GDPR’nin Ortaya Çıkışı 1995 Direktifi’nden 2018 Uygulamasına Kapsamlı Rehber
Genel Veri Koruma Tüzüğü (GDPR), Avrupa Birliği’nde (AB) yaşayan bireylerin kişisel verilerinin toplanması, kullanılması ve korunması için tek çerçeve oluşturan bir düzenlemedir. Amaç; kişisel verilerin korunmasında daha uyumlu, etkin ve hak temelli bir yaklaşım sunmak ve AB içinde dijital ekonominin “tek pazar” stratejisini destekleyecek şekilde öngörülebilir kurallar yaratmaktır.
AB’nin 1995’te kabul ettiği Veri Koruma Direktifi (Data Protection Directive) uzun süre temel referans olsa da; dijitalleşme, sınır ötesi veri akışları, platform ekonomisi ve yüksek profilli davalar/olaylar, mevcut yapının yetersizliklerini görünür kıldı. Bu nedenle GDPR, Avrupa Parlamentosu tarafından 2016’da kabul edildi, 2016’da yayımlandı ve 25 Mayıs 2018 itibarıyla uygulanmaya başladı.
Neden çıktı? 1995 Direktifi, modern platformlar ve sınır ötesi veri akışlarına karşı yetersiz kaldı.
Ne getirdi? Tek kural seti, güçlü haklar, hesap verebilirlik, privacy by design, 72 saat ihlal bildirimi.
En kritik başlıklar: Kapsam, one-stop shop, DPO, DPIA, rıza, pseudonymisation, Madde 33–34, Madde 83 cezaları.
https://www.nesilteknoloji.com/simdiye-kadarki-en-buyuk-20-gdpr-cezasi/
1. GDPR’nin Ortaya Çıkışı ve Zaman Çizelgesi
GDPR, AB’nin 1995 tarihli Veri Koruma Direktifi’nin modern veri işleme pratikleri karşısında yetersiz kalması üzerine geliştirilen, daha bütüncül bir düzenlemedir. Dijital platformların yaygınlaşması, büyük ölçekli veri işlemeleri, sınır ötesi aktarım pratikleri ve bireylerin “hak temelli” taleplerinin güçlenmesi; tek tip ve güçlü bir çerçeve ihtiyacını artırmıştır.
1.1. GDPR’ye giden yolda öne çıkan üç olay
- Snowden ifşaları: NSA’nin büyük teknoloji şirketleriyle ilişkili geniş ölçekli gözetim iddiaları ve özel hayatın gizliliği tartışmaları.
- Schrems – Facebook hattı: Facebook’un veri koruma taahhütleri ve sınır ötesi aktarımlara ilişkin tartışmaların yargıya taşınması.
- Gonzalez – Google Spain: “Unutulma hakkı”na ilişkin mücadelenin veri koruma hukukunu dönüştüren etkisi.
1.2. Kısa zaman çizelgesi
| Yıl / Tarih | Gelişme | Pratik anlamı |
|---|---|---|
| 1995 | Veri Koruma Direktifi kabul edildi | Üye ülkelerde farklı ulusal uygulamalar oluştu |
| Nisan 2016 | GDPR Avrupa Parlamentosu tarafından kabul edildi | Tek çerçeveye geçişin temeli atıldı |
| Mayıs 2016 | AB Resmî Gazetesi’nde yayımlandı | Uyum süreci başladı |
| 25 Mayıs 2018 | Uygulanmaya başlandı | Denetimler, ihlal bildirimleri, para cezaları pratikte etkinleşti |
2. GDPR Kapsamı: AB İçi/AB Dışı Uygulama
GDPR’nin en güçlü yönlerinden biri, kapsamının yalnızca AB sınırlarıyla sınırlı olmamasıdır. Veri sorumlusu veya veri işleyen AB’de bulunuyorsa, ilgili kişi AB’deyse veya işleme faaliyetinin hedefi AB sakinleriyse GDPR devreye girebilir.
2.1. “Kişisel veri” tanımı (genel yaklaşım)
Kişisel veri; adı, adresi, fotoğrafı, e-posta adresi, banka bilgileri, sosyal ağ mesajları, tıbbi bilgiler gibi, bir gerçek kişiyle ilişkilendirilebilen her türlü bilgiyi kapsayabilir. Bu nedenle veri envanteri çıkarırken yalnızca “kimlik bilgisi” değil, dijital izler ve çevrimiçi tanımlayıcılar da dikkate alınmalıdır.
2.2. AB dışında olup AB sakinlerinin verisini işleyenler
- Ürün/hizmet sunma: AB sakinlerine yönelik hizmet sunan platformlar
- Davranış izleme: AB’deki kullanıcıların düzenli/sistematik izlenmesi (ör. profil çıkarma)
- Çapraz sınır veri akışı: AB’den alınan verinin AB dışına aktarılması ve işlenmesi
3. Tek Kural Seti & One-Stop Shop: Denetim Otoriteleri, Lead Authority ve EDPB
GDPR ile AB genelinde tek kural seti yaklaşımı benimsenir. Üye devletler, bağımsız bir Denetim Otoritesi (Supervisory Authority – SA) kurar. SA’lar, sınır ötesi işleme faaliyetlerinde birbirine destek olur ve ortak operasyonlar planlayabilir.
3.1. One-Stop Shop mantığı
Bir işletmenin AB’de birden çok kuruluşu varsa, “ana kuruluş”un bulunduğu ülkenin SA’sı çoğu durumda Lead Authority (Baş Otorite) gibi hareket ederek “tek yetkili mercii” yaklaşımını güçlendirir. Böylece şirket, farklı ülkelerde aynı konu için parçalı süreçler yerine daha koordineli bir denetime tabi olur.
3.2. EDPB (European Data Protection Board)
Avrupa Veri Koruma Kurulu (EDPB), SA’ların koordinasyonunu güçlendiren bir mekanizmadır. Working Party 29’un yerini alarak, yorum birliği ve uygulama tutarlılığı hedefler.
4. Sorumluluklar ve Yükümlülükler: Aydınlatma, Otomatik Kararlar, Privacy by Design, DPIA
GDPR’de “bildirim/aydınlatma” gereklilikleri korunur ve daha geniş bir çerçeveye taşınır. Saklama süresi, veri sorumlusu ve veri koruma görevlisinin iletişim bilgileri gibi unsurlar, şeffaflık yaklaşımının parçasıdır.
4.1. Otomatik karar verme ve profil çıkarma (Madde 22)
Bireyler, yalnızca algoritmaya dayanan ve kendilerini etkileyen otomatik karar mekanizmalarına itiraz edebilme ve kararın mantığını sorgulayabilme imkânına kavuşur. Bu başlık; kredi skorlama, risk puanlama, işe alım filtreleri, reklam hedefleme gibi alanlarda kritik hale gelir.
4.2. Mahremiyete göre tasarım ve standart gizlilik (Madde 25)
Privacy by Design & Default, veri koruma önlemlerinin ürün/hizmet yaşam döngüsüne en baştan entegre edilmesini ister. Varsayılan ayarların “yüksek gizlilik”te olması ve veri minimizasyonu mantığıyla süreçlerin tasarlanması beklenir.
4.3. DPIA – Veri Koruma Etki Değerlendirmesi (Madde 35)
İşleme faaliyetinin ilgili kişilerin hak ve özgürlükleri üzerinde yüksek risk doğurma ihtimali varsa, DPIA yapılması gerekir. Yüksek riskin devam ettiği hallerde denetim otoritesiyle ön istişare/ön onay mekanizmaları gündeme gelebilir.
5. Rıza (Consent): Geçerlilik Şartları ve Çocukların Rızası
GDPR’de rıza; açık, net ve belirli amaçlara yönelik olmalıdır. Veri sorumlusu, rızanın alındığını ispatlayabilmeli ve ilgili kişi rızasını kolayca geri çekebilmelidir.
5.1. Çocukların rızası (Madde 8)
Çocuklar için rıza mekanizması; ebeveyn/veli onayının doğrulanabilir olmasını gerektirir. Çocuklara yönelik hizmetlerde yaş doğrulama ve ebeveyn onayı süreci ayrıca önem kazanır.
6. Veri Koruma Görevlisi (DPO): Ne Zaman Zorunlu ve Ne Beklenir?
DPO, regülasyona uyumun güvencesi için birçok organizasyonda kritik roldür. Uyum görevlisi rolüne benzer yönleri olsa da, DPO’nun odak noktası veri koruma hukukunun uygulanması, denetim otoriteleriyle iletişim ve kurum içi yönetişim mekanizmalarıdır.
6.1. DPO atanmasının elzem olduğu durumlar (özet)
- Kamu otoriteleri (adli görevini ifa eden mahkemeler hariç)
- Temel faaliyetlerin, ilgili kişilerin geniş çapta düzenli ve sistematik izlenmesini gerektirmesi
- Özel kategori kişisel verilerin büyük ölçekli işlenmesi (Madde 9) veya cezai veri (Madde 10)
6.2. DPO’nun pratik zorlukları
Büyük organizasyonlarda DPO’nun etkin çalışması; kaynak, yönetişim, bağımsızlık, raporlama hattı ve iç ekip/kapasite gibi insan faktörü sorunlarını da beraberinde getirebilir. DPO’nun “mini regülatör” gibi konumlanması için rolün bağımsızlığının korunması önemlidir.
7. Pseudonymisation (Bulanıklaştırma): Şifreleme ile İlişkisi ve Ayrık Anahtar Yönetimi
GDPR, pseudonymisation’ı; verinin ek bilgi olmadan belirli bir kişiyle ilişkilendirilemeyecek şekilde dönüştürülmesi olarak ele alır. Bu kapsamda şifreleme (encryption) örnek tekniklerden biridir; ancak önemli nokta, ek bilgilerin (örneğin anahtarların) ayrı tutulması ve erişim kontrollerinin güçlü olmasıdır.
7.1. Neden önemli?
- Risk azaltımı: Veri ihlali durumunda etkiyi düşürme
- Privacy by design: Tasarım aşamasında koruma
- Operasyonel pratik: Analitik/raporlama ihtiyaçlarında kimliği maskeleme
8. Veri İhlalleri: 72 Saat Kuralı (Madde 33–34)
GDPR’de veri ihlali olduğunda veri sorumlusu; gecikme olmaksızın denetim otoritesine bildirim yapmakla yükümlüdür ve bu bildirim mümkünse 72 saat içinde gerçekleştirilmelidir (Madde 33). İhlal yüksek risk doğuruyorsa ilgili kişilerin bilgilendirilmesi gerekir (Madde 34). Veri işleyen de ihlalden haberdar olur olmaz veri sorumlusunu gecikmeden bilgilendirmelidir.
8.1. Bildirim ihtiyacını azaltan teknik korumalar
Etkilenen veri, güçlü şifreleme/pseudonymisation gibi yöntemlerle korunuyorsa ve ek bilgiler ayrı tutuluyorsa; bazı senaryolarda ilgili kişiye bildirim gerekmeyebilir. Ancak bu, somut olayın risk analizine bağlıdır.
9. Yaptırımlar ve Para Cezaları (Madde 83)
GDPR, idari yaptırımları kademeli bir yaklaşımla ele alır. Uyarı, denetim ve idari para cezaları gibi araçlar; ihlalin niteliği, kapsamı, kasıt/ihmal, etkilenen kişi sayısı ve zarar gibi kriterlerle değerlendirilir.
| Seviye | Örnek araçlar | Üst sınır yaklaşımı |
|---|---|---|
| İdari uyarı / düzeltme | Yazılı uyarı, düzeltici tedbir, süreç revizyonu | Uyumun hızlı sağlanması hedeflenir |
| Orta seviye para cezası | Denetim, yaptırım ve uyum talimatları | 10.000.000 EUR veya dünya cirosunun %2’si (hangisi büyükse) |
| Üst seviye para cezası | Ağır ihlal/uygunsuzluk hallerinde yüksek yaptırım | 20.000.000 EUR veya dünya cirosunun %4’ü (hangisi büyükse) |
https://www.nesilteknoloji.com/simdiye-kadarki-en-buyuk-20-gdpr-cezasi/
10. Silinme Hakkı (Madde 17) ve Veri Taşınabilirliği (Madde 20)
GDPR, birey haklarını genişleten güçlü bir çerçeve sunar. Bunlar arasında en çok öne çıkanlar; silinme hakkı (right to erasure) ve veri taşınabilirliği (data portability) haklarıdır.
10.1. Silinme hakkı (Madde 17)
İlgili kişi, belirli gerekçeler oluştuğunda kişisel verilerinin silinmesini talep edebilir. Bu talebin değerlendirilmesinde; işleme şartları, hukuki yükümlülükler, meşru menfaat dengesi ve saklama süreleri gibi faktörler önem taşır.
10.2. Veri taşınabilirliği (Madde 20)
İlgili kişi; verisini yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta almayı ve (uygunsa) başka bir veri sorumlusuna aktarmayı talep edebilir. Bu hak, platformlar arası geçiş ve kullanıcı kontrolünü güçlendiren önemli bir araçtır.
11. Sık Sorulan Sorular
GDPR yalnızca AB’deki şirketleri mi bağlar?
Hayır. AB’de yerleşik olmasanız bile AB sakinlerine ürün/hizmet sunuyor veya onları izliyorsanız kapsam gündeme gelebilir. Bu nedenle kapsam analizi “coğrafi lokasyon” kadar “hedef kitle”ye de odaklanmalıdır.
72 saat içinde bildirim yapamazsam ne olur?
GDPR yaklaşımında gecikme olmaksızın bildirim esastır. Gecikmenin gerekçesi ve olayın risk değerlendirmesi kritik hale gelir. Bu nedenle olay müdahale planı ve iç eskalasyon zinciri, 72 saat kuralına uyum için belirleyicidir.
Şifreleme/pseudonymisation bildirim yükümlülüğünü tamamen kaldırır mı?
Her durumda değil. Güçlü teknik önlemler risk seviyesini düşürebilir ve bazı senaryolarda ilgili kişiye bildirim ihtiyacını azaltabilir. Ancak nihai karar, ihlalin somut riskine ve verinin yeniden ilişkilendirilebilirliğine göre verilir.
Privacy by Design pratikte ne demek?
Ürün/hizmet tasarımında veri minimizasyonu, varsayılan gizlilik ayarları, erişim kontrolü, loglama, saklama süresi, maskeleme/şifreleme gibi önlemlerin “sonradan yamalanması” yerine en baştan mimariye gömülmesi demektir.

