Genel Veri Koruma Yönetmeliği (GDPR), 2018’de yürürlüğe giren ve Avrupa Birliği (AB) tarafından kabul edilen kapsamlı veri koruma ve gizlilik düzenlemesidir. Bu yönetmelik, AB sınırları içinde faaliyet gösteren tüm kuruluşları ve AB vatandaşlarının verilerini işleyen dünya genelindeki şirketleri kapsar. GDPR, bireylerin kişisel verilerinin korunmasını ve gizliliğinin sağlanmasını amaçlayarak veri işleme, saklama ve aktarım süreçlerine sıkı kurallar getirmiştir. Peki, GDPR Türkiye’de geçerli mi ve Türk şirketleri bu yönetmelikten nasıl etkileniyor? Bu makalede, GDPR’ın temel ilkeleri ve Türkiye’deki geçerliliği üzerinde durulacaktır.
İçindekiler
GDPR Nedir?
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa Birliği (AB) tarafından kabul edilen ve 25 Mayıs 2018 tarihinde yürürlüğe giren veri koruma ve gizlilik yönetmeliğidir. GDPR, bireylerin kişisel verilerinin korunması ve gizliliğinin sağlanması amacıyla tasarlanmıştır. Bu yönetmelik, AB sınırları içinde faaliyet gösteren tüm kuruluşlar ve AB vatandaşlarının verilerini işleyen dünya çapındaki tüm şirketler için geçerlidir. GDPR, kişisel verilerin işlenmesi, saklanması ve aktarılmasıyla ilgili sıkı kurallar getirmektedir.
GDPR’ın Temel İlkeleri
1. Veri İşleme Amaçlarına Uygunluk
Veriler, belirli, açık ve meşru amaçlar doğrultusunda toplanmalı ve bu amaçlarla uyumlu şekilde işlenmelidir.
2. Veri Minimizasyonu
Veriler, işlendikleri amaçlar için gerekli olanla sınırlı olmalıdır. Gereksiz veri toplanmamalı ve saklanmamalıdır.
3. Doğruluk
Toplanan veriler doğru ve gerektiğinde güncel olmalıdır. Yanlış verilerin düzeltilmesi veya silinmesi sağlanmalıdır.
4. Depolama Sınırlamaları
Veriler, yalnızca gerekli olduğu sürece saklanmalıdır. Gereksiz yere uzun süre saklanan veriler silinmelidir.
5. Bütünlük ve Gizlilik
Veriler, uygun güvenlik önlemleriyle korunmalı ve yetkisiz erişime, işleme veya kayba karşı korunmalıdır.
GDPR’ın Hakları ve Yükümlülükleri
Bireylerin Hakları
- Bilgilendirme Hakkı: Bireyler, verilerinin nasıl işlendiği konusunda bilgilendirilmelidir.
- Erişim Hakkı: Bireyler, kendileriyle ilgili işlenen verilere erişim talep edebilir.
- Düzeltme Hakkı: Yanlış veya eksik verilerin düzeltilmesini talep edebilirler.
- Silme Hakkı (Unutulma Hakkı): Belirli durumlarda verilerinin silinmesini talep edebilirler.
- İşleme Kısıtlama Hakkı: Verilerin işlenmesinin sınırlandırılmasını talep edebilirler.
- Veri Taşınabilirliği Hakkı: Verilerini başka bir hizmet sağlayıcıya taşıma hakkına sahiptirler.
- İtiraz Hakkı: Belirli durumlarda veri işlemesine itiraz edebilirler.
Kuruluşların Yükümlülükleri
- Açık Rıza: Verilerin işlenmesi için bireylerden açık rıza alınmalıdır.
- Veri Koruma Görevlisi (DPO): Büyük ölçekli veri işleyen kuruluşlar, bir veri koruma görevlisi atamalıdır.
- Veri İhlali Bildirimi: Veri ihlali durumunda, 72 saat içinde yetkililere bildirimde bulunulmalıdır.
- Etki Değerlendirmesi: Yüksek riskli veri işlemleri için veri koruma etki değerlendirmesi yapılmalıdır.
GDPR’ın Türkiye’de Geçerliliği
GDPR, AB üyesi ülkeler için bağlayıcıdır, ancak AB dışındaki ülkeler için doğrudan bağlayıcılığı yoktur. Türkiye, AB üyesi olmadığından GDPR Türkiye’de doğrudan geçerli değildir. Ancak, Türkiye’deki şirketlerin AB vatandaşlarının verilerini işlemesi durumunda GDPR hükümlerine uymaları gerekmektedir. Bu, özellikle uluslararası ticaret yapan ve AB vatandaşlarına hizmet sunan Türk şirketleri için önemlidir.
Türkiye’deki Veri Koruma Düzenlemeleri
Türkiye, 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile veri koruma ve gizlilik konularında önemli adımlar atmıştır. KVKK, GDPR’a benzer şekilde, kişisel verilerin korunması ve bireylerin haklarının güvence altına alınması amacıyla hazırlanmıştır. KVKK’nın temel ilkeleri ve bireylerin hakları, GDPR ile büyük ölçüde örtüşmektedir.
KVKK’nın Temel İlkeleri ve Hakları
- Veri İşleme İlkeleri: Hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
- Haklar: Bilgilendirme, erişim, düzeltme, silme, işleme kısıtlaması, itiraz ve veri taşınabilirliği hakları gibi birey hakları bulunmaktadır.
Sonuç
GDPR, kişisel verilerin korunması konusunda küresel bir standart oluşturmuş ve veri gizliliğine olan yaklaşımı şekillendirmiştir. Türkiye’de doğrudan geçerli olmasa da, AB vatandaşlarının verilerini işleyen Türk şirketleri için GDPR kurallarına uyum zorunludur. Ayrıca, Türkiye’nin KVKK’sı, GDPR’a paralel olarak benzer veri koruma ve gizlilik ilkelerini benimsemiş ve uygulamaya koymuştur. Bu nedenle, Türkiye’deki kuruluşlar hem GDPR hem de KVKK’nın gerekliliklerini dikkate alarak veri koruma ve gizlilik politikalarını geliştirmelidir.
