GDPR Nedir? Genel Veri Koruma Tüzüğü, Uyum Adımları ve KVKK ile Farkları
General Data Protection Regulation (GDPR) – Türkçesiyle Genel Veri Koruma Tüzüğü, Nisan 2016’da AB Parlamentosu tarafından onaylandı ve 25 Mayıs 2018 tarihinde yürürlüğe girdi. Hükmi kişilerin verilerini depolayan veya işleyen her türlü firmaya uygulanır ve uyulmadığı takdirde yüksek tutarlı idari para cezaları öngörür.
Bugün birden fazla şirket, telefon numaramız, kimlik numaramız, adresimiz gibi pek çok kişisel veriye sahip. GDPR’nin temel amacı; bu verilerin gizliliğini, bütünlüğünü ve güvenliğini korumak ve bireylerin verileri üzerinde daha fazla kontrol sahibi olmasını sağlamaktır.
GDPR, AB’de yaşayan bireylerin kişisel verilerini işleyen tüm kuruluşlara yönelik geniş kapsamlı bir veri koruma rejimidir. Yalnızca büyük şirketleri değil, bir web sitesi üzerinden IP adresi, çerez veya e-posta toplayan küçük işletmeleri de etkiler.
Şeffaflık, hesap verebilirlik ve kullanıcı rızası GDPR’nin temel taşlarıdır. Gizlilik politikanız, şartlar ve koşullarınız, formlarınız ve çerez kullanımınız GDPR prensiplerine uygun değilse, ciddi uyum riskleriniz var demektir.
1. Genel Veri Koruma Tüzüğü (GDPR) Nedir?
Genel Veri Koruma Yönetmeliği (GDPR), Nisan 2016’da AB Parlamentosu tarafından onaylanan ve 25 Mayıs 2018’de yürürlüğe giren kapsamlı bir veri koruma düzenlemesidir. AB içinde yer alan veya AB’de yaşayan kişilere mal ve hizmet sunan; onların kişisel verilerini depolayan veya işleyen tüm firmalara uygulanır.
Yönetmeliğe uymayan şirketler, yüksek tutarlı idari para cezaları ile karşılaşabilir. Bugün pek çok şirket; telefon numaramız, kimlik numaramız, adresimiz, IP bilgilerimiz, sosyal medya aktivitelerimiz gibi son derece geniş bir veri havuzuna sahip. GDPR’nin amacı; bu verilerin:
- Gizli tutulmasını,
- Meşru ve şeffaf biçimde işlenmesini,
- Gereğinden fazla ve gereğinden uzun süre saklanmamasını
güvence altına almaktır.
2. GDPR ile Ne Sağlanmak İstenmiştir?
GDPR, şirketlerin kişisel verileri toplarken ve işlerken tam bir şeffaflık sağlamasını hedefler. Bir şirket verilerinizi alıyorsa:
- Verileri hangi maksatla kullandığını,
- Hangi verileri ne kadar süreyle ve nasıl saklayacağını,
- Veriler paylaşılacaksa, kimlerle ve hangi amaçlarla paylaşılacağını
size açıkça bildirmek zorundadır.
Örneğin; verilerinizin artık kullanılmamasını istiyorsanız veya tutulmasına ihtiyaç kalmadığını düşünüyorsanız, silinmesini talep edebilirsiniz. Veriler nasıl ve ne amaçla kullanılıyor olursa olsun, bu durum size şeffaf bir biçimde açıklanmalıdır.
Bir kurul veya kuruluş, elindeki verileri görmek isterse; genel kural olarak 1 ay içinde bu verilere erişebilme hakkına sahiptir. Kişi, şirketin elindeki veriyi yanlış veya eksik olduğunu düşünüyorsa, şirketten bu verilerin düzeltilmesini talep edebilir.
3. GDPR’a Nasıl Uyumlu Olunur?
Uyum sürecinin temelinde, gizlilik politikası, şartlar ve koşullar, etkileşim formları ve web sitesinin veri işleme pratiklerini baştan sona gözden geçirmek yer alır.
Web sitenizde yorum alanları, iletişim formları, abonelik formları gibi alanlar bulunduğunda; buralara girilen bilgiler kişisel veri olarak kabul edilir. Bu nedenle:
- Kişisel veriler yakalanmadan önce açık rıza alınmalı,
- Hangi verilerin toplandığı ve nasıl kullanılacağı gizlilik politikasında belirtilmeli,
- Şartlar ve koşullar sayfasında, ziyaretçilerin hangi hukuki çerçeveye tabi olduğu açıklanmalıdır.
Yani bir web sitesini işletiyor ve Avrupa’da yaşayan herhangi bir kişiye çevrim içi olarak erişim sağlıyorsanız; mail listeniz olmasa, ürün satmasanız, reklam vermeseniz bile GDPR’den etkilenirsiniz. Çünkü GDPR, AB’de yaşayan kişilerin kişisel verilerini toplayan her türlü iş-hizmet faaliyetiyle ilgilenir.
Avrupa Komisyonu’na göre “kişisel veri”; bir kişiye ilişkin, onun özel, profesyonel veya kamusal yaşamıyla ilgili olsun ya da olmasın, her türlü bilgiyi kapsar. Örneğin:
- Ad, soyad, ev adresi,
- Lokasyon verileri,
- Fotoğraf, e-posta adresi, banka bilgileri,
- Sosyal medyada yapılan paylaşımlar, hassas tıbbi bilgiler,
- Bilgisayarın IP adresi
birer kişisel veri olarak değerlendirilebilir.
Bir web sitesi sahibi olarak, IP adresi kaydetmek bile GDPR kurallarına uymanızı gerektirir. Çoğu içerik yönetim sistemi (CMS), varsayılan olarak IP adresi topladığından, bu sistemlere sahip web sitelerinin GDPR ile uyumlu olması gerekir.
4. Web Siteleri İçin GDPR Uyum Adımları
Uyum süreci, kuruluşunuzun resmi web sitesini ve veri akışlarını gözden geçirmekle başlar. Temel olarak şu alanlarda güncelleme yapılması gerekir:
- Şartlar ve Koşullar sayfası,
- Gizlilik Politikası,
- Yorum alanları,
- Etkileşim formları (haber bülteni, RSS, bildirim, e-posta abonelik, iletişim formu vb.),
- Analiz eklentileri ve çerezler,
- Kullanıcı bilgilerini topladığınız diğer tüm noktalar.
1. Adım: Şartlar ve Koşullar
Şartlar ve koşullar; ziyaretçilerinizi web sitenize hukuken bağlayan temel unsurlardır. Gizlilik politikası ise topladığınız verilerle ilgili detayları ele alır. GDPR’ye uyum için:
- GDPR ile ilgili bilgileri ve veri sahibi haklarını bu sayfaya eklemeli,
- Ziyaretçilerin kendi verileriyle ilgili taleplerini nasıl iletebileceğini açıklamalısınız.
2. Adım: Gizlilik Politikası
GDPR, öncelikle tüketici verileriyle ilgili olduğundan, yapmanız gereken en önemli değişiklik gizlilik politikanızda olacaktır. Gizlilik politikası yoksa, mutlaka yeni bir politika oluşturulmalıdır.
Özellikle şu bilgilerin yer alması gerekir:
- Kimsiniz? – Adınız, şirket adı, lokasyon, iletişim bilgileri vb.
- Verileri nasıl topluyorsunuz ve hukuki sebep nedir? – IP adresi, ad, e-posta, çerezler gibi hangi verileri hangi hukuki dayanakla topladığınız.
- Verileri neden topluyorsunuz? – Amaç ve kapsam.
- Veriler ne kadar süre korunuyor? – Saklama süreleri.
- Veriler nasıl ve kimlerle paylaşılır? – Örneğin e-posta servis sağlayıcıları, analiz sağlayıcıları gibi üçüncü taraflar.
- Veri sahibi verilerini nasıl indirebilir veya erişebilir?
- Veriler nasıl silinir? – Başvuru kanalları ve süreç.
- Veri Koruma Görevlisinin iletişim bilgileri (varsa).
3. Adım: Yorum Alanları
Web sitenizde yorum alanı varsa; yorumlar sitenizde saklandığından ve kişisel veri sayıldığından, yorum bırakmadan önce açık rıza almanız gerekir. Rıza metni ve onay kutusu bu alanlarda görünür olmalıdır.
4. Adım: Etkileşim Formları
Kullanıcının bilgi girdiği her tür iletişim formu, abonelik formu veya diğer etkileşim alanları; hangi verilerin yakalandığı ve nasıl kullanılacağı hakkında bilgilendirme içermelidir. Ayrıca:
- Kullanıcının bu verilerin kullanılmasına izin verdiğini gösteren bir onay kutusu,
- İstenirse bu iznin nasıl geri çekilebileceğine dair bilgi
eklenmelidir.
5. Adım: Analiz Eklentileri
Web sitenizde kullandığınız tüm analiz eklentilerini (ör. Google Analytics vb.) gözden geçirip, topladıkları verileri gizlilik politikanızda belirtmeniz gerekir. Ayrıca mümkünse IP anonimleştirme gibi ek önlemler devreye alınmalıdır.
6. Adım: Bilgi Toplayan Diğer Noktalar
Kullanıcı bilgilerini toplayabilecek tüm sayfaları (içerik yükseltmeleri, özel kampanya formları vb.) gözden geçirin ve bu sayfalardaki veri işleme açıklamalarını GDPR yönergelerine uygun hale getirin.
7. Adım: Eklentiler, Temalar ve Üçüncü Taraf Hizmetler
Kullandığınız temaları, eklentileri ve üçüncü taraf hizmetleri (örn. e-posta sağlayıcılar, CRM, reklam ağları) inceleyin ve bunların GDPR uyumlu olduklarından emin olun. Bir eklenti veya tema uyumlu değilse, sitenizin de uyum riskleri artar.
5. Çocuk Verileri ve Özel Koruma
GDPR, çocuklara ait veriler için özel korumalar öngörür. Çocukların kişisel verileri işlenmeden önce:
- Yaşlarının doğrulanması,
- Ebeveyn veya yasal vasinin açık onamının alınması
gerekmektedir. Çocuklara yönelik hizmet ve platformlarda, veri işleme süreçleri bu ek koruma yükümlülüklerine göre tasarlanmalıdır.
6. GDPR Kimleri Kapsamaktadır?
GDPR, veri koruma açısından özellikle dijital reklamcılık ve çevrimiçi ekosistemde faaliyet gösteren tüm paydaşları kapsar. Örneğin:
- Reklam verenler ve ajanslar,
- Telekom ve telefon şirketleri,
- Reklam servis sağlayıcıları,
- Veri/teknoloji şirketleri,
- Yayıncılar ve içerik platformları
GDPR kapsamındadır. Kısaca; AB’de yaşayan bireylerin kişisel verilerini toplayan, saklayan veya işleyen her kuruluş, konumundan bağımsız olarak GDPR hükümlerinden etkilenir.
7. GDPR ve KVKK Arasındaki İlişki
KVKK, GDPR’nin Türkiye için hazırlanmış bir örneği olarak değerlendirilebilir. Türkiye Avrupa Birliği üyesi olmadığı için doğrudan GDPR kapsamına girmez; ancak kişisel verilerin korunması konusu son derece hassas olduğundan, Türkiye’de de benzer nitelikte düzenlemeler yapılmıştır.
Türkiye’de kişisel verilerin korunması ile ilgili çıkan temel kanun, 6698 sayılı KVKK’dır. KVKK, sistematik olarak GDPR’ye çok benzer; ancak bazı önemli farklılıklar da vardır:
- KVKK, birçok açıdan GDPR’ye göre daha sınırlı ve dar kapsamlı kalmaktadır.
- GDPR, kişisel verileri daha detaylı ve kapsamlı incelerken; KVKK ağırlıklı olarak veri sorumlularını düzenler.
- GDPR’de ihlaller karşılığında uygulanan idari para cezaları çok daha ağır ve caydırıcıdır; KVKK’da ise cezalar görece daha hafiftir.
Son yıllarda artan siber saldırılar ve veri ihlalleri, Türkiye’de de bu alandaki yaptırımların daha ağır ve caydırıcı hâle getirilmesi tartışmalarını gündeme taşımıştır.
GDPR’de yer alan bazı kurumsal mekanizmalar, KVKK’da bulunmamaktadır. Örneğin:
- Madde 20 – Veri taşınabilirliği hakkı,
- Madde 37 – Zorunlu veri koruma görevlisi (DPO),
- Madde 35 – Riskli veri işleme faaliyetleri için zorunlu veri koruma etki değerlendirmesi (DPIA)
gibi düzenlemeler 6698 sayılı KVKK’da açık bir şekilde yer almamaktadır.
8. GDPR Yaptırımları ve Cezalar
GDPR, yaptırımlar konusunda oldukça katı ve caydırıcı bir yaklaşım benimser. Ulusal hukukta, Madde 83 uyarınca:
- İlk defa kasıtsız olarak yapılan ihlaller için yazılı uyarı ve düzenli veri koruma denetimleri,
- Veri işletmecilerinin 11, 25–39, 42 ve 43. maddelerde belirtilen yükümlülüklerine uymaması hâlinde ağır para cezaları
öngörülür.
41. madde uyarınca izleme kuruluşlarının yükümlülükleri; 42 ve 43. maddeler uyarınca
belgelendirme kuruluşlarının yükümlülükleri ihlal edilirse de benzer şekilde
Ağır ihlallerde, 20 milyon Euro’ya kadar veya şirketin yıllık cirosunun %2’sine kadar idari para cezası verilebilir (hangi tutar daha yüksekse o uygulanır). Bu nedenle, GDPR uyumu yalnızca teorik bir hedef değil, iş sürekliliği ve kurumsal itibar açısından da kritik bir gerekliliktir.
9. GDPR’da Rıza İçin Koşullar
Veri işleme faaliyetinin dayanağı rıza ise, veri sorumlusunun veri sahibinin gerçekten rıza gösterdiğini ispat edebilmesi gerekir. Bu nedenle rıza:
- Açık ve net olmalı,
- Belirli bir konuya ilişkin olmalı,
- Diğer hususlardan ayrılabilir ve karışmayacak şekilde sunulmalıdır.
Veri sahibinin yazılı bir beyanda bulunması hâlinde, muvafakat talebi diğer metinlerden açıkça ayırt edilebilir olmalıdır.
Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayanarak yapılan işlemlerin yasallığını etkilemez. Ancak veri sahibine, rıza vermeden önce:
- Rızasını dilediği zaman geri çekebileceği,
- Rıza vermek kadar geri çekmenin de kolay olacağı
konusunda bilgi verilmelidir.
10. GDPR Hakkında Sık Sorulan Sorular
GDPR sadece Avrupa Birliği içindeki şirketleri mi kapsar?
Hayır. GDPR, AB’de yaşayan kişilerin kişisel verilerini işleyen herkesi etkiler. Türkiye’de bulunan bir şirket bile, AB’de yaşayan kişilere hizmet veriyor veya onların verilerini topluyorsa GDPR kapsamında değerlendirilebilir.
Küçük web siteleri de GDPR’ye uymak zorunda mı?
Evet. Bir web sitesi, yalnızca IP adresi veya çerez gibi kişisel veriler topluyorsa bile; GDPR’ye uyum yükümlülükleri doğabilir. Ölçek, yalnızca uygulanacak idari tedbirler ve risk yönetimi boyutunu etkiler; uyum zorunluluğunu ortadan kaldırmaz.
GDPR ile KVKK arasındaki en temel farklar nelerdir?
GDPR, kapsam ve detay bakımından daha geniştir; veri taşınabilirliği hakkı, zorunlu veri koruma görevlisi ve etki değerlendirmesi gibi mekanizmalar içerir. KVKK ise daha çok veri sorumluları etrafında şekillenmiş, bazı alanlarda daha sınırlı ve cezalar bakımından daha hafif bir düzenlemedir.
GDPR uyum sürecine nereden başlanmalı?
İlk adım, veri envanterinizi ve mevcut durum analizinizi çıkarmaktır. Hangi verileri topladığınızı, hangi hukuki dayanakla işlediğinizi, kimlerle paylaştığınızı ve ne kadar süre sakladığınızı belirleyin. Ardından gizlilik politikası, şartlar ve koşullar, formlar, çerez bantları ve üçüncü taraf hizmetler üzerinde gerekli güncellemeleri yapın.
