Genel Veri Koruma Yönetmeliği, Avrupa Birliği hukuk sisteminde yer alan Avrupa Birliği vatandaşları için bireylerin kişisel veri koruma ve gizliliği ile ilgili bir yönetmeliktir. General Data Protection Regulation kelimelerinin kısaltması olarak GDPR olarak ülkemizde de bilinen yönetmelik 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği’ne üye olan ülkelerde kişisel verilerin güvenliğini sağlamayı hedeflediğinden KVKK ile benzerlik göstermektedir.
GDPR’da kişinin açık rızası olmadan hiçbir kişisel veri işlenemez. GDPR yönetmeliğindeki isim, ırk, adres, kimlik numarası, siyasi görüş vb. maddelere uyum sağlamayan işletme veya kurumlara cezai yaptırımlar yapılmaktadır. GDPR yönetmeliğinde Türk vatandaşları olarak bizleri bağlayan unsur Avrupa Birliği’nde yaşayan bir vatandaşının işletmesi veya evi nerede olursa olsun eğer kişisel verisi bir şekilde işleniyorsa biz de bu kapsamda veri sorumlusu olmaktayız.
Burada bilinmesi gereken bir diğer husus ise verisi işlenen kişi AB vatandaşı olmak zorunda değildir. AB sınırları içerisinde yaşayan başka bir ülke vatandaşı olsa da GDPR kapsamında işlem görecektir. Bu bağlamda GDPR yaptırımları da sadece Avrupa Birliği sınırları içerisinde kalmayacaktır.
Ülkemizde KVKK’nın gündemde olduğu şu sıralar işletme veya kurumlarında KVKK oryantasyonu sürecinde bulunanların GDPR yönetmeliğine de göz atmaları faydalı olacaktır.
GDPR yönetmeliğine göre kısaca;
- Kişiler verileri basit bir sistem ile alınmalı ve iptali de bu ölçüde basit olmalı,
- Kişilerin ne tür verilerinin alındığı ve nerelerde kullanılacağına dair detayları bilme hakları olduğundan aydınlatma metinleri hazırlanmalıdır,
- Kişiler alınan verilerine erişebilmeli ve değişiklik yapma ya da silme gibi yetkileri olmalıdır,
- AB üyesi ülke vatandaşlarının kişisel verilerini işleyen tüm kurum veya işletmeler bu yönetmelikten sorumlu olacaklardır.
KVKK – GDPR Karşılaştırma Tablosu
| Kişisel Verileri Koruma Kanunu KVKK | Genel Veri Koruma Yönetmeliği GDPR |
| Kişisel veriler, hukuka ve dürüstlük ilkelerine uygun toplanmalı, işlenmeli ve saklanmalıdır. | Kişisel veriler, hukuka ve dürüstlük ilkelerine uygun, veri öznesine şeffaflık sağlanarak işleme alınmalıdır. |
| Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. | Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. |
| Kişisel verilerin doğruluğundan ve güncelliği takip edilmelidir. | Kişisel verilerin doğruluğu teyit edilmeli gerekli hallerde işlenmeli ve güncellenmelidir. |
| Kişisel verilerin işleme amaçları sınırlı bağlantılı ve ölçülü olmalıdır. | Kişisel veriler, işlenmesi gerekli ise sınırlı ve ölçülü bir şekilde işlenmelidir. İşlenmeyi gerektirmeyecek veriler işleme alınmamalıdır. |
| Kişisel veri saklama süresi KVKK yönetmeliğinde belirtilen süre kadar muhafaza edilmeli, imha ve anonimleştirme çalışmaları takip edilmelidir. | Kişisel veriler, saklama süresinden daha uzun süre kesinlikle tutulmamalıdır. |
| Yetki matrisleri ile erişim yetkileri kontrol altına alınmalıdır. | Erişimler yetkisiz kimselere karşı koruma altına alınmalıdır. |
| Kişisel verilerin işlenmesi, mevzuata uygun saklanması ve imha edilmesi gibi konularda veri sorumlusu kuruma karşı sorumludur. | Kişisel verilerle ilgili tüm süreçlerde yönetmelik kuruluna karşı veri kontrolörü sorumludur. |
| KVKK, kişisel veri işleme süreçleri yalnızca Türkiye sınırları içerisindeki tüzel ve gerçek kişileri kapsar. | GDPR, kişisel veri işleme süreçleri Avrupa Birliğinde ikamet eden herkesi kapsayan birtakım yaptırımlar içeren kanundur. |
GDPR Kapsamındaki Değişiklikler
- İşletmeler, veri kullanımıyla ilgili bilgi talep edilmesi durumunda en geç 72 saat içerisinde bilgi vermek zorundadırlar.
- Veri güvenliğini temin etmek adına gerekli teknik ve idari tedbirlerin alınması
- Sistematik olarak veri işleyen kuruluşlar için Veri Koruma Yetkilisi belirleme zorunluluğu vardır.
- AB ülkelerine ürün veya hizmet sunan farklı ülkelerdeki kuruluşlar da düzenleme kapsamına girmektedir.
- Kişisel veriler, kullanım amacına yönelik bilgilendirme yapılmadan ve kişinin açık rızası olmadan kullanılamayacaktır.
- Yıllık cironun %4’ü kadar, 20 milyon Euro’ya varan yüksek mali ceza yaptırımları söz konusudur.
- KVKK veri sorumlusu gibi GDPR Veri Koruma Yetkilisi belirlenme zorunluluğu söz konusudur.
GDPR Uygulama Önerileri
- Veri Denetimi
Kurumun/işletmenin sahip olduğu tüm verilerin içerik türlerinin tespiti, nerelerden nerelere taşındığı ve bu verilerin kimler tarafından hangi amaçlarla kullanıldığının tespit edilmesi ilkesidir.
- Çalışanların Eğitimi
Oluşturulan güvenlik politikaları ve aydınlatma metinlerine göre çalışanların bilgilendirilmesi ilkesidir.
- Veri Kullanım Kuralları
Verilerin kullanımına ilişkin oluşturan kuralların etkin bir şekilde yönetilmesi ilkesidir.
- Şifreleme
Kişisel veri içeren tüm medya veya ortamlar yapısına uygun bir bicinde şifrelenmelidir.
- DLP
Data Loss Prevention yani veri sızıntı önleyici sistemler etkin bir şekilde kullanılmalıdır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
https://gdpr-info.eu/
TAGs: KVKK, kişisel verilerin korunması kanunu, verbis, veri envanteri, KVKK nedir?, gdpr nedir, avrupa birliği genel veri koruma yönetmeliği