GDPR Kavramlar & Tanımlar – Kurumsal Rehber · Sürüm 1.0

GDPR Kavramlar & Tanımlar – Kurumsal Rehber · Beyaz Tema · Sürüm 1.0

GDPR Kavramlar & Tanımlar – Kurumsal Rehber

Bu rehber, Genel Veri Koruma Tüzüğü’nü (GDPR) kurumsal ekipler için anlaşılır hâle getirmek amacıyla hazırlanmış, sadeleştirilmiş bir özet niteliğindedir. Özellikle KVKK uyum süreci yürütürken GDPR kapsamı, rıza, DPO, DPIA, ihlal bildirimi ve yaptırımlar gibi ana kavramların net şekilde konumlandırılması hedeflenir.

Aşağıdaki 11 başlık; veri sorumluları, veri işleyenler, hukuk ve bilgi güvenliği ekiplerinin günlük uygulamalarında ihtiyaç duyduğu temel kavramları tek sayfada toplar.

Kavramlar & Tanımlar 11 Başlıkta GDPR

Terimler

Kurumsal ekipler için GDPR sözlüğü:

GDPR: AB vatandaşlarının kişisel verilerinin korunması için yürürlükte olan Genel Veri Koruma Tüzüğü.
DPO (Data Protection Officer): Veri koruma görevlisi; bağımsız danışmanlık ve gözetim rolü üstlenir.
DPA / SA (Supervisory Authority): Veri koruma otoritesi / denetim otoritesi.
DPIA: Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment).
Veri Sorumlusu: Kişisel verilerin işleme amaç ve araçlarını belirleyen kuruluş.
Veri İşleyen: Veri sorumlusu adına verileri işleyen gerçek/tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İçindekiler Kavramlar & Tanımlar 1) GDPR Kapsamı 2) Tekli Kural Seti & Tek Yetkili Mercii 3) Sorumluluklar & Yükümlülükler 4) Rıza 5) Veri Koruma Görevlisi (DPO) 6) Bulanıklaştırma (Pseudonymisation) 7) İhlaller & Bildirim 8) Yaptırımlar 9) Silinme Hakkı 10) Veri Taşınabilirliği 11) Mahremiyete Göre Tasarım

Not: Bu metin, kurumsal bilgilendirme amacıyla sadeleştirilmiş bir özet olup hukuki görüş niteliği taşımaz. Detay için GDPR resmî metni ve ülke veri koruma otoritesi kaynakları dikkate alınmalıdır.

GDPR GDPR Kavramlar GDPR Tanımlar KVKK & GDPR Veri Koruma

Kavramlar & Tanımlar

Aşağıdaki tanım seti, kurum içi eğitimler ve uyum projeleri için GDPR terminolojisini standartlaştırmayı hedefler. KVKK ekipleri ile GDPR ekipleri arasında ortak dil kurulması, çakışan ve farklılaşan noktaların netleşmesini kolaylaştırır.

GDPR: AB vatandaşlarının kişisel verilerinin korunması için yürürlükte olan Genel Veri Koruma Tüzüğü.
DPO (Data Protection Officer): Veri koruma görevlisi.
DPA / SA (Supervisory Authority): Veri koruma otoritesi / denetim otoritesi.
DPIA: Veri Koruma Etki Değerlendirmesi.
Veri Sorumlusu: Kişisel verilerin işleme amaç ve araçlarını belirleyen kuruluş.
Veri İşleyen: Veri sorumlusu adına verileri işleyen gerçek/tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Kurumsal not: Bu kavramların, sözleşmelerde (data processing agreement), politikalar ve prosedürlerde tutarlı kullanılması; denetimlerde ve veri koruma otoriteleriyle iletişimde önemli avantaj sağlar.

1) GDPR Kapsamı

GDPR; işleme faaliyeti AB içinde gerçekleşiyorsa veya ilgili kişi AB vatandaşı / AB’de ikamet ediyorsa uygulanır. Türkiye gibi AB dışındaki ülkelerde kurulu olsa bile; AB’de yaşayan ilgili kişilere mal/hizmet sunan veya davranışlarını izleyen kuruluşlar GDPR kapsamına girebilir.

Kişisel veri; ad-soyad, e-posta, IP adresi, meslek, ırk, cinsel yönelim gibi kişiyi belirlenebilir kılan her türlü bilgiyi kapsar. Hem objektif veriler (doğum tarihi, adres) hem de sübjektif değerlendirmeler (performans notları, görüşler) kişisel veri kabul edilebilir.

İpucu: Kapsam analizi; işlenen veri türleri, coğrafya ve hedef kitle temelli yapılmalıdır. “AB’de ofisimiz yok, bu yüzden GDPR bizi bağlamaz” yaklaşımı genellikle yanlıştır.

2) Tekli Kural Seti & Tek Yetkili Mercii

GDPR ile AB genelinde tek bir kural seti geçerlidir. Her üye ülkede bağımsız bir Supervisory Authority (SA) bulunur ve birden fazla ülkeyi kapsayan yapılarda “Lead SA” baş otorite olarak belirlenir.

Böylece çok ülkeye yayılmış kurumlar için parçalı, birbiriyle çelişen ulusal düzenlemeler yerine uyumlu ve koordineli bir veri koruma yapısı hedeflenir.

3) Sorumluluklar & Yükümlülükler

GDPR; veri sorumluları ve veri işleyenlere hesap verebilirlik esaslı bir çerçeve getirir. Başlıca yükümlülükler:

İşleme amaçları, süreleri ve hukuki dayanaklar hakkında şeffaf bilgilendirme.
Privacy by design / by default ilkelerinin süreçlere entegre edilmesi.
Düzenli denetim: Veri sorumlusu, veri işleyeni gözetler ve denetler.
Yüksek risk durumunda DPIA yapılması; gerektiğinde DPA ile ön istişare.

Uyum dokümantasyonu genellikle aşağıdaki unsurları içerir:

Envanter & kayıtlar: İşleme faaliyetleri kaydı (RoPA) ve veri envanteri.
Sözleşmeler & processor yönetimi: Veri işleyenlerle DPA sözleşmeleri.
Teknik / idari tedbirler: Şifreleme, erişim kontrolü, log yönetimi, politika setleri.
Hak yönetimi süreçleri: Erişim, düzeltme, silme, taşınabilirlik ve itiraz süreçleri.

4) Rıza

GDPR’a göre rıza; açık, spesifik, bilgilendirilmiş ve özgür iradeye dayalı olmalıdır. İstenildiğinde kolayca geri çekilebilmelidir. Çocuklara yönelik işlemlerde ebeveyn/yasal vasi onayı aranır.

Rıza; veri işlemenin tek dayanağı değildir ancak kullanıldığı durumlarda veri sorumlusu rıza aldığını ispat edebilmelidir.

Uygulama: Önceden işaretli kutular, gizlenmiş onaylar veya zorunlu tutulan rıza metinleri geçersizdir. Tercihler aktif seçim ile alınmalı; rıza geri çekme mekanizması da en az rıza verme kadar kolay olmalıdır.

5) Veri Koruma Görevlisi (DPO)

DPO (Data Protection Officer); GDPR çerçevesinde özellikle:

Kamu otoritelerinde,
Büyük ölçekli, düzenli izleme faaliyetleri olan yapılarda,
Geniş çaplı özel nitelikli veri işleyen kuruluşlarda

atanması beklenen kritik bir roldür. DPO; bağımsız danışmanlık, gözetim ve dahili denetim fonksiyonu üstlenir; doğrudan üst yönetimle ve gerektiğinde veri koruma otoritesiyle temas hâlindedir.

6) Bulanıklaştırma (Pseudonymisation)

Bulanıklaştırma; kişiyi doğrudan tanımlamayı engelleyen teknik ve idari tedbirler bütünü olarak özetlenebilir. Örneğin; ad-soyad yerine ID kullanılması, ayrı tutulmuş referans tabloları, token’laşma gibi yöntemler bu kapsama girer.

Yeterli iç politika ve erişim kontrolü ile desteklendiğinde anonimleştirmeye yaklaşır ve riskleri önemli ölçüde azaltır; ancak tam anonimleştirme ile karıştırılmamalıdır.

7) İhlaller & Bildirim

Veri sorumlusu; kişisel veri ihlalini fark ettiğinde 72 saat içinde yetkili SA’e bildirimde bulunmakla yükümlüdür. Risk düzeyine göre ilgili kişilerin bilgilendirilmesi de gerekebilir.

Veri işleyen; ihlali fark eder etmez veri sorumlusuna haber vermelidir.
İhlal bildirimi; olayın özeti, etkilenen veri türleri, öngörülen etkiler ve alınan önlemleri içermelidir.

Not: Yeterince bulanıklaştırılmış veya anonimleştirilmiş veriler söz konusu ise, bazı senaryolarda ilgili kişiye bildirim gerekmeyebilir. Ancak bu değerlendirme somut risk analizi ile yapılmalıdır.

8) Yaptırımlar

GDPR yaptırım rejimi kademeli ve risk temellidir. Temel seviyede:

Yazılı uyarılar ve periyodik denetimler,
En fazla 10M € veya global cironun %2’si (hangisi yüksekse),
Ağır ihlallerde 20M € veya global cironun %4’ü (hangisi yüksekse)

gibi yaptırımlar söz konusudur. Tüzükte %4 tavan yer alır; %20 ifadesi genellikle yazım hatası veya yanlış aktarımdır.

9) Silinme Hakkı (Right to Erasure)

Silinme hakkı; belirli koşullar altında ilgili kişinin verilerinin silinmesini talep etme hakkıdır. Örneğin işleme amacı ortadan kalktığında, rıza geri çekildiğinde veya veri hukuka aykırı işlendiğinde bu hak gündeme gelir.

Özellikle arama motoru sonuçları ve sistem kayıtları için süreçlerin ayrıştırılması, uygulamada sık karşılaşılan bir ihtiyaçtır. Silme, yok etme ve anonimleştirme kavramları, politikalarla netleştirilmelidir.

10) Veri Taşınabilirliği (Data Portability)

Veri taşınabilirliği; ilgili kişinin verilerini yapılandırılmış, yaygın kullanılan ve makinece okunabilir formatta alma ve teknik olarak mümkünse başka bir veri sorumlusuna aktarma hakkına sahip olmasıdır.

Bu hak; özellikle finans, telekom, SaaS ve platform hizmetleri gibi alanlarda rekabet ve kullanıcı deneyimi açısından öne çıkar. Kurumların bu hakkı karşılayacak teknik ve süreçsel tasarımı önceden yapması gerekir.

11) Mahremiyete Göre Tasarım & Standart Gizlilik

Mahremiyete göre tasarım (privacy by design); ürün ve hizmet yaşam döngüsünün her aşamasında veri koruma ilkelerinin tasarımın doğal bir parçası olması gerektiğini ifade eder. Standart gizlilik (privacy by default) yaklaşımı ise varsayılan ayarların gizlilik dostu olacak şekilde kurgulanmasını zorunlu kılar.

🧩 Tasarıma gömülü: İlk gereksinimlerden itibaren veri minimizasyonu, amaç sınırlaması, erişim kontrolü ve şifreleme gibi kontrollerin planlanması.

🔒 Varsayılan gizlilik: Opt-in yaklaşımı, kapalı varsayılanlar, sadece gerekli olan kadar veri toplanması; gereksiz profil çıkarımından kaçınma.

♻️ Süreklilik: Düzenli denetim, kayıt tutma, log analizi ve periyodik gözden geçirme süreçleriyle sürekli iyileştirme.

Kaynaklar & Bağlantılar

GDPR resmî sayfası
KVKK Kurum sayfası
KVKK / GDPR uyum sürecini başlat

Kurumsal iletişim, aydınlatma metinleri ve çerez politikalarının; GDPR & KVKK gereklilikleriyle entegre ve tutarlı olarak yönetilmesi önerilir.

Category: Uyum Programları · GDPR Danışmanlığı
By Aydın Uygar
Tags:

Blog GDPR GDPR Kavramlar GDPR Danışmanlığı KVKK & GDPR Uyum Veri Sorumlusu DPO DPIA