GDPR nedir? AB veri korumasına dair basit rehber

Kuruluşunuz Avrupa Birliği’ndeki kullanıcıların kişisel verilerini topluyor, kullanıyor veya izliyorsa Genel Veri Koruma Tüzüğüne (GDPR) tabidir. Şirketinizin nerede bulunuyor olursa olsun, söz konusu Avrupa gizlilik yasası küresel bir etkiye sahiptir ve işletmelerin kişisel bilgileri ele alış biçimini yeniden şekillendirir.

2016 yılında kabul edilip Mayıs 2018’den bu yana yürürlükte olan GDPR, kişisel verinin ne olduğunu, nasıl kullanılabileceğini ve bireylerin kendi bilgileri üzerinde hangi haklara sahip olduğunu net şekilde ortaya koyar.

Bu rehber, GDPR nedir, kimler için geçerlidir ve işletmelerin bu tüzüğe uyum sağlamak için bilmesi gerekenler nelerdir gibi sorulara cevap veriyor.

Basit bir anlatımla GDPR nedir?

GDPR Türkçe ifadesi ile Genel Veri Koruma Tüzüğüdür ve Avrupa Birliği’ndeki kişilerin kişisel verilerini koruyan bir AB gizlilik yasasıdır. Adlar, e-posta adresleri, IP adresleri veya çerezler gibi bir kişiyi doğrudan ya da dolaylı olarak tanımlayabilecek her türlü bilgi buna dahildir.

GDPR, bireylere verileri üzerinde daha fazla kontrol sağlar. Ayrıca işletmelerin bu verileri adil bir şekilde işlemesini, neden topladıklarını açıklamasını ve güvenliğini sağlamasını zorunlu kılar. 25 Mayıs 2018’de yürürlüğe giren bu tüzük, AB’deki eski veri kurallarının yerini almıştır.

GDPR neden yürürlüğe girdi?

GDPR’den önce, Avrupa Birliği’nde 1995 tarihli Veri Koruma Direktifi yürürlükteydi. İnternetin emekleme evresinde olduğu bu yıllarda şirketler çok daha az kişisel veri işliyordu. Teknoloji ilerledikçe ve çevrimiçi hizmetler günlük yaşamın bir parçası hâline geldikçe, bu eski kuralların artık yeterli olmadığı ortaya çıktı.

Avrupa Komisyonu 2012 yılında gizlilik haklarını güçlendirmek ve dijital ekonomiye uyum sağlamak amacıyla yeni bir mevzuat önerdi. Birkaç yıl süren tartışmaların ardından GDPR 2016’da kabul edildi ve 2018’de yürürlüğe girdi.

Önceki direktiften farklı olarak, GDPR AB’ye üye tüm ülkelerde geçerlidir; tutarlı standartlar belirler ve bireylere kişisel bilgileri üzerinde daha güçlü haklar tanır.

İnternetin giderek önem kazandığı dünyada gizlilik de önem kazanıyor ve GDPR gibi düzenlemeler verilerinin kontrolünü kullanıcılara vermeyi amaçlar.

GDPR kimler için geçerlidir?

GDPR, Avrupa Ekonomik Alanı (AEA) içinde veya dışında yer alan ve AB’de bulunan kişilerin kişisel verilerini toplayan, kullanan veya saklayan tüm kuruluşlar için geçerlidir. Kanun, şirketin bulunduğu yeri değil, verinin kendisini esas alır.

GDPR iki temel rol tanımlar:

• Veri sorumlusu: Kişisel verilerin neden ve nasıl işleneceğine karar veren taraftır.
• Veri işleyen: Bulut hizmet sağlayıcıları veya ödeme işlemcileri gibi, veri sorumlusunun adına verileri işleyen taraftır.

Avrupa Ekonomik Alanı’ndaki işletmeler

Avrupa Ekonomik Alanı (AEA), 27 Avrupa Birliği üye devletine ek olarak İzlanda, Lihtenştayn ve Norveç’i kapsar. AEA içinde kurulmuş herhangi bir kuruluş, kişisel verileri işlerken bu işlem Avrupa dışında gerçekleşse bile GDPR’a uymak zorundadır. Örneğin; Kıbrıs Rum Kesimi’ndeki bir şirketin kullandığı sunucular Türkiye’de olsa bile GDPR hükümlerine uymak zorundadır.

Avrupa Ekonomik Alanı dışındaki işletmeler

AEA dışında olan şirketler, GDPR kurallarından otomatik olarak muaf olmaz. İşletmeniz aşağıdaki yöntemlerle AB ülkelerinde ikamet eden kişilerle etkileşim içindeyse, bu düzenlemeye tabidir:

• Avrupa Birliği’ndeki kullanıcılara ücretli ya da ücretsiz olarak mal ve hizmet sunmak.
• Çerezler ya da profil çıkarma yöntemleriyle çevrimiçi aktiviteleri izleyerek Avrupa Birliği’ndeki kullanıcıların davranışlarını takip etmek.

Örneğin; Türkiye’deki bir eğitim platformu Kıbrıs Rum Kesimi’ndeki üniversite öğrencilerini hedefliyorsa GDPR’ye uymak zorundadır. AEA dışındaki bir şirket, AEA ülkelerindeki bir kuruluşun veri işleyeni olarak görev yapıyorsa, yine GDPR’ye uyum sağlamalıdır.

Eğer bir hizmet yalnızca tesadüfi olarak AB içinden erişilebiliyorsa ve özellikle AB kullanıcılarını hedeflemiyor ya da onların kişisel verilerini işlemiyorsa, GDPR kapsamı dışında kalabilir. Ancak bir şirket AB’deki kişileri açıkça hariç tutmak için net bir çaba göstermiyorsa, düzenleyici kurumlar GDPR’nin yine de uygulanmasına karar verebilir.

Buna karşın; ulusal güvenlik amacıyla toplanan veriler, suçla mücadele için işlenen veriler veya tamamen kişisel kullanım için işlenen veriler ise bu düzenleme kapsamı dışında kalır.

GDPR’ye göre kişisel veri kapsamına neler girer?

GDPR kapsamında kişisel veri, yaşayan bir kişiyle ilgili olarak, kimliğini doğrudan veya dolaylı olarak belirlemek için kullanılabilecek her türlü bilgidir. Örneğin:

• Tam adlar
• İkamet adresleri
• Kişinin ilk adı ve e-posta adresinin birlikte tutulması
• Kimlik ya da pasaport numaraları
• IP adresleri
• Çerez kimlik numaraları
• Cihazlardaki reklam tanımlayıcıları
• Tıbbi kayıtlar

GDPR, kişinin kimliği ile ilişkilendirilebilecek şekilde takma adla işlenmiş veriler ile tamamen anonim hale getirilmiş verileri birbirinden ayırır. İkinci tür veriler düzenleme kapsamında değildir.

GDPR ayrıca ırk veya etnik köken, dini inançlar, siyasi görüşler ve biyometrik veriler gibi özel nitelikli kişisel veri kategorilerini tanımlar. Bu tür verilerin işlenmesi, içerdiği daha yüksek riskler nedeniyle, yalnızca çok sınırlı ve belirli durumlarda mümkündür.

Kişisel veriler hangi hukuki temellerde işlenir?

GDPR, kuruluşların kişisel verileri keyfî olarak işlemesine izin vermez. Bunun için açık ve geçerli bir hukuki gerekçe bulunmalıdır. Düzenleme bu konuda altı temel dayanak tanımlar:

• Açık rıza: Rıza; özgür iradeyle verilmiş, spesifik ve kolayca geri çekilebilir olmalıdır. Bir uygulamaya sessiz kalınması ya da önceden işaretlenmiş onay kutularının kabul edilmiş sayılması gibi yöntemlerle kullanıcının rızası alınmış sayılmaz.
• Sözleşme: Veri işlemenin, kişiyle yapılan bir sözleşmenin yerine getirilmesi için gerekli olması durumunda (örneğin bir satın alma işlemini tamamlamak için ödeme bilgilerinin işlenmesi).
• Yasal yükümlülükler: Bazen yasalar, kuruluşların kişisel veri işlemesini zorunlu kılar (örneğin hastanelerin tıbbi kayıtları tutma zorunluluğu).
• Yaşamsal çıkarlar: Veri işleme, bir kişinin hayatını korumak için gerekli olduğunda (örneğin acil bir tıbbi durumda).
• Kamusal görevler: Veri işleme, kamu yararına bir görevin veya resmî bir yetkinin yerine getirilmesi için gerekli olduğunda (genellikle kamu kurumları için geçerlidir).
• Meşru çıkarlar: Kuruluşların, bireyin hak ve özgürlüklerini ihlal etmemek kaydıyla, geçerli bir gerekçeye dayanarak veri işlemesine izin verir (örneğin siber güvenlik sistemlerini sürdürmek amacıyla veri kullanımı).

GDPR’nin 7 temel prensibi

GDPR, kişisel verilerin nasıl işleneceğini tanımlayan yedi temel ilke üzerine kuruludur. Bu ilkeler, veri işleme süreçlerinde adalet, güvenlik ve hesap verebilirlik standartlarını belirler.

1. Hukuka uygunluk, dürüstlük ve şeffaflık

Bu ilke, verilerin yalnızca GDPR tarafından izin verilen geçerli nedenlerle (örneğin kişinin rızası veya bir hizmet sunma gerekliliği) toplanmasını ve kullanılmasını gerektirir. Aynı zamanda verilerin adil bir şekilde, kişileri yanıltmadan ve beklemedikleri biçimlerde kullanılmadan işlenmesini ifade eder. Şeffaflık da kritik önemdedir: kuruluşlar hangi verileri topladıklarını, neden topladıklarını ve nasıl kullanacaklarını açık ve anlaşılır bir şekilde belirtmelidir.

2. Amaçla sınırlı olması

GDPR kapsamında kişisel veriler yalnızca belirli ve açık bir amaç için toplanabilir. Kuruluşlar, veriler toplanırken bu amacı kişilere bildirmek zorundadır. Toplandıktan sonra veriler, bu amaçla uyumlu olmayan başka bir nedenle kullanılamaz.

3. Asgari miktarda veri toplanması

Kuruluşlar yalnızca belirli bir amaç için gerekli olan kişisel verileri toplamalıdır. Bu ilke, elde tutulan veri miktarını sınırlandırarak, veri kaybı veya kötüye kullanım durumunda riskleri azaltır. Veri toplama sürecinin hedefe odaklanmış ve amaca yönelik olmasını sağlar.

4. Doğruluk

Kişisel verilerin doğru olması gerekir. Bir kuruluş bir kişiye ait veri saklıyorsa, bu verilerin doğru ve gerektiğinde güncel tutulmasını sağlamalıdır. Bilgiler değiştiğinde veya hata tespit edildiğinde düzeltme sorumluluğu kuruluşa aittir. Doğru veri, kişiler hakkında karar alınırken hataları önler.

5. Saklama süresinin sınırlı olması

Kuruluşlar kişisel verileri ihtiyaç duyduklarından daha uzun süre saklamamalıdır. Veri amacına ulaştığında silinmeli veya anonim hâle getirilmelidir. Bu ilke, “gerekebilir” düşüncesiyle verilerin gereksiz yere tutulmasını engeller ve veri ihlali veya gizlilik sorunları gibi riskleri azaltır.

6. Bütünlük ve gizlilik

Kişisel verilerin güvenliği esastır. Kuruluşlar, verileri yetkisiz erişim, hırsızlık veya değişikliklere karşı korumalıdır. Bu da hem teknik hem de idari güvenlik önlemlerinin uygulanmasını gerektirir.

7. Hesap verebilirlik

Hesap verebilirlik, kuruluşların yalnızca GDPR kurallarına uymakla kalmayıp bunu yaptıklarını gösterebilmesini de ifade eder. Bu kapsamda veri işleme faaliyetlerinin kayıt altına alınması, çalışanların eğitilmesi ve gizlilik politikalarının oluşturulması gibi adımlar atılmalıdır.

GDPR kapsamında kullanıcı hakları

Bilgilendirilme hakkı

Bir kuruluşun kişisel verilerinizi ne zaman ve neden topladığını bilme hakkına sahipsiniz. Şirketler, hangi verileri topladıklarını, bunları nasıl kullanmayı planladıklarını ve kimlerle paylaşabileceklerini en başından itibaren açıkça belirtmelidir.

Sunulan bilgiler, verilerinizi paylaşma konusunda bilinçli bir karar verebilmeniz için anlaşılır olmalıdır.

Erişim hakkı

Kuruluşlara sizinle ilgili hangi kişisel verileri tuttuklarını sorabilirsiniz. Verilerin bir kopyası ile bunları nasıl kullandıkları ve kimlerle paylaştıkları bilgisini talep edebilirsiniz. Kuruluşlar bu bilgileri makul bir süre içinde sağlamakla yükümlüdür.

Ancak bu hak mutlak değildir; ticari sırlar veya fikri mülkiyet gibi başkalarının hak ve özgürlüklerine zarar vermemelidir.

Düzeltme hakkı

Bir kuruluşta bulunan kişisel verileriniz yanlış veya eksikse düzeltilmesini talep edebilirsiniz. Yanlış yazılmış bir isim, güncel olmayan bir adres veya eksik bilgiler söz konusuysa, kuruluş bunları düzeltmek zorundadır.

Veri silme hakkı (unutulma hakkı)

Verilerinizin saklanması için artık geçerli bir neden yoksa, bir kuruluştan kişisel verilerinizi silmesini isteyebilirsiniz. Bu, genellikle “unutulma hakkı” olarak adlandırılır. Veri, toplandığı amaç için artık gerekli değilse veya hukuka aykırı şekilde işlenmişse bu hak geçerlidir.

Ancak bu hak da mutlak değildir; kuruluşlar, yasal bir yükümlülük veya geçerli başka gerekçeler varsa verileri saklamaya devam edebilir.

İşlemenin kısıtlanması hakkı

Bu hak, bir kuruluştan kişisel verilerinizi nasıl kullandığını sınırlamasını istemenizi sağlar. Verinin hatalı olduğunu ya da hukuka aykırı işlendiğini düşünüyorsanız veya kuruluşun artık bu veriye ihtiyacı olmadığı hâlde hukuki bir talep için bu verilerin saklanmasını istediğiniz durumlarda bu talebi iletebilirsiniz. Kısıtlama süresince veri saklanabilir, ancak sizin izniniz veya yasal bir gerekçe olmadan başka amaçlarla kullanılamaz.

Veri taşınabilirliği hakkı

Kişisel verilerinizin erişilebilir bir formatta kopyasını alma hakkına sahipsiniz. Ayrıca teknik olarak mümkünse bu verilerin doğrudan başka bir kuruluşa aktarılmasını da talep edebilirsiniz. Bu hak, hizmetler arasında geçişi kolaylaştırarak verileriniz üzerinde daha fazla kontrole sahip olmanızı sağlar.

İtiraz hakkı

Kişisel verilerinizin nasıl kullanıldığına ve özellikle de doğrudan pazarlama amaçlı işlemlere itiraz etme hakkınız vardır. İtiraz ettiğinizde, kuruluş güçlü ve meşru bir gerekçe sunamadıkça verilerinizi işlemeyi durdurmak zorundadır.

Otomatik karar alma ile ilgili haklar

Tamamen otomatik sistemler tarafından alınan ve sizi önemli ölçüde etkileyen kararlara (örneğin kredi veya iş başvurusu sonuçları) itiraz etme hakkınız vardır. GDPR, bu tür durumlarda insan müdahalesi talep etmenize olanak tanır; yani kararın yalnızca algoritmalara bırakılmamasını isteyebilirsiniz.

GDPR kapsamında rıza nedir ve nasıl alınır?

GDPR kapsamında rızanın geçerli sayılabilmesi için belirli ve sıkı şartları karşılaması gerekir:

• Özgür iradeyle verilmiş olmalıdır: Rızayı verirken gerçek bir seçeneğiniz olmalı; “hayır” demeniz durumunda baskı ya da olumsuz bir sonuçla karşılaşmamalısınız.
• Spesifik şekilde verilen bilgilere dayalı olmalıdır: Kuruluş; kim olduğunu, hangi verileri topladığını, bu verilere neden ihtiyaç duyduğunu ve bunları nasıl kullanacağını açıkça belirtmelidir.
• Muğlaklık barındırmamalıdır: Onay kutusu işaretleme veya form imzalamak gibi açık ve onaylayıcı bir eylemle alınmalıdır. Sessiz kalınması ya da önceden işaretlenmiş kutuların bulunduğu sayfaların gösterilmesiyle rıza alınmış sayılmaz.

İnsanlar verdikleri rızayı istedikleri zaman geri çekme hakkına sahiptir ve bu işlem, rıza vermek kadar kolay olmalıdır. Rıza geri çekildiğinde, şirket ilgili amaç için veriyi kullanmayı durdurmak zorundadır.

16 yaş altındaki kullanıcılara yönelik hizmetlerde genellikle ebeveyn izni gerekir; ancak bazı AB ülkelerinde bu yaş sınırı 13’e düşürülmüştür.

İşletmeler GDPR gerekliliklerine nasıl uyum sağlar?

Her kuruluşun GDPR’ye uyum sağlamak ve gizliliği korumak için atması gereken belirli adımlar vardır.

İşleme faaliyetlerinin kayıtları (RoPA)

GDPR Madde 30 şirketlerin kişisel verileri nasıl işlediklerini belgelendirmesini zorunlu kılar. Bu kayıtlar; veri işlemenin nedenlerini, toplanan veri türlerini, verilerin kimlerle paylaşıldığını, saklama sürelerini ve uygulanan güvenlik önlemlerini içermelidir.

Küçük işletmeler, veri işleme faaliyetleri seyrek ve düşük riskli olmak şartıyla, bu yükümlülükten muaf olabilir. Ancak bu kayıtların tutulması, denetim makamları tarafından istendiğinde GDPR uyumunu kanıtlamak açısından kritik öneme sahiptir.

Veri koruma etki değerlendirmeleri (DPIA)

Bir şirket, insanların hak ve özgürlükleri açısından yüksek risk oluşturabilecek bir şekilde kişisel veri işlemeyi planlıyorsa DPIA, yani veri koruma etki değerlendirmesi yapmak zorundadır. Bu; yeni teknolojilerin kullanılması, kamu alanlarının geniş çaplı izlenmesi veya özel nitelikli verilerin yoğun şekilde işlenmesi gibi durumlarda zorunludur.

DPIA’nın amacı, veri işleme başlamadan önce olası riskleri tespit etmek ve azaltmaktır. Tüm önlemlere rağmen yüksek risk devam ediyorsa, şirket veri işlemeye başlamadan önce ilgili ülkenin GDPR uygulayıcı kurumu olan Veri Koruma Kurumu (DPA) ile görüşmek zorundadır.

Veri Koruma Görevlisi (DPO) atanması

Bazı kuruluşların GDPR kapsamında bir Veri Koruma Görevlisi (DPO) ataması zorunludur. Bu kişi, şirket içinde kişisel verilerin nasıl işlendiğini denetlemekten ve GDPR kurallarına uyulmasını sağlamaktan sorumludur.
Aşağıdaki durumlarda bir Veri Koruma Görevlisi (DPO) atamanız gerekir:

• Kullanıcıları düzenli veya sistematik şekilde ve geniş ölçekte izliyorsanız (örneğin çevrimiçi davranış takibi)
• Sağlık, genetik veya biyometrik veriler gibi özel nitelikli verileri büyük ölçekte işliyorsanız.
• Bir kamu kurumuysanız (mahkemeler veya bağımsız yargı mercileri için bazı istisnalar vardır).

DPO, şirket çalışanı olabileceği gibi dışarıdan hizmet sözleşmesiyle çalışan bir uzman da olabilir. Ancak her iki durumda da bağımsız çalışmalı; personele veri koruma konusunda rehberlik etmeli, veri koruma önlemlerini denetlemeli ve Veri Koruma Otoriteleri (DPA’lar) ile iletişimde ana irtibat noktası olmalıdır.

Veri aktarımında güvenlik önlemleri

GDPR, kişisel veriler AB dışına aktarılırken, bu veriler ile birlikte aynı seviyedeki koruma yöntemlerinin de aktarılmasını zorunlu kılar. Şirketler, verinin güvenliğini sağlamak ve GDPR standartlarına uymak için çeşitli önlemler uygulamalıdır.

Veri aktarımını korumak için onaylanmış yöntemler şunlardır:

• Yeterlilik kararları: Veriler, yeterli düzeyde veri koruması sağladığı AB tarafından kabul edilmiş olan ülkelere gönderilebilir.
• Sözleşmeye dayalı güvenceler: Şirketler, AB dışındaki alıcılarla yapılan sözleşmelere özel veri koruma maddeleri ekleyerek güvence sağlayabilir.
• İstisnalar: Bazı durumlarda, kişinin açık rızası varsa veya sözleşmenin yerine getirilmesi için gerekliyse veri aktarımına izin verilir.

GDPR kapsamında güvenlik kontrolleri ve şifreleme

Kuruluşlar, kişisel verileri yetkisiz erişim, değiştirme veya kayıptan korumak için güçlü güvenlik önlemleri de uygulamak zorundadır. Bu önlemler; şifreleme gibi teknik önlemleri ve yalnızca yetkili personelin erişimine izin verilmesi gibi organizasyonel tedbirleri içerir.

Şifreleme açık toplumlarda gizlilik ve özgürlüğün korunmasında önemli bir rol oynar ve veri ihlallerine karşı en etkili araçlardan biridir.

Veri ihlallerinin bildirilmesi

Bir veri ihlali bireylerin hak ve özgürlükleri açısından risk oluşturuyorsa, şirketler ilgili Veri Koruma Kurumuna (DPA) 72 saat içinde bildirimde bulunmalıdır. Risk yüksekse, etkilenen kişilerin de bilgilendirilmesi gerekir.

İhlalin zamanında bildirilmemesi ciddi yaptırımlara yol açabilir. Bu nedenle şirketlerin veri ihlallerini hızlı şekilde tespit etme, değerlendirme ve müdahale etme süreçlerine sahip olması önemlidir.

Çalışan farkındalığı ve eğitim

GDPR uyumu yalnızca politikalara değil, çalışanların bu kuralları ne kadar iyi anladığına ve uyguladığına da bağlıdır. Personelin kişisel verileri doğru şekilde işlemesi ve bireylerin haklarına saygı göstermesi için açık yönlendirmelere ve düzenli eğitimlere ihtiyacı vardır. Bu farkındalık, ihlallerin önlenmesine ve sürekli uyumun sağlanmasına yardımcı olur.

İhlal durumunda GDPR yaptırımları ve cezaları

Avrupa Ekonomik Alanı’ndaki (AEA) her ülkede veri koruma kurallarının uygulanmasını denetleyen bir Veri Koruma Kurumu (DPA) bulunur. Bu kurumlar inceleme yapabilir, belge talep edebilir ve gerektiğinde yerinde denetim gerçekleştirebilir.

Bir şirket GDPR’yi ihlal ederse, cezalar oldukça yüksek olabilir. En ciddi ihlallerde 20 milyon Euro’ya veya şirketin küresel yıllık cirosunun %4’üne kadar para cezası uygulanabilir. Buna ek olarak, otoriteler veri işlemenin durdurulması veya veri koruma önlemlerinin iyileştirilmesi gibi düzeltici tedbirler de alabilir.

Bu yaptırım gücü, GDPR uyumunun keyfî olmamasını sağlar. Kişisel veri işleyen işletmeler, sorumluluklarını ciddiye almak zorundadır.

GDPR ABD’de geçerli mi?

GDPR bir AB düzenlemesidir, ancak etkisi Avrupa sınırlarıyla sınırlı değildir. ABD merkezli şirketler, AB’deki bireylere ait kişisel verileri işliyorsa GDPR kapsamına girebilir. Yani Avrupa’da fiziksel bir varlığı olmasa bile şirketler bu kurallara tabi olabilir.

ABD şirketleri için GDPR uyumu

GDPR Madde 3 uyarınca, ABD merkezli şirketler; eğer AB ülkelerinde bir iş yerleri (kuruluş) varsa ya da bu ülkelerdeki tüketicilere mal veya hizmet sunuyorsa (hizmet ücretsiz olsa bile) GDPR’ye uymak zorundadır. Avrupa Birliği’ndeki kullanıcıların çevrimiçi davranışlarının izlenmesi de (çerezler, takip teknolojileri veya hedefli reklamcılık gibi) ABD şirketlerini GDPR kapsamına sokar.

ABD merkezli şirketlerin uyum için yapması gerekenler:

• Topladıkları kişisel veri türlerini analiz etmek ve denetlemek.
• Her veri türü için açık bir hukuki dayanak belirlemek (örneğin rıza veya sözleşme gerekliliği).
• Avrupa Birliği’nden ABD’ye yapılan veri transferlerini değerlendirmek ve Standart Sözleşme Maddeleri (SCC’ler) gibi uygun güvencelerin bulunmasını sağlamak.
• Avrupa Birliği’nde fiziksel varlıkları yoksa bu bölgede yerleşik bir GDPR temsilcisi atamak.
• Web sitelerinde veri toplama ve çerez kullanımı için önceden açık rıza almak.
• Gizlilik politikalarını GDPR yükümlülükleri ve veri sahibi haklarını yansıtacak şekilde güncellemek.

GDPR vs. CCPA ve CPRA

GDPR, kişisel verilerin işlenmesi için önceden açık rıza gerektirirken; Kaliforniya Tüketici Gizliliği Yasası ( CCPA) ve bu yasanın güncel hali olan Kaliforniya Gizlilik Hakları Yasası ( CPRA) tercihlerden vazgeçme modeline dayanır.

Kaliforniya’da şirketlerin genellikle veri toplamadan önce rıza alması gerekmez; ancak verinin satılması/paylaşılması, çocuklara ait verilerin işlenmesi veya hassas veriler söz konusu olduğunda istisnalar vardır.

Bu yasalar daha çok şeffaflığa odaklanır: şirketler kullanıcıları veri uygulamaları hakkında bilgilendirmek ve kişisel verilerinin satılmasına veya paylaşılmasına karşı kolayca vazgeçme imkanı sunmak zorundadır. Genel olarak California yaklaşımı, önceden rıza almaktan ziyade kullanıcı kontrolü ve görünürlüğü üzerine kuruludur.

ABD şirketleri açısından bu durum önemli bir ayrımı ortaya koyar: GDPR’ın sıkı rıza gereklilikleri ABD’de birebir karşılık bulmaz. Bu nedenle hem Avrupa’da hem de ABD’de faaliyet gösteren işletmeler, uygulamalarını buna göre uyarlamak zorundadır.

GDPR kapsamında çerezlerin rolü nedir?

GDPR’ye göre, bir kişiyi tanımlayabilen veya çevrim içi davranışlarını izleyebilen çerezler kişisel veri olarak kabul edilir. Buna yalnızca geleneksel çerezler değil, aynı zamanda kullanıcıları cihaz ve tarayıcı ayarlarına göre benzersiz şekilde tanımlayabilen tarayıcı parmak izi (browser fingerprinting) gibi yöntemler de dahildir.

Web siteleri, kullanıcılara hangi tür çerezleri kabul edeceklerini seçme imkanı tanımalıdır; bu durum “ayrıntılı (granüler) rıza” olarak bilinir. Ancak kesinlikle gerekli olan çerezler için rıza alınması gerekmez.

GDPR rızanın nasıl alınacağını belirlerken, AB’de çerezlerin kullanımı ayrıca e-Gizlilik Direktifi (ePrivacy Directive) tarafından da düzenlenir. Bu düzenleme, çerezler gibi çevrim içi izleme teknolojilerini özellikle ele alarak GDPR’yi tamamlar. Bu nedenle birçok web sitesi, AB kullanıcılarına yönelik olarak, cihazlarına kesin şekilde gerekli olmayan çerezler yerleştirilmeden önce tercihlerini yönetmelerini isteyen çerez banner’ları gösterir.

Çevrimiçi takibi azaltmak istiyorsanız, Sanal Özel Ağ (VPN) kullanmak da IP adresinizi gizleyip internet trafiğinizi şifreleyerek daha gizli internet deneyimi sağlayabilir.

GDPR hakkında doğru bilinen yanlışlar

Uzun yıllardır yürürlükte olmasına rağmen, GDPR ne demek ve işletmeler için aslında ne anlama gelir gibi sorular söz konusu olduğunda, doğru bilinen birçok yanlış vardır. Şimdi de bu yanlış inanışları düzeltelim.

GDPR sadece AB şirketleri için geçerlidir

GDPR’nin sadece AB üyesi ülkelerdeki işletmeleri etkilediği sanılır. Ancak bu düzenleme çok daha kapsayıcıdır. ABD ve Türkiye de dahil olmak üzere Avrupa Birliği dışındaki ülkelerdeki şirketler AB içindeki kullanıcılara mal ve hizmet sunuyorsa ya da bu kullanıcıların çevrimiçi davranışlarını takip teknolojileriyle izliyorsa GDPR’ye uyum sağlamak zorundadır.

Rıza almak her zaman zorunludur

GDPR ile ilgili doğru bilinen bir diğer yanlış ise kişisel verilerin işlenmesi için her zaman rıza alınması gerektiği düşüncesidir. Rızanın alınması hukuki temellerden yalnızca biridir. Şirketler ayrıca sözleşme, hukuki yükümlülük, hayati çıkarlar, kamusal hizmetler ya da meşru çıkarlar temelinde veri toplayıp işleyebilir ancak bunu yaparken bireylerin haklarına saygı göstermek zorundadır. Diğer hukuki temeller söz konusu değilse kullanıcı rızasının alınması zorunludur.

GDPR kapsamında sadece para cezası verilir

Birçok insan GDPR’nin yalnızca büyük para cezaları vermek için kurulmuş bir sistem olduğunu düşünse de bu düzenlemenin asıl amacı gizlilik haklarını güçlendirmek ve verileri sorumlu bir şekilde işlenmesini sağlamaktır. Büyük para cezaları da söz konusu olabilir ancak asıl amaç; kuruluşların kişisel verileri kullanıcıların haklarıyla uyumlu, şeffaf ve güvenli şekilde işlemesini garanti altına almaktır.

GDPR tüm pazarlama faaliyetlerini durdurur

GDPR’nin pazarlamayı imkansız hale getirdiği algısı da yanlıştır. Bu düzenleme pazarlama faaliyetlerini tamamen engellemez. Ancak kişisel verilerin adil şekilde kullanılmasını sağlar. Rıza almak ya da meşru çıkarlar gibi uygun bir hukuki temel bulunması halinde şirketler gizlilik haklarına saygılı bir şekilde AB içindeki kullanıcılara pazarlama yapmaya devam edebilir.

SSS: GDPR hakkında en çok merak edilenler