Bilinen Türkçe adıyla Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği Parlamentosu tarafından Nisan 2016 tarihinde kabul edilerek, Mayıs 2016'da, tüm Avrupa Birliği resmi dillerinde, Avrupa Birliği Resmi Gazetesinde yayınlanarak yürürlülüğe girdi. İki senelik bir uyum termininden sonra, 25 Mayıs 2018'den beri de uygulanmaktadır.

gdpr hakkında genel bilgiler genel veri koruma yönetmeliği

GDPR'nin Amacı Nedir?

Avrupa Parlamentosu, bireylerin kişisel verilerinin korunmasında daha sağlıklı ve etkin bir regülasyon sistemi getirmeyi düşünmekteydi.

Bu bağlamda,

  • Verilerin serbest akışa izin verecek dinamiklikte olmasını sağlamak,
  • Tüm üye ülkelerin hukuki olarak aynı paydada buluşmasını sağlamak,
  • Bireysel gizlilik haklarını koruma altına almak

amaçlarıyla, Avrupa ülkeleri GDPR'ı kabul etmiştir.

GDPR'nin Kapsamı Nedir?

GDPR hakları ve yaptırımları,

  • Avrupa Birliğinde bulunan, kullanıcılarından veri toplayan ve veri işleyen veri sorumlularını,
  • Avrupa Birliği dışında konuşlanmış fakat Avrupa Birliği sakinlerinin kişisel verilerini toplayan ve işleyen veri sorumlularını,
  • Avrupa Birliğinde ikamet eden ve verileri toplanan ilgili kişileri

için geçerlidir.

Tekli Kural Seti ve Tek Yetkili Mercii Ne Demektir?

GDPR'ye göre, bütün Avrupa Birliği üyesi ülkelere, tek bir kural seti uygulanmaktadır.

Bu şu demektir: Her üye devlet, bağımsız bir Denetim Otoritesi (SA) kurmakla yükümlü sayılmaktadır. Söz konusu Denetim Otoriteleri de Avrupa Veri Koruma Kurulu (EDPB) tarafından koordine edilmektedir.

Bu bağımsız otoriteler,

  • Şikayetlerin iletilmesi,
  • Şikayetlerin soruşturulması,
  • Suçların idari olarak cezalandırılması,
  • Diğer ülkelerin Denetim Otoriteleri ile işbirliği yapılması,

gibi operasyonlardan sorumlu tutulmaktadır.

Eğer bir işletme, operasyonlarını birden fazla Avrupa Birliği ülkesinde sürdürüyorsa, ana kuruluşunun bulunduğu yerdeki Denetim Otoritesine bağlı tutulur. Bu otoriteye "Baş Otorite" denir ve işletme faaliyetleri bu otorite tarafından denetlenir.(GDPR, Madde 46-55)

GDPR'ye Göre Neler Rıza Kabul Edilir?

GDPR'nin 4. ve 7. maddesinde belirtildiği üzere, toplanan ve kullanılan kişisel verilerin kanuna uygun kabul edilmesi için, rıza açık ve net olmalıdır.

18 yaşından küçük çocuklar için onay, çocuğun ebeveyni veya velisi tarafından verilmelidir ve mutlaka doğrulanabilir olmalıdır. (GDPR, Madde 8)

Veri sorumluluları, aldıkları rızaları kanıtlayabilmelidir ve ilgili kişinin rızasını geri çekilebilmesi için uygun şartları sunmalıdır.