GDPR Nedir?
General Data Protection Regulation (Avrupa Birliği Genel Veri Koruma Tüzüğü, “GDPR”) 27 Nisan 2016 tarihinde yürürlüğe giren, 25 Mayıs 2018 tarihinden itibaren uygulamasına başlanılan, AB Ülkeleri ve Avrupa Ekonomik Alanı çevresindeki bireyler için veri koruma ve gizlilik hakkında detaylı hükümler içeren bir düzenlemedir.
GDPR’ın yürürlüğe girmesi ile 95/46/EC sayılı, 1998 yılından bu yana uygulanan Veri Koruma Direktifi yürürlükten kalkmıştır. GDPR, Veri Koruma Direktifi’nin aradan geçen zaman ve gelişen teknoloji sebebiyle çağın ihtiyaçlarını karşılayamadığı noktalarda önemli düzenlemeler getirmektedir.
Bu noktada General Data Protection Regulation (GDPR) metnine ulaşmak isteyebilirsiniz.
GDPR Kimler İçin Uygulanır?
GDPR, veri kontrolörlerini, veri işleyicileri, veri sahiplerini ilgilendirmektedir. Veri kontrolü veya veri işleyen olmak için doğrudan ana faaliyet kolunun veri (data) işlemek olması şart değildir. Kişisel verilerin, gösterilen faaliyet kapsamında işleniyor olması GDPR uyarınca sorumlu olmak için yeterlidir. (Örn: Özlük dosyası oluşturmak, kimlik fotokopisi tutmak, müşteri profilleme için müşteri bilgilerini kayıt altına almak vb.) Bu bağlamda, hangi sektörden olup olmadığına bakılmaksızın bütün ticari işletmeler GDPR’a uyumlu bir şekilde faaliyet göstermekle yükümlüdür. Sağlık ve bilişim sektörleri başta olmak üzere, sanayi, perakende, e-ticaret, hizmet sektörlerinde faaliyet gösteren aktörlerin tümünün GDPR uyarınca uyumluluk göstermesi gereken veri kontrolörleri olduğu söylenebilir. İlgili şirketin herhangi bir istisnaya tabii olup olmadığı şirket faaliyetlerinin incelenmesinden sonra kararlaştırılabilir.
95/46/EC sayılı Direktif’in uygulama alanı bulduğu dönemde, Direktif’in “AB’de yerleşik veri kontrolörleri” hakkında uygulanacağı düzenlendiğinden, AB ülkelerinin yetkili idarelerinin (Data Protection Authorities, “DPA”), yurt dışında yerleşik bir şirketi denetleme hakkının olup olmadığı tartışmalıydı. Bu tartışmaları gidermek ve globalleşmeye ayak uydurabilmek amacıyla GDPR’ın 3. maddesiyle düzenlenen coğrafi kapsam genişletilmiştir. Bu düzenleme ile “Veri işleme faaliyetinin AB içerisinde yapılıp yapılmadığına bakılmaksızın, AB içerisinde bulunan veri sahiplerinin verisinin işlenmesi” şeklinde genişletilmiştir.
Coğrafi kapsam hakkındaki bu hükmün amacı, ICO (Information Commissioner’s Office, İngiltere Veri Koruma Kurumu) tarafından, yurtdışına kişisel veri aktarımına ilişkin hükümlere de atıf yapılarak, “verinin GDPR koruması dışına çıkartılmasının önlenmesi” olarak izah edilmiştir. Düzenleme ile, yalnızca AB vatandaşları veya AB’de ikamet eden kimseler değil, AB’de bulunan veri sahiplerinin tümü koruma altına alınmaktadır.
Bu düzenlemeler ışığında, AB’den gerçek kişi verisi alan bütün Türk şirketlerin de GDPR kapsamında sorumlu tutulacağı açıktır.
GDPR Uyarınca Korunan Veriler Nelerdir?
GDPR, tıpkı KVKK gibi, bir bireyi tanımlayan veya tanımlanabilir kılan her türlü kişisel veriyi konu alır. Bu bağlamda, ad soyad, kimlik numarası gibi doğrudan kişiyi tanımlayan veriler ile kişiyi tanımlanabilir kılan diğer veriler de (Ana-baba adı, kullanıcı adı, mail adresi, çerezler vb.) GDPR uyarınca kişisel veri olarak tanımlanmıştır.
GDPR’da, tıpkı KVKK gibi, özel kategorili kişisel veriler sayılmıştır. Bunlar, hassas mahiyetleri nedeniyle işlenmesi daha katı koşullara bağlı verilerdir. Irk, etnik köken, siyasi görüş, dini/felsefi inanç, sendika üyeliği, genetik veri, biyometrik veri, sağlık ve cinsel hayat verileri bu veriler arasındadır.
GDPR Uyarınca Veri İşleme Şartları Nelerdir?
GDPR uyarınca veri işlemenin hukuka uygun olarak gerçekleştirilebilmesi için aşağıdaki ilkelere tam olarak uyulması gerekmektedir:
- Hukuka uygun, adil, şeffaf veri işleme,
- Amaçla sınırlı olarak veri işleme,
- En aza indirgeyerek veri işleme,
- Doğru ve güncel olarak veri işleme,
- Mümkün olduğu hallerde kimliksizleştirerek veri işleme,
- Verileri uygun şekilde koruma,
- Hesap verilebilirliği sağlama: Yukarıda sayılı ilkelere uyumlu olarak veri işleyebildiğini ispat etme.
Veri işleme faaliyetinin bu ilkelere uygunluğunun tespit edilmesi, uygun olmayan faaliyetlerin çıkartılması veya uyumlu hale getirilmesi gerekmektedir.
Data Protection Impact Assessment Report Nedir?
Impact Assessment Report, teknik ve hukuki anlamda bir şirketin faaliyetlerinin tümünün incelendiği, GDPR ile uyumlu ve uyumsuz noktaların tespit edilerek risk analizinin yapıldığı kapsamlı bir rapordur. Bu rapor, GDPR’ın 35. maddesinde düzenlenmiştir. GDPR uyum sürecinin bir parçası olan yol gösterici bu dökümanın, GDPR alanında uzman hukukçular ve teknik anlamda yeterli kimseler tarafından hazırlanması gerekmektedir.
GDPR’dan Doğan Yaptırımlar
GDPR’a aykırılıkları denetlemek için AB üyesi her ülke ayrı ayrı Veri Koruma Kurumu (Data Protection Authority, “DPA”) yetkilendirmiştir. DPA’ler, GDPR uyarınca yaptırım uygulamaya yetkili kurumlar olup, kendi iç hukuklarındaki idari düzenlemeler çerçevesinde bu yaptırım işlemini gerçekleştirirler. Olası bir yaptırımla karşılaşılması durumunda, her ülkenin idare hukuku uyarınca yaptırımın hukuka uygunluğunun tespiti ve idari yargılama hukuku uyarınca yaptırıma karşı başvurulabilecek yollar somut olaya göre tespit edilmelidir.
GDPR’ın 83. Maddesi uyarınca uygulanabilecek cezalar aşağıdaki şekildedir:
- GDPR’ın 83/4 fıkrası uyarınca, 8, 11, 25, 39, 42, 43. Maddelere ilişkin yükümlülüklerin ihlali halinde 10 milyon Euro’ya kadar veya Şirketin yıllık global cirosunun %2’sine kadar (hangisi yüksekse) para cezası uygulanabileceği hükme bağlanmıştır.
- GDPR’ın 83/5. uyarınca, 5, 6, 7, 9, 12, 22, 44, 49 ve 58. Uyarınca Maddelere ilişkin yükümlülüklerin ihlali halinde 20 milyon Euro’ya kadar veya Şirketin yıllık global cirosunun %4’üne kadar (hangisi yüksekse) para cezası uygulanabileceği hükme bağlanmıştır.
- Diğer yaptırımlar: DPA, ihlal durumunda veya ihlali muhtemel gördüğü durumlarda Şirkete ihtar verebilir, kınama verebilir, ihlale konu vakıaların düzeltilmesi için talimat verebilir, geçici veya kalıcı olarak veri işleme yasağı getirebilir, üçüncü kişiye veya uluslararası bir kuruluşa aktarılan verilerin aktarılmasını yasaklayabilir, re’sen veya şikayet üzerine denetim yapabilir.
Uygulamada ise, GDPR’dan doğan bu ağır para cezalarının uygulanmasında DPA’lerin herhangi bir tereddüt etmediği görülmektedir. Aşağıdaki emsaller, idari para cezalarının ne kadar ağır uygulandığına ilişkin olarak sunulmuştur (Şirket isimleri ticari itibarı zedelememek amacıyla paylaşılmamıştır, kararlar resmi kurumların sitelerinden bulunabilir):
- Bir bilişim şirketi hakkında Fransa DPA’i tarafından verilmiş 50 milyon€ idari para cezası
- Bir tekstil şirketi hakkında Hamburg DPA’i tarafından verilmiş 35.3 milyon€ idari para cezası
- Bir telekomünikasyon şirketi hakkında İtalya DPA’i tarafından verilmiş 27.8 milyon€ idari para cezası
- Bir havayolu şirketi hakkında ICO tarafından verilmiş 183.4 milyon£ idari para cezası (COVID-19 pandemisi dolayısıyla tutarda tenzilata gidilmiştir)
- Bir otel zinciri hakkında ICO tarafından verilmiş 99 milyon£ idari para cezası (COVID-19 pandemisi dolayısıyla tutarda tenzilata gidilmiştir) (Aynı dönemde Türk KVK Kurulu da 1.8 milyon TL tutarında idari para cezası vermiştir.)
Sadece 2021 yılının ilk 7 ayında, tüm AB kapsamında, bilişim sektöründen, diş hekimlerine geniş bir veri kontrolörleri skalasında, 1.000€ ile 10.5 milyon€ arasında değişen rakamlarda toplam 198 idari para cezası kararı verilmiştir.
***
GDPR’ın Türkiye’de yerleşik özel kişilere etkisi değerlendirildiğinde şu faaliyetlerin evveliyetle GDPR uyumu gerektireceği söylenebilir:
- AB’ye yönelik pazarlama çalışması yapmak,
- AB’ye yönelik internet siteleri,
- AB’de bulunan bireyleri hedefleyen her türlü reklam faaliyeti,
- Web ve mobil uygulamalar bazında AB’de bulunanları hedef almak,
- AB’ye ve AB ülkelerine yönelik çerez, analytics, profilleme faaliyetleri,
- İhracat faaliyetleri,
- AB’ye yönelik hizmet faaliyetleri,
- Mal ve hizmet sunumuna yönelik her türlü aktivite,
GDPR’dan Doğan Risklerin Yönetilmesi; farklı mevzuatlara ve dile hakim olunması gereken, birbirleriyle bağlantılı olmakla birlikte biririnden ayrı ihtisas alanlarının harmanlanması ile yürütülebilecek meşakkatli bir süreçtir. GDPR, 99 maddeden oluşan, kendi içerisindeki atıfları dolayısıyla çözümlemesi ciddi zaman alan, başta 95/46/EC sayılı Direktif ve DPA içtihatları doğrultusunda kapsamlı ve tarihi gelişimi bilerek anlaşılmayı gerektiren bir hukuki metindir. Her veri kontrolörünün faaliyetleri kapsamında GDPR’dan doğan yükümlülükleri değişmekte olup, bu yükümlülüklerin tespit edilebilmesi için bilişim, bilişim hukuku, privacy (mahremiyet) hukuku, kişisel veri hukuku alanlarında uzman kişilerin kadroda bulundurulması önemlidir.
GDPR uyum süreçlerinizde SC Legal’den hukuki destek almak için bizimle iletişime geçebilirsiniz.