General Data Protection Regulation – Genel Veri Koruma Yönetmeliği (GDPR) Nisan 2016’da AB Parlamentosu tarafından onaylandı ve 25 Mayıs 2018 tarihinden itibaren yürürlüğe girecek ve dünyanın herhangi bir yerindeki Avrupa Birliği’nde yaşayan kişilerin verilerini depolayan veya işleyen herhangi bir şirkete uygulanacak. Uyumsuz olan şirketler, daha yüksek olan (yani 20 milyon Euro’ya kadar) veya yıllık küresel cironun % 4’üne varan ağır para cezalarıyla karşı karşıya kalacaktır. Bu mevzuatın amacı, AB vatandaşları için veri gizliliğini korumak ve Avrupa çapında tutarlı veri gizliliği yasaları oluşturmaktır. Şirket, yürürlükte olan GDPR’ye öncülük eden the Data Protection Act -Veri Koruma Yasası (DPA) ile uyumluysa, muhtemelen yönetmeliğe zaten uygundur.
Bir çok şirket verilerimizi kendi işlerinin takibi için toplamaktadır. Başta telefon şirketleri, alışveriş mağaza ve Web siteleri TC kimlik numaramıza kadar verilerimize sahipler. GDPR, Avrupa birliği kapsamında bu verilerin korunmasına ilişkin yönetmeliktir.
GDPR’a göre kişisel veri nedir?
- İsminiz, adresiniz, telefon numaranız, sosyal güvenlik numaranız gibi bilgiler.
- Fiziksel görünüşünüze dair bilgiler. Saç, göz ve ten rengi gib.
- Eğitim ve çalışma geçmişi hakkındaki bilgiler. Okuduğunuz okullar, maaşınız, eğitim durumunuz, vergi bilgileriniz ve kimlik bilgileriniz.
- Arama geçmişiniz, özel mesajlarınız veya konum bilgileriniz gibi hassas verileriniz.
GDPR ile Ne Sağlanacak?
- Bilgilendirilme hakkı: Eğer bir şirket verilerinizi topluyorsa, net bir şekilde hangi verilerinizi toplandığını bu verileri hangi amaçla kullanacağını, ne süre ve hangi koşullarda saklayacağını, paylaşılacaksa bilgilerin hangi üçüncü parti taraflarla paylaşılacağını bildirmelidir. Bu bilgiler toplanıyorsa, gerekli şartlar görülebilir bir sayfada ve kullanıcıların anlayabileceği yalın dilde olmalıdır.
- Erişim hakkı: Bir kişi, şirket veya organizasyonun topladığı kişisel verilerin neler olduğunu görmek istiyorsa bu veriler kendisine bir ay içinde sunulabilmelidir.
- Düzeltme hakkı: Bir kişi, şirketin elindeki verilerin geçersiz olduğunu beyan ediyorsa bu verilerin şirket tarafından düzeltilmesini talep edebilir. Şirketler ve organizasyonlar bu isteği bir ay içinde uygulamalılar.
- Silinme hakkı: Bir kişi, şirketin elinde tuttuğu verilerin bazı şartlar altında silinmesini talep edebilir. Örneğin verilerinizin artık kullanılmamasını istiyorsanız veya ihtiyaç duyulmadığını düşünüyorsanız verilerinizin silinmesini talep edebilirsiniz.
- İşlem sınırlama hakkı: Eğer organizasyon ilgili kişiye ait verileri silemiyorsa kişi verilerinin kullanım hakkını sınırlayabilir.
- Veri taşınabilirliği hakkı: Kullanıcılar, kişisel verilerini bir servisten başka bir serviste kullanmak için alabilir.
- Objektif gerekçeler: Veriler hangi amaçla kullanılıyor olursa olsun, verilerin ne amaçla kullanıldığı bildirilmelidir. Eğer yasal nedenler veya toplumun faydası için toplanıyorsa bu durumda yasal nedeler belirtilmelidir.
- Otomatikleştirilmiş karar vermeye özne olmama hakkı: GDPR kapsamında bireylerin kendilerini ve verilerini etkileyen otomatik kararlar konusunda bir itirazda bulunabilmeleri veya açıklama yapabilmeleri için güvenlik önlemleri koyulmaktadır.
GDPR kimleri etkiliyor?
GDPR, şirketlerin veriyi toplama, paylaşma ve kullanma yöntemlerini de kapsamak üzere her türlü kişisel verinin kullanımını düzenlemektedir. Eğer bir şirket Avrupa Birliği’nde yaşayan bir bireyle ilgili kişisel veriyi işlerse (kişinin AB vatandaşı olması gerekmez), yasa işletmenin nerede kurulu olduğuna bakılmaksızın geçerli olacaktır.
Dijital reklamcılıkla ilintili tüm şirketler – reklamverenler, ajanslar, reklam networkleri, veri/teknoloji şirketleri ya da yayıncılar yasanın kapsamındadır.
Ayrıca GDPR çocukların kişisel bilgileri için de özel bir koruma sağlamaktadır. Eğer bir şirket 16 yaşın altındaki bir çocuğun bilgilerini toplayıp bu bilgileri işlemek isterse, çocuğun ailesinin ya da velisinin açık rızasını almak zorunda kalacaktır.
GDPR’ye Uyum Sağlamak İçin Şirketler Ne Yapacak?
Bilgi denetimi
Şirket, toplanan ve saklanan kişisel verileri, nereden geldiğini ve kiminle paylaşıldığını denetlemek zorunda. GDPR’nin gerekliliklerinden biri de işlem faaliyetlerini kaydetmek ve yerinde etkili politika ve prosedürlere sahip olmaktır.
Gizlilik bildirimlerini güncelleme
Büyük olasılıkla, şirket, GDPR ile uyumlu olmak için topladığı kişisel verileri nasıl kullanacağını güncellemesi gerekecektir. Ayrıca, gizlilik bildirimini kişisel verilerin işlenmesine yönelik yasal temeli açıklamak zorundadır.
Çocuk verileri
GDPR , çocuklara ait veriler için özel korumaları özetlemektedir. Bu nedenle, sistemlerin, verileri işlemeden önce yaşları doğru bir şekilde doğrulayıp doğrulamadığını ve ebeveynlerin veya vasi onayının alınması gerekir.
GDPR ile birlikte kişisel veri tanımı yeniden yapıldı. Artık, en ufak bir veri dahi doğrudan birine aitse, bu veri artık kişisel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade ediliyor. Bununla beraber veri toplama işi ile ve Big Data uygulamaları ile uğraşanların da bu konularda büyük bir zorluk çekecekler gibi görünüyor.
Bir yorum bırakınız...