Kişisel verilere sahip olmak ve işlemek, gerek kazanç sağlamak gerekse de yönetim süreçlerini kısaltmak açısından birçok firma ve kurum açısından çok önemli bir hal almıştır. Kişisel verileri işleme süreçleri, beraberinde veri sızıntısı ve ihlaller gibi riskleri de beraberinde getirmektedir. Bu durum kişisel verileri işlenen gerçek kişilerin, mağdur olmasına neden olmaktadır. Kanunun doğuşu da aslında nispeten zayıf durumda bulunan gerçek kişilerin, korunması ihtiyacından ortaya çıkmıştır.

GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. GDPR, etkin bir gizlilik ve güvenlik sağlamak için, kişisel verilerin işlenmesi süreçlerinde;

  1. Veri Sorumlusu organizasyon, firma ve kurumların uyması gerekli yükümlülük, usül ve esasları,
  2. Verisi işlenen gerçek kişilerin (ilgili kişilerin) haklarını belirlemektedir.

GDPR her ne kadar Avrupa Birliği (AB) mevzuatı olarak yürürlüğe girmiş olsa da sınırları AB’yi aşmaktadır. AB üyesi olan ülkelerde kurulan şirket ve organizasyonlar bu kanuna uygun hareket etmek zorundadır. Buna ek olarak, AB üyesi olan bir ülkede kurulmamakla birlikte AB üyesi bir ülkenin vatandaşının verisini işleyen gerçek ve tüzel kişilerde söz konusu kanuna uymak zorundadır. Sonuç olarak, Türkiye’de kurulan ve işletilen fakat AB’de yaşayan kişilerin verilerini işleyen gerçek ve tüzel kişiler GDPR’a uyum sağlamak zorundadır.

GDPR konusunda öngörülen yüksek para cezaları (20 milyon Euro veya yıllık global cironun %4’üne kadar olan para cezaları), bu konuda veri sorumlularını harekete geçiren önemli noktalardan biridir.

GDPR’da verilen tanıma göre; kişisel veri (personal data), kişiyi tanımlayan yada tanımlanabilir kılan her türlü  veridir. Buradan da anlaşılacağı üzere ad-soyad, kimlik no., telefon no, ikamet adresi, fotoğraf, ses kaydı, imza, parmak izi, biyometrik veriler, kan değerleri vs. birçok bilgi kişisel veri kategorisine girmektedir. Bu kapsamda, veri sorumluları hangi kişisel verileri topladığını, sakladığını ve işlediğini tespit etmesi ve bu verileri hangi amaçla, ne maksatla işleyeceğini açık bir şekilde bildirmesi gerekmektedir.

Kişisel Verilerle süreçleri etkin bir şekilde yürütebilmek için hem yönetici kademesinde bulunan hem de kişisel verilerle temas halinde olan personelin “Siber Güvenlik ve Kişisel Veri Farkındalık Eğitimi” almaları gerekmektedir. Ayrıca kurumsal güvenlik politikaları, kişisel veriler göz önüne alınarak tekrar gözden geçirilmelidir. 

GDPR kapsamında veri sorumluları, kişisel verilerini işlediği ilgili kişileri bilgilendirmek, bu verileri teknik olarak korumak ve kurumsal güvenlik prosedür/politikalarını oluşturmak zorundadır. Burada alınacak tedbirlerin, idari ve teknik boyutları vardır. Bu durum, veri sorumluları için alanında uzman kişi ve firmalarla çalışmayı bir zorunluluk haline getirmektedir. Gerekli bilgi ve uzmanlığa sahip firmalar ile bu süreçler, daha profesyonel olarak ele alınarak, herhangi bir yükümlülük gözden kaçırılmamalıdır.

GDPR uyumluluğu konusunda yapacağınız çalışmalarda alanında uzman ekibimizle size destek vermeye hazırız. Her türlü sorunuz için iletişime geçebilirsiniz.