nasıl kullanıldığı konusunda bilgilendirilme hakkı.

  • Erişim hakkı, yani verisinin bir kopyasını alma (m. 15).

  • Yanlış verinin düzeltilmesini isteme hakkı (m. 16).

  • Silme hakkı, sıkça "unutulma hakkı" denen (m. 17).

  • İşlemenin kısıtlanmasını isteme ve işlemeye itiraz etme hakkı (m. 18 ve m. 21).

  • Veri taşınabilirliği hakkı (m. 20).

  • Tamamen otomatik bazı kararlara tabi tutulmama hakkı (m. 22).

Kuruluş bu taleplere çoğu durumda bir ay içinde yanıt vermek zorundadır.

GDPR'ın temel ilkeleri nelerdir?

Madde 5, her işleme faaliyetine hâkim olan yedi ilkeyi belirler. Veri hukuka uygun, adil ve şeffaf işlenmelidir. Belirli amaçlar için toplanmalı, bu amaçlarla bağdaşmayan biçimde yeniden kullanılmamalıdır (amaçla sınırlılık). Yalnızca ihtiyaç duyduğunuz kadarını tutmalı (veri minimizasyonu), doğru tutmalı ve gerekenden uzun saklamamalısınız (saklamayla sınırlılık). Veri güvende olmalıdır (bütünlük ve gizlilik). Son olarak kuruluş, tüm bunları yaptığını kanıtlayabilmelidir (hesap verebilirlik).

Çoğu kuruluşu zorda bırakan ilke hesap verebilirliktir. GDPR'da doğru olanı yapmak yeterli değildir. Yaptığınızı belgeyle gösterebilmeniz gerekir.

İşleme için hukuki sebep nedir?

Kişisel veriyi yalnızca işinize yaradığı için işleyemezsiniz. Madde 6(1)'deki altı hukuki sebepten birine ihtiyacınız vardır: rıza, sözleşmenin ifası, hukuki yükümlülük, hayati menfaat, kamu görevi veya meşru menfaat. Sebebi işlemeye başlamadan önce seçersiniz ve bu seçim, sonradan ne yapıp ne yapamayacağınızı belirler.

Bunların en çok yanlış anlaşılanı rızadır. Çoğu zaman en güvenli sebep değil, en zayıf olanıdır; çünkü her an geri çekilebilir ve geçerli sayılması için yüksek bir eşiği karşılaması gerekir. Doğru seçimi hukuki sebepler yazımızda açıklıyoruz.

GDPR ihlal edilirse ne olur?

Denetim makamları cezayı iki kademede keser. Alt kademe, yetersiz güvenlik veya kötü kayıt tutma gibi eksiklikler için 10 milyon avroya veya dünya genelindeki yıllık cironun %2'sine ulaşır. Üst kademe, temel ilkelerin, hukuki sebep kurallarının veya kişilerin haklarının ihlali için 20 milyon avroya veya yıllık cironun %4'üne ulaşır (m. 83). Makamlar yerel geliri değil, grubun toplam cirosunu esas alır. Büyük gruplara kesilen cezaların yüz milyonları bulmasının sebebi budur.

Tek sonuç ceza değildir. Makamlar bir işleme faaliyetini tamamen durdurmanızı da emredebilir; bu çoğu zaman parasal cezadan daha yıkıcıdır.

Sık sorulan sorular

GDPR bir kanun mu yoksa kılavuz mu? Bağlayıcı bir kanundur. Bir Tüzük olduğu için, her ülkenin ayrı bir versiyon çıkarmasına gerek kalmadan tüm AB üyelerinde doğrudan uygulanır.

GDPR küçük işletmelere de uygulanır mı? Evet. Büyüklük muafiyet sağlamaz. 250 kişinin altındaki kuruluşlar için bazı hafifletilmiş yükümlülükler vardır, ama temel görevler ve kişisel haklar çalışan sayısından bağımsız olarak geçerlidir.

GDPR, AB dışındaki şirketlere uygulanır mı? Evet, AB'deki kişileri hedefliyor veya izliyorsanız (m. 3(2)). AB'li müşterilere satış yapan bir ABD veya Türk şirketi tipik olarak kapsamdadır.

GDPR ile KVKK aynı şey mi? Hayır, ama yakın akrabadır. Türkiye'nin KVKK'sı daha eski AB çerçevesi örnek alınarak hazırlanmıştır ve yapısının çoğunu paylaşır; ayrıntıda ve uygulamada önemli farkları vardır. İkisini ayrı bir yazıda karşılaştırıyoruz.

GDPR ne zaman yürürlüğe girdi? 25 Mayıs 2018'de uygulanmaya başladı ve 1995 tarihli Veri Koruma Direktifi'nin yerini aldı.

Av. Bilgehan Arifoglu, LL.M
Previous

GDPR Kimlere Uygulanır?
Next

Hukuka Aykırı Elde Edilen Veri Mahkemede Delil Olur mu? ABAD'ın Yeni Kararı ve Türkiye İncelemesi