• MarşanErezTuran

GDPR Nedir?

En son güncellendiği tarih: 4 Haz 2018



Kuruluşunuzun kişisel verilerin korunması kurallarına uymasına gerek olmadığını düşünüyorsanız ya da kişisel verilerin korunmasına ilişkin kurallara uyduğunu düşünüyorsanız fakat 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu hiç duymadıysanız, vaktinizin dolmaya başladığından da haberiniz olmayabilir. “Nedir, neler oluyor?” diyorsanız, daha önce yayınladığımız bu konudaki yazılarımızı okuyup genel bir fikir sahibi olabilirsiniz.


1.“Okudum, peki sırada ne var?”


Kanunumuzun, Avrupa Birliği’nin (“AB”) 95/46/EC sayılı eski Veri Koruma Direktifi’yle yeni ve Mayıs 2018’de yürürlüğe girecek olan Genel Veri Koruma Tüzüğü’nün çeşitli hükümlerinin alıntılanması sonucu ortaya çıktığını belirttikten sonra Genel Veri Koruma Tüzüğü’nü bu kadar özel yapanın ne olduğuna ilişkin kısa bir bilgilendirme yapmamız gerekiyor.


2.“Ben Türkiye’deyim, niye Avrupa?”


Avrupa çünkü, Genel Veri Koruma Tüzüğü’nü kişisel verilere ilişkin alan kapsamı Avrupa’yı iki taraflı olarak koruyor. Yani?

  • AB’deki veri sorumlusunun veya veri işleyicisinin kuruluşunun eylemlerinin bağlamı kişisel verilerin işlenmesiyse, (Veri işlemesinin AB’de yapılıp yapılması fark etmeksizin)

  • AB’de tesis edilmemiş fakat veri sorumlusu ya da veri işleyicisi olarak AB’deki ilgili kişilerin kişisel verilerinin işlenmesini ürün ya da hizmet satışa arz edilmesi (Bedel alınması şartı aranmamaktadır) veya AB’deki hareketlerini takip etme işleriyle alakalı olarak yapıyorsa, (AB ilgili kişilerinin kuruluşlarca hedeflenmesi ya da izlenmesi)

  • AB’de tesis edilmemiş fakat kişisel verilerin bir veri sorumlusunda işlenmesi üye devlet hukukunun uluslararası özel hukuk yetkilerine dayanarak geçerli olduğu bir yerde yapılıyorsa (Diplomatik görev) Genel Veri Koruma Tüzüğü uygulanır.

Daha da fazlası, burada kullanılan “kuruluş”, “hareketlerini takip”, “ürün ya da hizmetlerin satışa arz edilmesi” kelimesi geniş bir anlamda yorumlanıyor yani kuruluşunuzun Genel Veri Koruma Tüzüğü’nün alan kapsamında kalıp kalmadığını tespit etmeniz gerekiyor. Örnek verecek olursak; Cloud servisleri gibi veri sorumluları AB’deyse dahil oluyor, Avrupa’ya internet üzerinden satış yapan çoğu şirket Genel Veri Koruma Tüzüğü’nün alan bakımından kapsamına giriyor.


3.“Bunlardan biri benim, ne yapmalıyım?”


Eğer alan kapsamı içinde kalıyorsanız, en temelinde kişisel verilerle ilgili olarak işleyişlerinizi kontrol etmeniz, hukuka uygun hale getirmeniz ve herhangi bir kişisel verisi işlenilen ilgili kişinin şikayet edebileceği Genel Veri Koruma Tüzüğü’ne uygun olmayan işlemeniz olup olmadığını tespit etmeniz gerekiyor. Elinizdeki kişisel veriler bakımındansa hukuka uygun işlemeyi yapabiliyor olmak için veri organizasyonu, veri küçültmesi yapmanız, bunu yaparken de her kişisel veri ve/veya özel nitelikli veri bakımından hem Genel Veri Koruma Tüzüğü’nün getirdiği yeni şartlara hem de var olan şartlara uyup uymadığınızı kontrol etmelisiniz. İlgili istisnaları ve sığınabileceğiniz hukuki dayanakları da unutmayıp kişisel verilerle yakın ilişkideki çalışanlarınızı bilgilendirmeniz ve kontrol etmeniz gerekiyor.


Bütün bu sayılanları ve kanunun kapsadığı istisnaları da gerektiği şekilde yerine getirebiliyorsanız üstüne bunu teknolojik ve idari değişikliklerle de desteklemeye başlamanız gerekiyor.


4.“Avrupa hayal mi oldu?”


Avrupa hayal olmaz. Sadece yukarıda sayılanları kendi başınıza yapıp, uyumluluğunuzu tamamlayıp, ilgili kişilerin unutulma hakkını, veri taşınabilirliği hakkını ve 16 yaşından küçüklere ilişkin yeni yükümlülükleri unutmadan ayrıca Veri Koruması Görevlisi atama zorunluluğu kapsamında olup olmadığınızı da değerlendirdikten sonra ayrıca ihlallerin bildirilmesindeki yeni yükümlülüklerinizi de bilmeniz gerekiyor. Çok zor olmasa gerek.


5.“Hepsini yaptım!”


Genel Veri Koruma Tüzüğü’nün alan kapsamında olup, yükümlülüklerine uymamanız halinde 20.000.000 Euro’ya kadar idari para cezalarına veya kuruluşun mensubu olduğu bir topluluk söz konusuysa önceki mali yılın dünya genelindeki toplam cirosunun %4’üne kadar (hangisi daha yüksekse) para cezalarıyla karşı karşıya kalacaktınız, hepsini yaptıysanız bu cezadan kurtulmuş bulunuyorsunuz. Kurtulmuş olmanızsa hep gelişen ve genişleyen kuruluşunuzun farkında olmadan bu tür verileri işlemeye başlamayacağı anlamına gelmeyecektir, unutmayın. Size, ilgili kişisel verilerin Avrupa’ya ya da Avrupa’dan aktarılması bakımından uygunluğunuzun Avrupa Komisyon’un onayına tabii olduğunu hatırlatır, hala uyumluluk sürecinizi başlatmadıysanız çalışmaya başlamanızı tavsiye ederiz.

116 görüntüleme