Veri Koruma Danışmanlığı

GDPR Uyumluluk ve Danışmanlık Hizmeti

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), AB vatandaşlarının kişisel verilerini işleyen tüm kuruluşları kapsar. Nesil Teknoloji olarak, IAPP CIPP/E sertifikalı uzman kadromuz ve ISO 27001/27701 belgeli altyapımızla uyumluluk sürecinizi yönetiyoruz.

€20MMaksimum Ceza
%4Ciro Oranı
72 Saatİhlal Bildirimi
99GDPR Maddesi
Ücretsiz Ön Değerlendirme Hizmet Kapsamı

GDPR Nedir?

GDPR uyumluluk sürecini anlatan rehber videomuzu izleyin.

Neden Nesil Teknoloji?

Uluslararası Sertifikalar ve Yetkinlikler

IAPP akreditasyonlu uzman kadromuz ve ISO belgeli altyapımızla GDPR uyumluluk süreçlerinizde güvenilir partneriniziz.

IAPP Sertifikası

CIPP/E Sertifikalı Uzmanlar

Ekibimiz, International Association of Privacy Professionals (IAPP) tarafından verilen Certified Information Privacy Professional/Europe (CIPP/E) sertifikasına sahiptir. Bu sertifika, Avrupa veri koruma hukuku ve GDPR konusundaki uzmanlığımızın uluslararası geçerliliğe sahip kanıtıdır.

ISO Belgesi

ISO/IEC 27001

Bilgi Güvenliği Yönetim Sistemi standardı, Nesil Teknoloji'nin bilgi güvenliği politikalarının temelini oluşturmaktadır. Bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı hedefleyen bu sistem, güvenlik risklerinin etkin yönetimini sağlar.

ISO Belgesi

ISO/IEC 27701

Gizlilik Bilgi Yönetim Sistemi standardı doğrultusunda yapılandırılan süreçlerimiz, KVKK ve GDPR gerekliliklerine tam uyum sağladığımızı ve kişisel veri işleme süreçlerinde şeffaflık, hesap verebilirlik ve güveni esas aldığımızı göstermektedir.

Temel Bilgiler

GDPR Nedir? Kapsamı ve Önemi

Avrupa Birliği Genel Veri Koruma Yönetmeliği, kişisel verilerin korunmasına ilişkin dünyanın en kapsamlı yasal düzenlemesidir.

GDPR Nedir?

GDPR (General Data Protection Regulation), 25 Mayıs 2018'de yürürlüğe giren Avrupa Birliği'nin kişisel veri koruma yönetmeliğidir. 99 maddeden oluşur ve AB vatandaşlarının verilerini işleyen tüm şirketleri kapsar — şirketin merkezi nerede olursa olsun. İhlal durumunda 20 milyon Euro veya global cironun %4'üne kadar ceza uygulanabilir.

GDPR'ın en önemli özelliği ekstrateritoryel etkisidir (Madde 3). Bu, yönetmeliğin sadece AB sınırları içindeki şirketleri değil, AB vatandaşlarına mal veya hizmet sunan ya da onların davranışlarını izleyen dünyadaki tüm şirketleri kapsaması anlamına gelir. Türkiye'den Avrupa'ya e-ticaret yapan bir firma da GDPR'a tabidir.

Yönetmelik, veri işleme için altı hukuki dayanak tanımlar (Madde 6): açık rıza, sözleşmenin ifası, yasal yükümlülük, hayati menfaat, kamu görevi ve meşru menfaat. Her veri işleme faaliyeti bu dayanaklardan en az birine dayanmalıdır.

GDPR ayrıca "Privacy by Design" (Tasarımla Gizlilik) ve "Privacy by Default" (Varsayılan Gizlilik) ilkelerini zorunlu kılar (Madde 25). Veri ihlali durumunda 72 saat içinde yetkili otoriteye bildirim yapılması zorunludur (Madde 33).

GDPR'ın 7 Temel İlkesi (Madde 5)

  • Hukuka uygunluk: Şeffaf işleme
  • Amaç sınırlaması: Belirli amaçlar
  • Veri minimizasyonu: Gerekli minimum
  • Doğruluk: Güncel veriler
  • Saklama süresi: Gerekli süre kadar
  • Güvenlik: Uygun önlemler
  • Hesap verebilirlik: Kanıtlanabilirlik
Hizmet Kapsamı

GDPR Uyumluluk Hizmetlerimiz

GDPR uyumluluğunu sürdürülebilir bir yönetişim modeli olarak ele alıyoruz. 360° uyumluluk programı sunuyoruz.

GAP Analizi

Mevcut veri işleme faaliyetlerinizi GDPR gereksinimleriyle karşılaştırır, eksiklikleri belirler ve yol haritası sunarız.

  • Madde bazlı değerlendirme
  • Risk önceliklendirme
  • Detaylı rapor

Veri Envanteri (RoPA)

Madde 30 kapsamında zorunlu olan veri işleme faaliyetleri kaydını oluşturur ve güncel tutarız.

  • Veri kategorileri
  • Transfer mekanizmaları
  • Saklama süreleri

DPIA Değerlendirmesi

Yüksek riskli veri işleme faaliyetleri için zorunlu etki değerlendirmesi yapar, risk azaltma önerileri sunarız.

  • Risk analizi
  • Orantılılık değerlendirmesi
  • Azaltma önerileri

Politika ve Prosedür

GDPR uyumlu gizlilik politikası, çerez politikası ve ihlal müdahale prosedürü hazırlarız.

  • Gizlilik politikası
  • İhlal prosedürü
  • Talep prosedürü

DPO Hizmeti

CIPP/E sertifikalı dış kaynak DPO ataması veya mevcut DPO'nuza danışmanlık desteği sağlarız.

  • Sertifikalı DPO
  • Otorite iletişimi
  • Periyodik raporlama

Teknik Önlemler

Şifreleme, pseudonymization, erişim kontrolü ve consent management implementasyonu yaparız.

  • Şifreleme
  • Erişim kontrolü
  • Consent management

Uluslararası Transfer

Üçüncü ülkelere veri transferi için SCC, BCR hazırlığı ve transfer etki değerlendirmesi yaparız.

  • Transfer değerlendirmesi
  • SCC/BCR hazırlığı
  • Ek güvenlik önlemleri

Eğitim Programı

Tüm çalışanlar için GDPR farkındalık eğitimi ve departman bazlı özel eğitimler düzenleriz.

  • Farkındalık eğitimi
  • Departman eğitimleri
  • Yıllık yenileme

Sürekli İzleme

Periyodik denetimler, politika güncellemeleri ve mevzuat değişiklik takibi ile sürdürülebilirlik sağlarız.

  • Yıllık denetim
  • Mevzuat takibi
  • İyileştirme önerileri
Madde 12-22

Veri Sahibi Hakları

GDPR, veri sahiplerine kapsamlı haklar tanır. Bu hakların etkin kullandırılması kritik bir uyumluluk bileşenidir.

MADDE 13-14

Bilgilendirilme

Şeffaf bilgilendirme hakkı

MADDE 15

Erişim

Verilere erişim talebi

MADDE 16

Düzeltme

Yanlış verileri düzeltme

MADDE 17

Silme

Unutulma hakkı

MADDE 18

Kısıtlama

İşlemeyi sınırlandırma

MADDE 20

Taşınabilirlik

Veri transferi hakkı

MADDE 21

İtiraz

İşlemeye itiraz etme

MADDE 22

Otomatik Karar

Profillemeye itiraz

Madde 83

GDPR İhlal Cezaları

GDPR, ihlallerin ciddiyetine göre iki kademeli ceza sistemi öngörmektedir.

GDPR Cezaları Ne Kadar?

GDPR'da iki kademeli ceza sistemi vardır. Alt kademe (teknik eksiklikler) için 10 milyon Euro veya cironun %2'si; üst kademe (temel hak ihlalleri) için 20 milyon Euro veya cironun %4'ü — hangisi yüksekse. 2023'te Meta'ya 1.2 milyar Euro ceza kesilmiştir.

Alt Kademe — Madde 83(4)
€10M veya %2

Teknik ve Organizasyonel İhlaller

Privacy by Design eksiklikleri, RoPA tutmama, işbirliği yükümlülüğü ihlali, güvenlik önlemleri yetersizliği, DPO atamama.

Üst Kademe — Madde 83(5)
€20M veya %4

Temel İlke ve Hak İhlalleri

Temel ilkelerin ihlali, hukuki dayanak olmadan işleme, veri sahibi haklarının engellenmesi, uluslararası transfer kurallarına uymama.

Karşılaştırma

GDPR ve KVKK Farkları

AB'ye hizmet veren Türk şirketleri her iki regülasyona da uyum sağlamalıdır.

Türkiye'deki Şirketler GDPR'a Tabi mi?

Evet, AB vatandaşlarına mal/hizmet sunuyorsanız veya davranışlarını izliyorsanız (analytics, tracking) GDPR'a tabisiniz. Bu "ekstrateritoryel etki" Madde 3'te düzenlenmiştir. Türkiye'den AB'ye e-ticaret yapan, AB turistlere hizmet veren şirketler GDPR kapsamındadır.

KriterGDPRKVKK
KapsamEkstrateritoryel — AB verisi işleyen tüm şirketlerTürkiye'de faaliyet gösterenler
Maksimum Ceza€20M veya cironun %4'ü~2 milyon TL
İhlal Bildirimi72 saat içinde"En kısa sürede"
DPO ZorunluluğuBazı şirketler için zorunluZorunlu değil
Veri TaşınabilirliğiVar (Madde 20)Yok
Metodoloji

Uyumluluk Süreci

Modüler ve izlenebilir adımlarla yürütülen program. Süre: 3-12 ay.

1

Keşif ve GAP Analizi

Mevcut durum değerlendirmesi ve GDPR gereksinimleriyle karşılaştırma.

2

Veri Haritalama

Kişisel veri akışlarının haritalanması ve RoPA oluşturma.

3

Risk Değerlendirmesi

DPIA ve risk analizi çalışmaları.

4

Politika Geliştirme

Gizlilik politikaları ve prosedürlerin hazırlanması.

5

Teknik Uygulama

Privacy by Design implementasyonu.

6

Eğitim ve İzleme

Çalışan eğitimleri ve sürekli uyumluluk takibi.

Çıktılar

Teslimatlar

Denetim gereksinimlerini karşılayan somut çıktılar.

GAP Analiz Raporu
Mevcut durum, madde bazlı uyumluluk durumu, risk önceliklendirmesi ve yol haritası.
RoPA Dokümanı
Tüm veri işleme faaliyetlerinin Madde 30 uyumlu dokümantasyonu.
DPIA Raporları
Yüksek riskli işlemler için etki değerlendirmesi ve risk azaltma önerileri.
Politika Seti
Gizlilik, çerez, veri saklama politikaları (Türkçe ve İngilizce).
Prosedür Dokümanları
Veri sahibi talep, ihlal bildirim ve veri silme prosedürleri.
Eğitim Materyalleri
Farkındalık eğitimi, departman eğitimleri ve bilgi testleri.
S.S.S.

Sıkça Sorulan Sorular

Türkiye'deki şirketler GDPR'a tabi mi?
Evet. AB vatandaşlarına mal/hizmet sunuyorsanız veya davranışlarını izliyorsanız (analytics, profiling) GDPR'a tabisiniz. Bu "ekstrateritoryel etki" Madde 3'te düzenlenmiştir.
DPO (Veri Koruma Görevlisi) atamak zorunlu mu?
Madde 37'ye göre: kamu kurumları, büyük ölçekli sistematik izleme yapanlar veya özel kategori verileri büyük ölçekte işleyenler için zorunludur. Diğerleri için isteğe bağlıdır.
Veri ihlali durumunda ne yapmalıyız?
İhlalin farkına vardıktan sonra 72 saat içinde yetkili DPA'ya bildirim yapılmalıdır. Yüksek risk varsa veri sahiplerine de bildirilmelidir.
GDPR uyumluluk süreci ne kadar sürer?
Organizasyonun büyüklüğüne göre 3-12 ay arası değişir. Temel uyumluluk 3-4 ayda, tam olgunluk 6-12 ayda sağlanabilir.
Cookie consent zorunlu mu?
Evet. Zorunlu olmayan çerezler (analytics, reklam) için önceden açık onay (opt-in) gereklidir. Cookie banner "kabul" ve "reddet" seçeneklerini eşit sunmalıdır.
Nesil Teknoloji'nin GDPR uzmanlığı nedir?
Ekibimiz IAPP CIPP/E sertifikalıdır — Avrupa veri koruma hukuku için en prestijli uluslararası sertifika. Ayrıca ISO 27001 ve ISO 27701 belgelerimiz kurumsal altyapımızı kanıtlar.

GDPR Uyumluluğunuzu Değerlendirelim

IAPP CIPP/E sertifikalı uzmanlarımız ve ISO 27001/27701 belgeli altyapımızla uyumluluk programınızı planlayalım.

E-posta Gönderinİletişim