GDPR ve Kişisel Verilerin Korunması Kanunu

GDPRGDPR Nedir?

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. (EU) 2018/1725 sayılı AB Mevzuatıyla düzenlenen bu kanun AB (EC) No 45/2001 Mevzuatı ve  1247/2002/EC Kararı ‘na da atıf da bulunmaktadır.
Önceki gizlilik yönergeleri direkt olarak kişisel verileri toplayan/kullanan/saklayan/işleyen işletme ya da ticari işlemlerle alakalıydı. Bu yönergeler sayesinde kişisel verilerin nerede, nasıl, ne kadar süreyle tutulabileceği ve bu verilerle nelerin yapılabileceğinin kuralları belirlenmiş durumdaydı. GDPR’da ise üzerine yoğunlaşılan kesim doğrudan kişisel verilerin sahipleri oldu. GDPR ile kişisel veri sahiplerinin kendi kişisel verilerine ait hangi haklara sahip olacağının net bir şekilde çerçevelenmesi amaçlanmıştır. Kişisel Verileri Korunması ile ilgili uluslararası boyutu daha detaylı incelemek incelemek için şu makalemize göz atabilirsiniz: KİŞİSEL VERİLERİN KORUNMASI ULUSLARARASI VE TÜRKİYE BOYUTU

İşletmelerin GDPR’a uyumlu olmaları için yapmaları gerekenler hususunda, bu alanda uzman kişilerden Türkiye Kişisel Verilerin Korunması Kanunu mevzuatlarına uyum açısından KVKK Danışmanlığı gibi alanlarda destek almaları kaçınılmaz ve önemli bir adım haline geldi.

Genel Veri Koruma Yönetmeliği GDPR’ye kimler uymak zorundadır?

Vatandaşları ve müşterileri Avrupa Birliği sınırları içerisinde yer alan ve onların verilerini toplayan/kullanan/saklayan/işleyen tüm şirketler, Genel Veri Koruma Yönetmeliği GDPR’ye tabidir.

Kişisel Verilerin Korunması Kanunu’na Kısa Bir Bakış

Kişisel verilerin işlenmesinin koruma/kontrol altına alınması yoluyla kişisel verilerin korunması, temel hak ve özgürlüklerin korunması ile yakından ilgilidir.
Kişisel verilerin korunması ile kişisel verilerin ilişkili olduğu kişilerin korunması amaçlanmaktadır. Başka bir ifade ile kişisel verilerin korunması; kişileri, onlara dair kişisel verilerin işlenmesinden doğacak zararlardan korumayı ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir veriye kişisel veri diyebilmemiz için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Tüzel kişilerin verileri bu kapsama girmemektedir. Buna göre;

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.

2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.

3. Her türlü bilgi:  Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, fotoğrafı, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Genel Değerlendirme

İşletmenin tüm faaliyetleri, prosedürleri, güvenlik politikaları ve hedeflerinin yeniden düzenlenmesi gerekmektedir. Bununla beraber yöneticilere ve işletme çalışanlarına süreç iyi anlatılmalı, eğitimler verilmeli ve sürecin içselleştirilmesi sağlanmalıdır. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi gerekmektedir. Bu belgelendirme işleminin de Kişisel Verilerin Korunması Kanunu’ na uyumlu olması, işbu kişisel verilerinin nasıl toplanacağının/kullanılacağının/saklanacağının/işleneceğinin açık bir şekilde belirtilmesi beklenmektedir.

Bu uyum sürecinde güncel Pandemi ile ilgili ortaya çıkan hususları ele aldığımız Covid 19 ve KVKK makalemize de göz atmanızı tavsiye ederim.

Onur Kısakol

Danışman | Turquality & Yönetim Danışmanlığı