Genel veri koruma yönetmeliği (GDPR)

yazdı.

Genel veri koruma yönetmeliği (GDPR)

Genel veri koruması yönetmeliği veya İngilizce ismiyle General Data Protection Regulation (GDPR), kişilerin ve tüzel kişilerin verilerinin korunması ve veri dolaşımı ile aktarımının hangi koşullarda olabileceğini belirleyen Avrupa Birliği yönetmeliğidir.

Günümüzde, teknolojik imkanların ilerlemesi ile veri bankalarının ve verinin ülke sınırlarını aşan bir şekilde ve genellikle özel şirketler aracılığıyla yönetiliyor olması nedeniyle düzenlenen ve her kişi veya tüzel kişiyi ilgilendiren yasa hükmünde bir yönetmeliktir. Bu yönetmelik, kapsamı ile AB sınırları içerisinde işlenen bütün verilerin ve de AB sınırları içinde kayıtlı olan her kişi ve tüzel kişinin verilerinin herhangi bir yerde ( AB sınırları dışında da) hangi şartlarda edinilebileceğini, işlenebileceğini ve kullanılabileceğini düzenler, hatta cezai hükümler getirir.

Genel veri koruma yönetmeliği (GDPR) ülkemizde geçerli olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile benzerlikler taşımaktadır. Bunun sebebi, her ne kadar GDPR için AB parlamentosu oylama tarihi ülkemizdeki yasadan daha sonraya denk gelmiş olsa da, KVKK’nın yazılımının AB ile uyum yasaları kapsamında yaratılmış olması ve ortak temel ilkelere ve kapsama dayanıyor olmasıdır.

Genel veri koruma yönetmeliği, veri edinen ve işleyen her kişi ve tüzel kişiyi kapsamaktadır. Amacı veri sahibine veriyi edinenin olası kötü niyetine karşı veya kötü niyet bulunmasa dahi, kanun boşluğunda elde edilen veriyle yapılabileceklere karşı korumaktır.

Veriyi edinen ve işleyen taraf olarak ilk akla gelenler, İnternet üzerinde  veri barındıran şirketler, sosyal ağlar veya hosting şirketleri olsa da, herhangi bir otelin müşteri verilerini nasıl kullanacağını veya ünlü birisinin hayran kulübü açınca, bu kulübe üye olanların verileriyle neler yapabileceği gibi aklınıza gelebilecek her türlü veri toplayan sektörü kapsamaktadır. Bir köydeki küçük bir bakkalın tuttuğu ve kimin hangi ürünü alıp ne kadar borcu olduğunu yazdığı veresiye defteri dahi bu yönetmeliğin kapsamına girebilir.

Yönetmelik kısaca veriyi toplayan, yöneten ve işleyen tarafın, veri sahibine karşı hangi olanakları sağlaması gerektiğini ve hangi sorumlulukları yerine getireceğini düzenler ve aşağıdaki ilkeleri zorunlu kılar:

  • Verinin karşı tarafın onayı/rızası olmadan edinilmemesi.
  • Verilerin istenme ve işlenme sebebinin meşru olması ve açık olarak belirtilmiş olması.
  • Verilerin doğru olması ve gerektiği şekilde güncel tutulması.
  • Verinin hukuka ve dürüstlük kurallarına uygun şartlarda ( dürüst, namuslu, ahlaklı, kanunlara uygun bir şekilde) işlenmesi ve veriyi bu güvencelerle sunan tarafta yaratılan güvenle tutarlı şekilde kullanılması.
  • Verinin onay alınmadan üçüncü taraflara aktarılmaması.
  • Verinin işlenme sebebiyle uygun ve orantılı olarak edinilip işlenmesi. Gereğinden fazla verinin istenmemesi.
  • Verinin kullanım alanına, mevzuatına, amacına uygun şekilde ve öngörüldüğü süre kadar muhafaza edilip işlenmesi ve gereğinden fazla muhafaza edilmemesi.
  • Verinin, unutulma hakkı ve talebine uygun şekilde gerektiğinde veya talep üzerine silinebilir olması.
  • Verinin güvenli ortamda korunması.
  • Veri sahibine veriyi kontrol etme ve güncelleme olanağının sunulması.
  • Her zaman bu ilkelerden sorumlu bir kişinin bulunması. Bu kişinin ulaşılabilir ve hesap verebilir olması.
  • Verinin, ilkeler dışında kullanımı veya yetkisiz kişiler tarafından edinilmesi tespit edildiği durumda, veri sahibinden talep beklemeksizin, veri sahibinin bilgilendirilmesi.

Bu ilkeleri yerine getirmenin şekli ve koşulları da bu yönetmelikle belirlenmiştir.

Veri envanteri bulundurmak: Yönetmeliğe göre veri işleyen taraf, ilk önce hangi verileri elinde bulundurduğunun envanterini yaratması gerekir. Herhangi bir hukuki süreç öncesinde yarattığı bu envanteri, böyle bir süreçte sunabilmesi gerekir. Bu veri envanterinde, belirtilen ilkelere uyumlu halde neyin hangi sebeple edinildiği, hangi koşullarda işlendiği ve neye yaradığı belirtilmelidir.

Verileri özgür irade ve açık rıza ile edinildiğini belgelemek: Verilerin açık rıza ile edinilme ilkesinin yanında, bu ilkeye uyulduğunu belgelemek de veriyi edinen tarafın yükümlülüğündedir. Buna göre bilgileri edinirken bu onayın verildiği anın ve detaylarının saklanması koşulu da ortaya çıkar. Bu, imzalanan bir sözleşmenin saklanması şeklinde olabileceği gibi, herhangi bir ortamiçi formun doldurulması esnasında veriyi aktaran kişinin ne zaman ve hangi IP üzerinden formu doldurup aktardığının saklaması şartıyla da olabilir.  Bu koşul için gerekli verilerin saklanması da aynı şartlara tabiidir.

Eski verilerin yönetmeliğe uygun hale getirilmesi: Yönetmelik öncesi edinilmiş bütün verilerin de yönetmelik yürürlüğe girdiği andan itibaren yönetmelik ilke ve şartlarına uygun hale getirilmesi gerekir. Buna göre fazla ve amacı belli olmayan, rızasız alınan bütün verilerin silinmesi gerekir. Elde kalan veriler ise veri envanterine uygun hale getirilmelidir. Bu işlem zaman gerektirdiği için 2 senelik geçiş dönemi verilmiş ve bu süze de bitmiştir.

Verilerin korunması için gereken güvenlik planı: Yönetmelik, güvenliğin önceden düşünülüp belirlenmiş koşullar altında uygulanmış bir plan doğrultusunda yapılmasını öngörür. Verilerin fiziken nerede tutulacağı önceden düşünülmesi gerekir. Gereksiz yere risk yaratan bir şekilde verinin barındırılması ihmale girecektir. Veriye ulaşım da aynı koşullarda düşünülmüş ve planlanmış olması gerekir. İşi olmayan kişiler, veya çalışan elemanların yetkilerinden fazla veriye ulaşabilmeleri ve verinin kötüye kullanılmasına yol açmaları durumunda sorumluluk yine veriyi koruması gereken şirketin sorumluluğundadır.

Veri koruma görevlisinin belirlenmesi: Şirket içinde bütün verilerin korunmasından sorumlu bir Veri Koruma Görevlisi (ingilizce: Data Protection Officer) atanmalıdır. Bu kişi yukarıda belirtilen bütün şartların yerine getirilmesi için çalışır ve şirket içindeki stratejinin belirlenmesinde kilit göreve sahiptir. Veri sahiplerinin, işlerin gerektiği gibi yürümediğinde de ulaşması mümkün kılınması şart koşulan kişidir. Herhangi bir veri ihlali durumunda veri sahipleriyle ve gerekli kurumlarla iletişimi sağlayacak veya koordine edecek kişi de bu kişidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir