Genel Veri Koruma Yönetmeliği (GDPR – General Data Protection Regulation) Avrupa genelinde AB vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş yönetmeliktir. 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği’ne üye ülkelerde yürütmeliğe giren GDPR, Avrupa Birliği’ne üye ülkelerde büyük kurum ve kuruluşlarda var olan kişisel verilerin yönetmelikte belirtilen kurallar çerçevesinde güvenliğini sağlamayı konu edinmektedir.
GDPR Avrupa birliği sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu Avrupa birliği sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutulmaktadır.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahip olmaktadır. GDPR geçmişte saklanmış verileri de kapsamaktadır. Genel Veri Koruma Tüzüğü GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.
Bu kişisel veriler:
– İsim, adres, kimlik numarası
– Konum, Ip adresi, cookie bilgileri vb. internet verileri
– Fiziksel görünüme ait veriler ve biometrik veriler
– Irk köken bilgileri
– Siyasi görüş
– Tıbbi veriler gibi vb. verileri kapsamaktadır.
Kullanıcı profili oluşturan forum siteleri, ürün satışı yapıp kullanıcı verileri kaydeden e-ticaret siteleri, yorum yapma izi veren wordpress sitesi vb. siteler GDPR ‘dan etkilenmektedir.
Dikkat Edilmesi Gerekken Konular
– Avrupa birliği sınırları içerisinde yaşayan bireylerin verilerini işleyen şirketlerin nerde bulunduğu önemli değildir. Avrupa birliğine üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu ne olursa olsun bu yönetmelikten sorumludur.
– Yönetmeliğe uyumlu olmayan siteler için yüksek miktarlarda ceza kesilebilir.
– Kullanıcıdan kişisel verileri alınırken basit bir sistemle ve kolay anlaşılır bir şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
– Şirketler için İhlal bildirimleri zorunlu tutulmaktadır.
– Kullanıcıların hangi verilerinin alındığına, nerelerde nasıl kullanıldığına, ne kadar süreyle tutulacağını bilme hakkına sahiptirler
– Kullanıcılar kaydedilen verileri erişim hakkına ve verilerini güncelleme hakkına veya silme hakkına sahiptir. Verileri üstünde kısıtlama da getirebilirler