25 Mayıs 2018 itibariyle yeni Avrupa Birliği Genel Veri Koruması Yönetmeliği(GDPR) yürürlüğe girmiştir. 95/46/AT sayılı direktif yerine kabul edilen ve uluslararası şirketler tarafından uzun bir süredir hakkında uyum çalışmalarının yapıldığı GDPR’ın en önemli özelliği şirketlerin  bir önceki yıllık global cirosunun %4’üne varan ölçüde ağır yaptırımlar içermesi olan bu yasa hakkında kısa bilgileri aşağıda dikkatinize sunmaktan mutluluk duyarız.

GDPR kapsamı:

GDPR, kişisel verilerin adil ve sorumlu bir şekilde ele alınması için yasal bir çerçevedir.GDPR aşağıdaki kriterlere haiz herhangi bir şirket için geçerlidir:

  • AB’de kurulmuş
  • AB’deki bireylere mal veya hizmet sunan; veya
  • AB’de bireylerin davranışlarını izleyen (tüketim tercih ve alışkanlıkları gibi)

GDPR, nerede kurulmuş olursa olsun her şirketi aynı temel veri koruma standartları altında birleştirir. Bu, AB pazarını hedefleyen ve AB coğrafyası dışında (mesela Türkiye, Avustralya veya Amerika Birleşik Devletler gibi devletlerde) kurulmuş olan bir şirketin bile, AB operasyonları veya işleriyle ilgili kişisel verileri işlemesi için GDPR’a uyması gerektiği anlamına gelir.

Kişisel Verilere Giriş

GDPR, kişisel verilerin işlenmesiyle ilgilidir. Peki, kişisel veriler nedir?

GDPR’a göre kişisel veriler, tanımlanmış veya tanımlanabilir bir gerçek kişi ile ilgili herhangi bir bilgidir. Kişisel veriler, insanlar hakkında bilgi, örneğin: isimler; ev adresi veya mevcut GPS konumu gibi konum bilgileri; bir cep telefonu numarası; mobil cihaz kimliği ve IP adresi olabilir. Bir kişiyi tanımlamamakla birlikte, tarama geçmişi veya coğrafi konum gibi bazı veriler, kişisel verileri yapan belirli bir kişiyle ilgilidir. Bir iş unvanı bile kişisel veri olabilir.

Kişisel veriler doğrudan veya dolaylı olarak bir bireyle ilişkilendirilebilir. Örneğin, bir iş arkadaşına birisini tanımlıyor ve “Muhasebe alanında Ahmet Yılmaz” diyorsak, onu doğrudan tanımlamış oluruz. Bununla birlikte, “Muhasebede kısa saçlı uzun boylu genç” diyorsanız, dolaylı olarak onu tanımladık demektir. Bir kişiyi dışarıdan görüntülemenize izin veren, örneğin bir resim veya ad içermeyen, ancak ilgi alanları ve alışkanlıklar içeren çevrimiçi bir profil gibi bilgiler de, dolaylı bir tanımlama türüdür ve GDPR kapsamında kişisel veriler olarak kabul edilir. 

Özel Kategoriler ve Hassas Veriler

Bazı kişisel veri türleri diğerlerinden daha hassas kabul edilir ve GDPR kapsamında özel veri kategorileri olarak sınıflandırılır. Bu özel kategoriler, bireyin ırkı veya etnik kökeniyle ilgili verileri içerir; siyasi görüşler; dini veya felsefi inançlar; sendika üyeliği; sağlık; cinsel yaşam veya cinsel yönelim; genetik veriler; ve biyometrik verilerdir.

Herhangi bir kişisel veri işlenirken, kuruluşlar veriye niçin ihtiyaç duyduklarına ve nasıl korunduğuna dair kanıt sunmaya hazır olmalıdır. Bununla birlikte, hassas kişisel verilerin uygunsuz kullanımı veya ifşası bireyler üzerinde daha önemli ve olumsuz bir etkiye sahip olabileceğinden, kuruluşlar hassas verileri işlerken daha sıkı gerekliliklere uymak zorunda kalabilir.  

İlgili Kişi (Veri Sahibi), Veri Sorumlusu veya Veri İşleyen

GDPR, veri işlemede yer alan farklı tarafları tanımlamak için belirli şartlara sahiptir. İlgili Kişi, bilgileri bir kuruluş tarafından toplanan ve kullanılan kişisel veri sahibi kişilerdir. Veri sorumluları, verileri toplayan kişilerden toplayıp bunların nasıl kullanılacağına karar verenlerdir. Veri işleyenler, veri sorumluları adına belirli görevleri gerçekleştirmek için veri sorumlusu tarafından görevlendirilen kimselerdir.

Rıza Beyanı 

Şirketlerin kişisel verileri işlemesinin birçok nedeni vardır: bireylere hizmet veya mal sağlamak; pazar araştırması veya analitik; kamu güvenliği; Bir iş ilişkisinin parçası olarak; istihdam amaçlı ve benzerleri gibi. Ancak, GDPR kapsamında, bir kuruluş, sözleşme gereklilikleri, yasal yükümlülükler veya bir veri sahibinin rızası gibi kişisel verileri işlemek için meşru bir yasal gerekçeye dayanmalıdır.

GDPR, bir beyanın “rıza” olarak nitelendirilmesi için bazı kriterler koyar. Bunlar:

  • Rıza açıkça belirtilmelidir.
  • Rıza serbest iradeyle verilmelidir, zorunlu olmamalıdır. Organizasyonlar, bireylere sadece, verilecek ürün veya hizmeti sunmak için gerekli olan kişisel verileri veya işlem için onay vermelerini talep edebilir.
  • Rıza açık, net bir dilde olmalı ve kolayca erişilebilir olmalıdır.
  • Rıza formunda kişisel verilere ilişkin rıza, eğer varsa diğer onay kalemlerinden veya onay kutularından ayırt edilebilir olmalıdır.
  • Sessizlik rıza olarak kabul edilmez.

Veri Azaltma ve Amaç Sınırlaması

Veri sorumlularının kişisel verileri işlerken GDPR kapsamında belirli yükümlülüklere sahiptir. Topladıkları kişisel verilerin ve niçin toplandıklarının bilincinde olmalıdırlar. Veri en aza indirgeme, kuruluşların sadece belirli iş amaçları için ihtiyaç duydukları verileri toplayabilecekleri ve bu amaçlar için artık gerekli olmadığında verileri yok etmeleri veya anonim hale getirmeleri gerektiği anlamına gelir. Amaç sınırlaması, bu verilerin sadece verilerin toplandığı ve tipik olarak birey tarafından üzerinde anlaşıldığı amaçlar için nasıl kullanıldığını sınırlar.

İlgili Kişinin (Veri Sahibinin) Hakları

GDPR, spesifik olarak veri sahiplerinin haklarını ortaya koymaktadır. Veri sorumluları bu haklara saygı duymakla ve veri sahiplerinin bunları kullanabilmelerini sağlamakla yükümlüdür. Veri sorumluları yükümlülükleri gereği, ilgili kişinin taleplerine ilişkin veri işleyenlere bilgi vermelidirler.

İlgili Kişinin Hakları GDPR 12 ve 23 maddeleri arasında düzenlenmiştir. En göze çarpan haklar:

  • Hangi kişisel verilerinin olduğunu öğrenme ve kişisel veriye erişme hakkı
  • Kişisel veride değişiklik yapma hakkı
  • Kişisel verinin silinmesi talep etme hakkı
  • Kişisel verinin unutulmasını talep etme hakkı
  • Kişisel verinin şifrelenmesi/bulanıklaştırılması (anonim hale getirilmesini) talep hakkı
  • Kişisel veriyi işlemeye sınır getirme hakkı
  • Verinin transferini (taşınmasını) talep hakkı
  • Otomatik karar verme sistemi ve profillemeye itiraz hakkı

Veri Güvenliği

Veri sorumluları, işlenmekte olduğu süre boyunca verileri güvenli ve gizli tutmalıdır. Organizasyonlar erişimi kısıtlayarak kişisel verileri korumalı ve verileri daha az tanımlanabilir yaparak riski azaltabilir.

Veri şifrelenebilir; Bu, okunabilir bir formattan, şifre çözme anahtarı olmadan okunamayan rastgele bir sembol dizisine dönüştürülür. Bu şifreleme, verilere yetkisiz amaçlar için erişilmesini veya kullanılmasını önler.

Veriler ayrıca takma isimle de saklanabilir. Bu yöntem, doğrudan tanımlayıcıların – ve bazen de dolaylı tanımlayıcıların – bir veri tabanından kaldırılmasını gerektirir. Bu yöntemin etkili olması için, yetkisiz bir kişi; belirli bir bireyle, mevcut  verileri birbirine bağlayamamalıdır. Yetkisiz kullanımı önlemek için kaldırılan veriler, takma isim verilmiş verilerden ayrı tutulmalıdır.

Başlangıçtan İtibaren Koruyucu Tasarım (A’dan Z’ye Koruma – Privacy By Design)

GDPR, kurumların kişisel verilerin işlenmesi sırasında gizliliği tüm süreçlerde ve tüm boyutlarda dikkate almasını düzenler. Bu genellikle “Başlangıçtan İtibaren Koruyucu Tasarım” olarak adlandırılır. Başlangıçtan itibaren Koruyucu Tasarım, bir ürün, hizmet veya iş çabasının, geliştirilmesi ve tasarlanmasından sonra tasarlandığı veya planlandığı andan itibaren gizliliği göz önünde bulundurma işlemidir .

Şirketlerin, Başlangıçtan İtibaren Koruyucu Tasarım gereği gizlilik uygulamalarını kanıtlamaları ve kanıtlamaları gerekmektedir. Bu yükümlülüğü yerine getirebilmek için, proje geliştirme sürecinin bir parçası olarak gizlilikle ilgili hususları, riskleri ve riskleri azaltıcı çözümleri belgelemeniz gerekebilir.

Sorumluluk

Şirketler, sadece Başlangıçtan İtibaren Koruyucu Tasarım uyguladığını kanıtlamakla kalmayıp, aynı zamanda GDPR’ın diğer yönlerine uyduklarını da kanıtlamalıdırlar. Bu hesap verebilirlik gereksinimini karşılamak için, sahip olduğunuz verileri, nasıl kullanıldığını, kiminle paylaşıldığını, nerede saklandığını ve ne kadar süreyle, ne zaman ve nasıl veri yok edildiğini belgelemeniz gerekebilir. Doğru kayıtları tutmak, kuruluşunuzun bu sorulara derhal yanıt vermesine yardımcı olur.


Av. Altuğ Özgün – Astellas Pharma Etik ve Uyum Direktörü

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.