TR
TürkçeEnglishItaliano
first_page

GDPR nedir?

Türkiye’nin e-ihracatında önemli bir ağırlığa sahip olan AB bünyesinde uygulamaya başlanacak olan Avrupa Birliği Genel Veri Koruma Yönetmeliği (EU GDPR) 25 Mayıs 2018 tarihinden yürürlüğe girmiştir.

Oldukça kesin düzenlemeler getiren GDPR, kişisel veriler konusunda gerektiği şekilde hareket etmeyen şirketlere yıllık cironun yüzde 4’üne veya 20 milyon Euro’ya varan ağır cezalar da getiriyor.

GDPR’nin Avrupa Birliği ülkelerine e-ihracat yapan bütün şirketleri etkilemekte ve “Yeni yönetmelik her şeyden önce bireyi merkeze alıyor. Şirketler kişisel verilerin talep edildiği tüm süreçlerini açık, şeffaf ve anlaşılabilir olarak ifade etmek zorundalar. Öte yandan GDPR, kullanıcıların daha önce vermiş oldukları veri işleme izinlerini istedikleri anda kaldırabilmelerini de kolaylaştırıyor.”

Avrupa Birliği bünyesindeki ülkelerin vatandaşlarının kişisel bilgi güvenliği ve gizlilik haklarını korumak amacıyla düzenlenen AB Genel Veri Koruma Yönetmeliği olarak tanımlanabilecek EU GDPR (EU General Data Protection Regulation) 25 Mayıs 2018 Cuma günü yürürlüğe girmiştir. AB’nin kişisel verilerin korumasına yönelik olarak son yıllarda yaptığı en büyük reformlardan biri olarak gösterilen GDPR, getirdiği düzenlemeler nedeniyle Avrupa Birliği ülkelerine e-ihracat yapan şirketleri yakından ilgilendiriyor.

AB veri güvenliği düzenlemesine uymayanlar 20 milyon Euro’ya kadar cezalarla karşılaşabilir

Yeni düzenleme çok kesin hatlara sahip olmakla birlikte: “Yeni yönetmelik kullanıcıyı merkeze alarak oluşturulduğu için, içinde bulunan tüm maddeler tamamen kullanıcı açısından konuya bakarak şirketlerin atması gereken adımları tespit ediyor.”

GDPR’da kullanıcı, ‘ilgili kişi’ olarak tanımlanıyor. Herkesin kendi kişisel verilerinin sahibi olduğu merkeze alınarak oluşturulan bu yönetmelik, şirketlere de bu bağlamda önemli sınırlamalar ve kısıtlamalar getiriyor. Bunu dikkate almayan şirketler önemli cezalar ödemek durumunda kalabilir. Türkiye’den AB ülkelerine hizmet veya mal satışı yapan şirketler, GDPR ihlalleri sebebiyle 20 milyon Euro’ya varan cezalarla karşılaşabilir.”

Yeni düzenlemede dikkat çeken 5 önemli nokta

Eğer e-ihracat yoluyla AB’ye hizmet veya mal satışı yapan bir şirketiniz varsa, GDPR uygulamasına uygunluğunuzu mutlaka gözden geçirmenizde fayda var. GDPR yönetmeliğine uyum sağlamak için şirketlerin mutlaka dikkate alması gereken 5 temel nokta şu şekilde sıralanıyor:

1- Geniş Yetki Alanı:

Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin nerede bulunduğu fark etmeksizin GDPR uyumluluğu aranacak. Örneğin, Türkiye merkezli e-ticaret sayfanızdan, Almanya’daki müşterinize satış yapmadan öncesi ve sonrasındaki tüm adımlarda, topladığınız bütün veriler için GDPR uyumluluğu aranacak. (E-posta üyelik, SMS bildirimi, web sitesi izleme ve takip araçları, vb.)

2- Yüksek Cezalar:

GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.

3- Rıza Almak:

Kullanıcıdan kişisel bilgiler istenirken, net ve kolayca anlaşılır bir şekilde rıza istenmeli ve bu süreç diğer işlemlerden ya da konulardan ayırt edilebilecek şekilde oluşturulmalı. Kullanıcı vazgeçtiği zaman, daha önceden vermiş olduğu rızayı kolaylıkla ve hızla iptal edebilmeli. Buna ek olarak, şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan kişisel verileri talep edebileceklerdir. Örneğin, e-posta, SMS veya uygulama içi bildirimler gibi çok net ve görünür şekilde yönetilebilir olmalıdır. Dileyen kullanıcı basit şekilde bildirimleri kapatabilmelidir.

4- İhlal Bildirimleri:

İhlal bildirimleri zorunlu olacaktır. Yeni düzenlemeye göre kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde bildirim işlemini tamamlaması gerekiyor. Örneğin, veritabanına bir sızma olduğu tespit edilirse, 72 saat içerisinde etkilenen kullanıcılar tespit edilmeli, bu kişiler net ve şeffaf şekilde ihlale yönelik bilgilendirilmeli ve çözüm yolları aktarılmalıdır.

5- Gizlilik:

Yeni yönetmelik, veri koruma işlevinin sistemler tasarlanırken daha en baştan işleyişe ve sürece dahil edilmesini, sonradan ekleme yoluyla uygulanmaması şartını da beraberinde getiriyor. Bu nedenle şirketlerin sistemlerini daha ilk günden itibaren yeni yönetmelikle uyumlu olarak tasarlamaları gerekiyor.

Avrupa Birliği ile iş yapan tüm şirketlerin konuya hassasiyetle ve ivedi bir şekilde eğilmesi gerekmekle birlikte ayrıca, şirketlerin müşterilerine ve ilgili kişilere ait bilgileri toplaması, saklaması ve işlemesi için, öncelikle bu bilgilerin hangi amaç için ve ne maksatla talep edildiğinin açık bir şekilde belirtilmesi gerekiyor. Eğer amaç değişirse, ilgili kişiden mutlaka yeniden muvaffakiyet alınması şart koşuluyor.

Bu yüzden, AB ile ticari ilişkisi bulunan tüm firmaların kişisel veri ile ilgili işlem yapmadan önce; bu verileri nasıl kullanacaklarıyla ilgili sıkı bir inceleme yapmasını öneriyoruz. İlgili prosedürlerinin anlaşılır olmasını; hiçbir açık bulunmamasını ve Avrupa Birliği’nin yenilenen GDPR düzenlemesiyle birebir uyumlu olup olmadığını çok titiz ve dikkatli bir şekilde kontrol etmeliler. Üstelik bunu çok hızlı bir şekilde, ivedilikle yapmalılar, çünkü yönetmelik 25 Mayıs 2018 tarihinden itibaren yürürlükte olacak. Aksi takdirde şirketler çok ciddi yaptırımlarla karşı karşıya kalabilirler.”

GDPR sizin şirketinizi de etkileyecek mi?

GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de Avrupa Birliği dışındaki şirketler için geçerli. Avrupa Birliği vatandaşlarına mal veya hizmet sunan ya da davranışlarını izleyen tüm şirketler GDPR’nin düzenlemelerinden etkileniyor. GDRP uygulaması, hem denetleyiciler hem de işleyiciler için geçerli bir düzenleme olduğundan dolayı oldukça geniş bir etki alanına sahip bulunuyor.

 

İlgili yasal mevzuata ulaşmak için tıklayınız.