GDPR Nedir? Avrupa Birliği Genel Veri Koruma Tüzüğü Hakkında Kurumsal Rehber

1. GDPR Nedir?

GDPR (General Data Protection Regulation) – Genel Veri Koruma Tüzüğü, Avrupa Birliği’nde (AB) kişisel verilerin korunması ve işlenmesine ilişkin çerçeveyi belirleyen, doğrudan uygulanabilir nitelikte bir AB mevzuatıdır. 2016/679 sayılı düzenleme olup, 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.

GDPR’ın temel amacı, AB’de yaşayan bireylerin (data subject) kişisel verilerinin; daha sıkı korunmasını sağlamak, veri işleme faaliyetlerinde şeffaflık ve hesap verebilirliği artırmak ve dijital çağda gizlilik hakkını güçlendirmektir.

Bu kapsamda GDPR:

• Kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılmasına ilişkin kurallar koyar,
• Veri sorumlusu ve veri işleyenler için ayrıntılı yükümlülükler tanımlar,
• Bireylere güçlü erişim, düzeltme, silme ve veri taşınabilirliği hakları verir,
• İhlal durumunda yüksek idari para cezaları ve işleme kısıtlamaları öngörür.

GDPR sadece AB merkezli şirketler için değil; AB’de yerleşik bireylere mal veya hizmet sunan veya bu kişilerin davranışlarını izleyen AB dışı şirketler için de geçerlidir. Bu nedenle Türkiye’de faaliyet gösterip AB pazarına açılan şirketler de kapsam dâhilindedir.

2. GDPR Kapsamı ve Uygulama Alanı

GDPR, “belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi kişisel veri olarak kabul eder. Bu yaklaşım, dijital dünyadaki neredeyse tüm tanımlayıcı bilgileri kapsayacak genişliktedir.

Kişisel veri örnekleri:

• Ad, soyad, adres, e-posta adresi, telefon numarası,
• Kimlik numarası, müşteri numarası, çalışan numarası,
• IP adresi, çerez ID’leri, cihaz kimlikleri, konum verisi,
• Fotoğraf, ses kaydı, video kaydı, biyometrik veriler,
• Sağlık verileri, finansal bilgiler, banka kartı bilgileri,
• Sosyal medya profili, gönderileri ve etkileşim verileri.

2.1 Veri Sorumluları ve Veri İşleyenlerin Sorumlulukları

GDPR; verileri “neden ve nasıl işleyeceğine karar veren” aktörü veri sorumlusu (controller), veri sorumlusu adına ve onun talimatlarıyla veri işleyen aktörü ise veri işleyen (processor) olarak tanımlar.

Bu aktörler için GDPR kapsamındaki başlıca sorumluluklar şunlardır:

• Verileri hukuka uygun, adil ve şeffaf biçimde işlemek,
• Veri işleme amaçlarını ve hukuki dayanaklarını açıkça belirlemek,
• Yalnızca gerekli ve ilgili verileri toplamak (data minimisation),
• Verilerin doğru ve güncel olmasını sağlamak,
• Verileri sadece gerekli süre boyunca saklamak (storage limitation),
• Uygun teknik ve organizasyonel güvenlik tedbirleri almak,
• İşleme faaliyetlerini dokümante etmek ve kayıt altına almak,
• Gerekli durumlarda Veri Koruma Görevlisi (DPO) atamak.

2.2 Küresel Uygulanabilirlik

GDPR, sadece AB sınırları içerisindeki şirketleri değil; AB’de yerleşik bireylere yönelik mal veya hizmet sunan ya da bu bireylerin çevrimiçi davranışlarını izleyen AB dışı şirketleri de kapsar. Bu nedenle:

• AB’ye e-ihracat yapan e-ticaret firmaları,
• AB’de kullanıcıya sahip SaaS platformları, mobil uygulamalar,
• AB kullanıcılarına hedefli reklam sunan dijital pazarlama şirketleri

GDPR yükümlülüklerini dikkate almak ve AB veri koruma otoriteleriyle uyumlu hareket etmek durumundadır.

3. GDPR Temel İlkeleri ve Veri Sahibi Hakları

GDPR, kişisel veri işleme faaliyetlerinin dayandığı temel ilkeleri tanımlayarak veri sorumlularına çerçeve çizer. Aynı zamanda veri sahiplerine, verileri üzerinde güçlü haklar verir.

3.1 GDPR’ın Temel İlkeleri

Öne çıkan ilkeleri şu şekilde özetleyebiliriz:

• Hukuka uygunluk, adillik ve şeffaflık: Veri işleme, ilgili kişiye açık, anlaşılır ve hukuka uygun şekilde yapılmalıdır.
• Amacın belirli, açık ve meşru olması: Veriler, belirlenmiş ve meşru amaçlar için toplanmalı; bu amaçlarla bağdaşmayan şekilde kullanılmamalıdır.
• Veri minimizasyonu: Amaç için gerekli olandan fazla veri toplanmamalıdır.
• Doğruluk: Kişisel veriler doğru ve gerektiğinde güncel tutulmalıdır.
• Saklama süresinin sınırlanması: Veriler, işleme amacının gerektirdiği süreden daha uzun süre tutulmamalıdır.
• Bütünlük ve gizlilik: Verilerin, yetkisiz veya hukuka aykırı işleme ve kazara kayıp, yok olma veya zarar görmeye karşı korunması gerekir.
• Hesap verebilirlik: Veri sorumlusu, tüm bu ilkelere uyduğunu gösterebilecek durumda olmalıdır.

3.2 Veri Sahiplerinin Hakları

GDPR, AB’de yerleşik veri sahiplerine güçlü bireysel haklar tanır. Bu haklar, şirketlerin veri işleme faaliyetlerine karşı şeffaflık ve kontrol mekanizması sağlar:

• Erişim hakkı: Birey, kendisi hakkında hangi verilerin işlendiğini, hangi amaçlarla ve hangi alıcılarla paylaşıldığını öğrenme hakkına sahiptir.
• Düzeltme hakkı: Eksik veya yanlış kişisel verilerin düzeltilmesini talep edebilir.
• Silme hakkı (unutulma hakkı): Belirli şartlar altında, kişisel verilerin silinmesini isteyebilir.
• İşlemenin kısıtlanması hakkı: Bazı durumlarda verilerin sadece saklanmasını, işlenmemesini talep edebilir.
• Veri taşınabilirliği hakkı: Verilerini yapılandırılmış, yaygın kullanılan ve makineyle okunabilir formatta alma ve başka bir veri sorumlusuna aktarma hakkına sahiptir.
• İtiraz hakkı: Meşru menfaat veya doğrudan pazarlama gibi dayanaklara dayalı işleme faaliyetlerine itiraz edebilir.
• Otomatik karar vermeye karşı korunma: Profil çıkarma dâhil olmak üzere, yalnızca otomatik işlemeye dayalı kararlara karşı korunma ve insan müdahalesi talep etme hakkı vardır.

3.3 Rıza (Consent) ve Diğer Hukuki Dayanaklar

GDPR kapsamında kişisel veri işleme için tek dayanak rıza değildir; ancak rıza kullanıldığı durumlarda çok sıkı şartlara tabidir. Rızanın:

• Özgür irade ile verilmiş olması,
• Belirli ve açık bir amaçı işaret etmesi,
• Bilinçli ve bilgilendirilmiş şekilde verilmesi,
• Açık bir beyan veya açık bir olumlu hareket içermesi

gerekmektedir. Ayrıca rızanın kolayca geri alınabilir olması zorunludur.

4. GDPR Kapsamında Yaptırımlar ve Para Cezaları

GDPR, ihlal durumunda uygulanan idari para cezaları ile dünya çapında en güçlü veri koruma rejimlerinden biridir. Düzenleme, para cezalarını iki ana seviyede tanımlar:

4.1 En Yüksek Seviye Cezalar

Kişisel verilerin temel prensiplerinin (şeffaflık, adil işleme, amaç sınırlılığı, veri minimizasyonu, doğruluk, saklama sınırlaması, bütünlük ve gizlilik) ihlali veya veri sahiplerinin temel haklarına ciddi şekilde aykırılık söz konusuysa:

• 20 milyon Euro’ya kadar veya
• İlgili teşebbüsün bir önceki mali yıla ait küresel cirosunun %4’üne kadar,
  (hangisi daha yüksekse o tutar)

idari para cezası uygulanabilir.

4.2 Daha Düşük Seviye Cezalar

Bazı usuli yükümlülüklerin ihlalinde (örneğin veri işleme kayıtlarının tutulmaması, veri koruma görevlisi atanmaması, veri işleyenlerle sözleşmelerin eksikliği vb.) ise:

• 10 milyon Euro’ya kadar veya
• küresel cironun %2’sine kadar idari para cezası

uygulanabilir.

4.3 Diğer Olası Yaptırımlar

Para cezalarına ek olarak, veri koruma otoriteleri şu yaptırımlara da başvurabilir:

• Yazılı uyarı ve ihlali giderme talebi,
• Belirli veri işleme faaliyetlerinin geçici veya kalıcı olarak kısıtlanması,
• Belirli sistem veya süreçler için işleme yasağı,
• Ciddi ihlallerde iş süreçlerinin kısmen veya tamamen durdurulması,
• Veri sahiplerine ve kamuya ihlalin bildirilmesi yükümlülüğü.

Ceza miktarı belirlenirken; ihlalin kapsamı, süresi, niteliği, kasıt veya ihmal düzeyi, veri sorumlusunun iş birliği seviyesi ve daha önce benzer ihlallerin olup olmadığı gibi kriterler dikkate alınır.

5. Türkiye’de Şirketler İçin GDPR ve KVKK İlişkisi

Türkiye’de faaliyet gösteren şirketler için KVKK ulusal veri koruma rejimini, GDPR ise AB’de yerleşik bireylere yönelik faaliyetler söz konusu olduğunda uluslararası çerçeveyi temsil eder. Uygulamada birçok kurum, hem KVKK’ya hem de GDPR’a uyumlu olmak durumundadır.

Türkiye’deki şirketler açısından öne çıkan başlıklar:

• AB’de yerleşik müşterilere ürün/hizmet sunan e-ticaret siteleri,
• AB’de kullanıcıya sahip SaaS ürünleri ve mobil uygulamalar,
• AB merkezli grup şirketleriyle veri paylaşan Türkiye ofisleri,
• AB menşeli çalışan, aday veya ziyaretçi verisi işleyen yapılar

için GDPR yükümlülükleri fiilen devreye girmektedir. Bu nedenle uyum projeleri KVKK ile sınırlı değil, GDPR gereklilikleriyle uyumlu olacak şekilde tasarlanmalıdır.

5.1 Uyum İçin Temel Adımlar

GDPR uyum yolculuğunda sık kullanılan adımlar özetle şunlardır:

• Veri envanteri ve veri akışı haritalama çalışmalarının yapılması,
• İşleme amaçları, hukuki dayanaklar ve saklama sürelerinin yeniden tanımlanması,
• Aydınlatma metinleri, çerez politikaları ve sözleşmelerin GDPR ile uyumlu hâle getirilmesi,
• Gerekli ise Veri Koruma Görevlisi (DPO) atanması ve süreçlere entegre edilmesi,
• Teknik ve organizasyonel güvenlik tedbirlerinin gözden geçirilmesi,
• Veri ihlali müdahale planlarının ve bildirim süreçlerinin oluşturulması,
• Çalışanlar için farkındalık ve eğitim programlarının yürütülmesi.

Bu yaklaşım, hem KVKK hem GDPR ekseninde tutarlı ve denetlenebilir bir veri koruma yönetim sistemi kurmayı mümkün kılar.