Avrupa Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdi

Avrupa Birliği tarafından 1995 yılında kabul edilen ve daha sonra tüm birlik ülkelerinde başlanan Data Protection Directive (Veri Koruma Direktifi) rafa kalktı. İnternet’in yaygınlaşması ve yeni iletişim teknolojilerinin devrimsel değişikliklere uğramasıyla nedeniyle artık işlevini yerine getiremez duruma gelen direktifin yerini daha geniş bir yetki alanı ve şirketlere yönelik daha sert yaptırımlar içeren Genel Veri Koruma Yönetmeliği (General Data Protection Regulation–GDPR) aldı.

Toplumsal Bilgi ve İletişim Derneği’nden  Mehmet Şafak Sarı’nın haberine göre dünya genelinde kişisel verilerin korunması üzerine çeşitli kişi ve kurumlar siyasal oluşturduğu baskı, Edward Snowden’ın NSA’in mahremiyet ihlalleri ortaya çıkarması, Maximillian Schrems’in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne dava açma süreci, Mario Costeja Gonzalez’in Google İspanya ve Google Inc.’e karşı “unutulma hakkı”na dair hukuksal mücadeleleri değişiklikte önemli rol oynadı.

Bu gelişmelerin etkisiyle kişisel verilerin korunmasında daha sağlıklı, bugün ile daha uyumlu, etkin, dinamik, bireysel hakları daha koruyucu bir düzenleme olan GDPR, 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi. Ve dün 2 senelik uyum sürecinden sonra yürürlüğe girdi.

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeyle uyumlu olmasını gerektiriyor. Yönetmelik aksi takdirde firmaların yasal sonuçlara katlanmak durumunda olduklarını ifade ediyor.

Uyumsuzluk durumunda 20 milyon avro ve üzerine ulaşabilen karışık kuralları ve cezalarıyla birlikte GDPR, tüm küçük ve orta ölçekli firmalar için karşılanması hiç de kolay olmayacak maddi yükümlülükleri de beraberinde getiriyor. Çalışan sayısı 10 ila 250 arası olan ve yıllık cirosu 2 ila 50 milyon avro arasında değişen firmalar için bunun gelir anlamında felakete varan sonuçları olabilir.

Ayrıca, GDPR yönetmeliği ile Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacak.

GDPR kapsamındaki kişisel veriler şöyle: İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler ve tarayıcıların topladığı çerezler (cookie).

♦ Yeni bir unvan: Data Protection Officer IP adresi, cookie gibi direkt “kişisel veri” olmayan “kişisel veriler” de artık kişisel veridir.

♦ Web üzerinden hizmet aldığınız ya da kullandığınız şirketten, talep edilmesi halinde hangi verileri depolandığına dair 20 gün içinde cevap vermesi gerekiyor.

♦ Şirketler, kullanıcı verilerinin “hacklenmesi” durumunda 72 saat içinde açıklama yapmak zorunda kalıyor.

♦ Veriyi kontrol edenin sorumluluğu: Onay toplama, onay yönetimi, silme ve unutulma hakkında sorumluluk sahibi.

♦ Siteye ilk defa gelen bir ziyaretçinin hangi bilgisini otomatik olma durumu tamamen ortadan kalkmış durumda. Yani, web sitesi ya da uygulama sahipleri/yetkilileri ziyaretçi istatistiklerini toplamak için bile ziyaretçinin onayını alması gerekecek.

Yorumlar

yorumlar

Yazar Hakkında

Benzer yazılar

Yanıt verin.

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.