gdpr yaptırımları ve ihlalleri, veri sorumlusunun GDPR'a uygun hareket edip etmediğini tespit etmek amacıyla kişisel verilerin belgeleri inceleniyor

GDPR'ye göre, veri sorumlusunun kişisel verilerin işlenme amacı, şekli ve saklama süresiyle ilgili ilgili kişiyi aydınlatma yükümlülüğü vardır.

Bireyler, kendilerini etkileyen, tamamen algoritmik temellere dayalı olsa bile, alınan kararları sorgulama ve izinlerini geri çekme hakkına sahiptir. Madde 22 doğrultusunda, profil oluşturma dahil olmak üzere her türlü veri işlenme operasyonunda söz sahibidir.

Veri sorumlusunun, GDPR'nin 25. maddesine göre veri koruma önlemlerini ürün ve hizmetler için iş süreçlerinin geliştirilmesi esnasında belirlemesi gerekmektedir.

İşlemenin veri sorumlusu adına başka birisi tarafından gerçekleştirdiği durumlarda dahi, veri sorumlusu etkin önlemleri almalı ve veri işlemlerinin regülasyona uyumluluğunu sağlamalıdır.

İlgili kişinin hak ve özgürlüklerine karşı bir tehdit belirlendiği zaman, Kanunun 35. maddesine göre, Veri Koruma Etki Değerlendirmeleri (DPIA) yapılmalıdır.

Mevcut risklerin durumuna göre risk değerlendirmesi ve azaltılması amaçlarıyla Veri Koruma Otoritesine (DPA) gidilir.

Bir veri ihlali söz konusu ise, 33. madde doğrultusunda, 72 saat içinde Denetleme Kuruluna gidilmelidir. Veri sorumlusunun gecikme olmaksızın Denetim Otoritesine bilgi vermesi, GDPR kapsamında, yasal yükümlülüğü sayılır.

Buna ek olarak veri işleyen kişi, kişisel veri ihlalini fark eder etmez veri sorumlusunu bilgilendirmek zorundadır. (Madde 33)

Veri sorumlusu, anonim verilerinin ihlal edilmesi durumlarında ilgili kişiyi bilgilendirmek zorunda değildir.

Veri sorumlusu; veri ihlalinden etkilenen kişisel verilere, gerekli teknik ve kurumsal koruma önlemleri uyguladıysa, ilgili kişiye duyuru yapılması gerekli değildir. (Madde 34)

Veri sorumlusunun GDPR'de belirtilen yükümlülükleri yerine getirmemesi durumunda, kişiye aşağıdaki yaptırımlar uygulanabilir:

  • Yazılı bir uyarı

  • Düzenli periyodik veri koruma denetimlerine tabii tutma

  • Şirketin büyüklüğüne göre, 10.000.000 € veya bir önceki mali yıla ait yıllık dünya cirosunun %2’sine kadar idari para cezası, (hangi meblağ daha büyük ise)
    (Madde 83, Parag 4)

  • Bir grubun bir iştiraki olmasına ve ihlalin büyüklüğüne göre, önceki mali yılın yıllık dünya cirosunun %20’sine veya 20.000.000 €’ye kadar idari para cezası
    (Madde 83, Paragraf 5)