Genel Veri Koruma Yönetmeliği (GDPR) Nedir?

Kişisel verilerin korunması ve kullanımına dair daha önce farklı yazılar içerisinde çeşitli notlar düşmüştüm. Yeniden Pazarlama ve Reklam Kişiselleştirme başlıklı yazıda hedef kitle, yeniden pazarlama özelliğinin yönetimine, kullanılabilecek veri kapsamlarına ve kullanıcı rızasına değinmiştim. İlgili yazının devamı olarak aslında Consent konusuna değinecektim. Fakat, öncesinde bu sürecin önemli bir parçası olan General Data Protection Regulation'dan bahsetmek daha uygun olacaktır.

General Data Protection Regulation (GDPR)

General Data Protection Regulation

General Data Protection Regulation (General Data Protection Regulation">GDPR), Avrupa Birliği (EU) kapsamında, Avrupa Birliği vatandaşlarının kişisel verilerinin korunmasına yönelik olarak düzenlenmiş, doğrudan bağlayıcı ve uygulanabilir bir yönetmeliktir1. 25 Mayıs 2018 tarihinden2 itibaren Avrupa Birliği'ne üye tüm ülkelerde geçerli hale gelen General Data Protection Regulation">GDPR, AB üyesi ülkelerde yaşayan kişiler, AB üyesi olmayan ancak AB vatandaşı olarak bu ülkelerde ikamet eden kişiler veya AB üyesi ülkeler ile ticari ilişkisi bulunan kurum ve kuruluşlar bu kapsam içerisine girmektedirler. Dolayısıyla, edinilen kişisel verilerin yönetmelikte belirtilen kurallara uygun olarak kişi onayı ile edinilmesi ve edinilen kişisel verilerin yine belirtilen şekilde işlenmesi ve saklanması gerekmektedir. General Data Protection Regulation">GDPR geçmiş verileri de kapsamaktadır, ilgili veriler 25 Mayıs 2018 tarihinden önce toplanmış olsalar dahi yönetmelikte belirtilen kurallar çerçevesinde ele alınmalıdır3.

Yönetmelik gereği, son kullanıcılar, müşteriler ve çalışanlar dahil olmak üzere Avrupa Birliği'nde ikamet eden kişilere pazarlama yapıyorsanız veya bu kişilerin bilgilerini işliyorsanız, iş yapmaya devam edebilmek için General Data Protection Regulation">GDPR yönetmeliğine uymanız ve kişilerden izin almanız gerekir. İzin alınmış durumunda ise edinilen kişisel veri(ler) yönetmelikte belirtildiği şekilde saklanmalıdır. Kişi, kendisini tanımlayan verilerin işlenmesine yönelik olarak verdiği izni istediği zaman iptal etme hakkına sahiptir. General Data Protection Regulation">GDPR maddelerine uymayan kurum ve kuruluşlar veriler ile ilgili hukuki bir durum söz konusu olduğunda ciddi ceza ve yaptırımlarla karşışabilmektedirler3.

Kişisel Veri Tanımı

Yönetmelik kapsamında, şunlar kişisel veri tanımı (data subject) kapsamındadır;

  • Kimlik bilgiler; isim, kimlik numarası
  • Banka hesap bilgileri
  • Adres (ev, iş, vb.), konum (geolocation)
  • IP adresi, cookie bilgileri vb. internet verileri
  • Fiziksel görünüme ait tanımlayıcı ve biometrik veriler
  • Irk, köken bilgileri
  • Siyasi görüş, ideoloji
  • Tıbbi veriler (sağlık durumu, kullanılan ilaçlar, vb.)

Bu maddeler göz önünde bulundurulduğunda; izleme (tracking) araçları, kullanıcı profiline sahip sosyal medya ve forum siteleri, adres ve kimlik kaydı gibi bilgileri tutan e-ticaret siteleri, yorum / geri bildirim özelliği sunan içerik siteleri (WordPress, vb.) ve profil uygulamaları (disqus, gravatar, vb.), yeniden hedefleme için çeşitli etiketler kullanan bir web sitesi veya uygulamalar, e-bülten servisleri General Data Protection Regulation">GDPR kapsamına girmektedir.

Önemli Hususlar

General Data Protection Regulation">GDPR, kişisel verilerin kaydedilmesi ve/veya kullanılması durumunda, veri toplama ve işlenme amacını, yasal dayanaklarını, verilerin ne kadar süreyle sakladığını ve herhangi bir üçüncü tarafla veya European Economic Area (AEA) dışında bir yerde paylaşılıp paylaşılmadığını açıkça belirtilmesini gerektirir. Kişisel veri sahipleri, istediği zaman kendisine ait verilerin bir kopyasını isteme ve/veya silinmesi talep etme hakkına sahiptir. Eğer bir işletme, kişisel verilerin gizliliğini olumsuz yönde etkileyecek bir ihlal ile karşılaştırsa (örneğin bilgilerin çalınması gibi) ilgili kişilieri 72 saat içerisinde bilgilendirmelidir1 2 3.

  • Avrupa Birliği'ne üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu her ne olursa olsun General Data Protection Regulation">GDPR kapsamına girer.
  • General Data Protection Regulation">GDPR yönetmeliğine uymayan kurum veya kuruluşlar 20 milyon euro'ya kadar ya da kurum veya kuruluşun yıllık gelirinin %4'üne kadar (hangisi büyükse) para cezası ödeme durumunda kalabilirler.
  • Kişisel veriler toplanırken verinin saklanma ve işlenme amacı kolay anlaşılır bir şekilde belirtilmeli ve izin onayının iptali de yine kolay bir şekilde erişilebilir şekilde sunulmalıdır.
  • İhlal bildirimleri zorunludur.
  • Kişilerin hangi verilerinin toplandığı, toplanan bu verilen hangi amaçla kullanılacağı ve ne kadar süreyle saklanacağı açık bir şekilde belirtilmelidir.

Verilerin İşlenmesi

Kişisel veriler en az bir yasal dayanak kapsamına girmelidir, aksi durumda bu veriler işlenemezler. Yönetmeliğin 6. maddesine göre verilerin işlenebilmesi için geçerli olan yasal dayanaklar şunlardır1:

a. İlgili kişi, kişisel verilerin işlenmesine izin vermişse; b. İlgili kişiyle yapılan sözleşmeden doğan yükümlülükler yerine getiriliyorsa; c. Veri işletmecisinin yasal zorunluluklara uyması amacıyla; d. İlgili kişinin ya da başka bir vatandaşın hayati çıkarları söz konusuysa; e. Kamu yararına veya resmi makamda bir görev yerine getiriliyorsa; f. Bir veri işletmecisinin ya da üçüncü bir tarafın Avrupa Birliği Temel Haklar Bildirgesi tarafından geçersiz kılınmayan meşru menfaatleri amacıyla.

General Data Protection Regulation">GDPR çerçevesinde ziyaretçileriniz / kullanıcılarınız / müşterileriniz, kişisel verileriyle ilgili 8 hakka sahiptir4. Bu haklarla ilgili herhangi bir talepte bulunulması durumunda, ilgili talebe 30 gün içinde cevap vermelisiniz.

Bilgilendirme
Kişiler, hangi kişisel verilerinin toplandığı ve toplanan bu verilerin hangi amaçla kullanıldığını bilme hakkına sahiptir. Bu nedenle, kişisel verilerin neden toplandığı, nasıl ve ne kadar süre ile saklanacağı, bu verilere başka kimlerin erişebileceği ile ilgili net bilgi verilmesi gerekmektedir.
Erişim
Kişiler, talep üzerine veri denetleyicisi tarafından kaydedilen verilere erişim hakkına sahiptir. Veri denetleyicisi, verilerini tutan varlıktır.
Düzeltme
Kişiler, yanlış veya eksik verilerini güncelleme veya düzeltme hakkına sahiptir. Veri denetleyicisi verilerin düzeltilmesi yönünde bir talep alırsa, verilerin doğruluğunu kontrol etmek ve gerekirse güncel hale getirmek için gerekli adımları atmakla yükümlüdür.
Silme (veya Unutulma)
Kişiler kişisel verilerinin tamamen silinmesi ve sonraki süreçte kendileri ile ilgili daha fazla veri toplanmasının önlenmesini talep etme hakkına sahiptir. Veri denetleyicisi bu talep doğrultusunda kişinin verilerinin kaydedilmesi yönünde verdiği onayları etkili bir şekilde geri çeker.
Kısıtlama
Belirli koşullar altında, kişiler kişisel verilerinin kullanımı ve işlenmesi sürecine kısıtlama getirebilirler. Bu durumda, kişisel veriler kaydedilebilir, ancak herhangi bir amaçla kullanılamaz.
Taşınabilirlik
Kişiler, kişisel verilerini makine ve/veya insan tarafından okunabilir biçimlerde isteme hakkına sahiptir. Kişiler edindikleri bu verileri, uygun gördükleri herhangi bir şekilde kullanabilir ve/veya başka bir veri denetleyicisine aktarabilirler.
Nesne
Kişiler kişisel çıkarlarını içeren kişisel verilerin kullanımına itiraz etme hakkına sahiptir. Ayrıca, verilerin belirli bir şekilde kullanımına itiraz edebilirler.Veri denetleyicileri, kişisel verilerin nasıl işleneceğinin farkında olduklarından emin olmalıdır.
Otomatik karar almaya tabi olmamak
Kişiler, olumsuz bir yasal etki veya benzer bir şey oluşacağı durumlarda, otomatik karar verme sürecinden vazgeçme hakkına sahiptir.

Yapılması Gerekenler

Kullanıcı hareketlerinin izlenmesi ve kişisel verilerin kullanımına yönelik ayrıca yazılar yayınlayacağım. Bu yazılar bağlamında izlenmesi gereken şu adımları tekrar hatırlatacağım;

  • Ziyaretçilerinizi kendi kimliğiniz, topladığınız verilerin içeriği, bu verilerin toplanması amacı, verilerin nasıl ve/veya nerede saklanacağı ve kimlerle paylaşılacağı hakkında bilgilendirin.
  • Herhangi bir veri toplanırken ziyaretçilerinizin açık ve net onayını alın.
  • Ziyaretçilerinizin, topladığınız verilere erişimine ve bu verileri indirmesine izin verin.
  • Ziyaretçilerinizin istekleri doğrultusunda verilerini silmesine veya silinmesini istemesine izin verin. Ancak, eğer yasal bir zorunluluk var ise (örneğin, fatura verileri gibi) verilerin silinmesini reddedebilirsiniz.
  • Ziyaretçilerinizi herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirin.

Genel hatları ile General Data Protection Regulation">GDPR ile ilgili notları bu şekilde özetleyebiliriz. Daha detaylı bir incelem için European CouncilCouncil of the European Union tarafından paylaşılan The general data protection regulation içeriğine göz atabilirsiniz2 5. Ayrıca, Netsparker tarafından paylaşılan General Data Protection Regulation">GDPR Sürecini Nasıl Yönetmeliyiz? başlıklı yazıyı da incelemenizi öneririm.