GDPR nedir?
Genel Veri Koruma Yönetmeliği olarak da bilinen GDPR, Avrupa Birliği vatandaşlarının “kişisel verileri” için koruma ve gizlilik sağlayan yeni AB Hukuku yönetmeliğidir. GDPR, AB vatandaşlarının kişisel verilerinin korunmasıyla ilgili uluslararası kuralları düzenleyen önemli bir uygulama. Her ne kadar karmaşık görünse de, GDPR kapsamında nelerin olduğunu ve GDPR’a nasıl uyum sağlanabileceğini anlatan bir özet hazırladık.
“Kişisel Veri” Nedir?
Doğrudan veya dolaylı olarak bir kişiyi tanımlayan, isim, cinsiyet, milliyet, doğum tarihleri, fiziksel adresler, e-posta, IP adresleri, demografik bilgiler ve daha fazlası dahil olmak üzere (ancak bunlarla sınırlı olmamak kaydıyla) yer alan tüm veriler “kişisel veri” olarak kabul edilir.
Kimler GDPR’a Uymalıdır?
Şirketin menşeinin AB’nin içinde olduğuna bakılmaksızın AB’yle iş yapan her işletme bu yönetmeliğe uyum sağlamakla yükümlüdür. AB vatandaşları için ürün ve hizmet sunan ve AB vatandaşı olan müşterilerine ait verileri toplayan her işletme, 25 Mayıs 2018 tarihine kadar GDPR standartlarına uymak zorunda.
GDPR ne yapar?
GDPR, kısaca, şirketlerin kişisel verileri toplarken aşağıdaki kurallara uymasını sağlar:
- Bilgilendirme hakkı
- Bir işletme, AB vatandaşlarına ait kişisel verileri nasıl topladığına ve bu verileri nasıl kullandığına ait bilgileri kişisel veri sahibine sunmalıdır.
- Unutulma hakkı
- Belirli durumlar ve senaryolar altında, veri sahipleri, kişisel verilerinin silinmesini talep edebilir. İşletmeler de bu taleplere cevap vermeli ve talepleri yerine getirmelidir.
- Erişim hakkı
- Kişisel verilere kimlerin, hangi amaçla eriştiğine dair açıklama sunulmalıdır.
- Veri düzeltme
- Kişisel verilere ait düzenleme, değişiklik talepleri herhangi bir ücrete tabi olmadan yerine getirilmelidir.
- Veri aktarımı
- Kişisel verileri dışa aktarım imkanları sunulmalıdır.
- Veri kullanımına itiraz veya kısıtlama
- Kişisel verilerin kullanılmasına itiraz etme hakkının yanı sıra, verilerin işlenmesini engelleme hakkı da bulunmaktadır.
GDPR uyumlu olmak için ne yapmalısınız?
Aşağıdaki önerilen adımları izleyerek işletmenizin GDPR uyumlu olduğunu kontrol edebilirsiniz:
☑ Mevcut veri toplama stratejinizi gözden geçirin. İşletmenizin ihtiyaç duyduğu ve kullanmayı planladığı bilgilere odaklanın. Kullanmayacağınız verileri toplamayın.
☑ Kişisel verileri güvenli tutmak için gerekli prosedürleri izleyin.
☑ Veri toplama sürecinde, kişisel verileri ne amaçla topladığınızı ve nasıl kullanacağınızı açıkça belirtin.
☑ Kişisel verileri toplarken açık bir şekilde onay isteyin ve aldığınız onaylara ait kayıtları tutmak için uygun ve güvenli yöntemler kullanın.
☑ Müşterilerinizin kişisel verileri üzerinden haklarını bilmelerini sağlayın.
☑ İşletmenizde kişisel verilerin güvenliğine ait bir ihlal tarihi olması durumunda geçerli olacak prosedürleri tanımlayın.
☑ Unutulma hakkı da dahil olmak üzere açık bir şekilde iletişim onayını iptal etme ve iletişim listenizden ayrılma süreçlerini tanımlayın.
☑ Kişisel verilerin kullanımıyla ilgili gizlilik politikanızda ve diğer belgelerinizde gerekli değişiklikleri yapın. Yeni değişiklikleriniz yukarıdaki yönergelerin tümünü yansıtmalıdır.
GDPR ne zaman yürürlüğe giriyor?
GDPR aslında Nisan 2016’da onaylandı. İki yıllık bir geçiş döneminden sonra, 25 Mayıs 2018’de yürürlüğe girecek.
GDPR hakkında daha fazla bilgiyi nerede bulabilirim?
GDPR web sitesinde daha fazla bilgi okuyabilirsiniz.