İnternetin evrimi ve web teknolojisinin gelişimi, insanların kendilerine ait içeriklerini dünya çapında yayımlama imkanı sunmasına olanak tanıdı. Ancak, bu içeriklerin kontrolü ve denetimi adına kullanıcıların kendilerine ait kişisel bilgileri paylaşma zorunluluğu getirdi. Bu veriler sonrasında üçüncü parti kişi ve kurumlar tarafından elden ele geçirilerek paylaşıldı. Aynı zamanda, internet alışverişinin de artması nedeniyle kişisel bilgilerin, adı soyadı, adres, telefon, çerezler, IP adresi ve kredi kartı bilgilerinin paylaşılması zorunlu hale geldi. Bu durum, kişisel verilerin normalden daha fazla korunması gerekliliğini ortaya çıkardı. Avrupa Birliği, kişisel verilerin manipülasyona ve ticarete açık olması nedeniyle, bu durumun önüne geçmek için GDPR yönetmeliğini yürürlüğe koydu.
GDPR Nedir?
GDPR, General Data Protection Regulation’ın kısaltmasıdır ve Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi üzerine kurulmuştur. Bu düzenleme, kişisel verilerin güvenliğini ve korunmasını teşvik etmek amacıyla Avrupa Birliği üyesi ülkelerde uygulanır.
173 paragraf, 99 madde ve 90 sayfadan oluşan GDPR, insanların özel hayatının gizliliğini, aile korunması gibi temel konuları kapsar ve üye ülkelerin iç mevzuatlarına göre hukuki düzenlemeler yapılmasını amaçlar.
Bu düzenleme, kişisel verilerin korunması ve gizliliğinin önemini vurgular ve bu verilerin adil ve güvenli bir şekilde kullanımını sağlamaya çalışır. Üçüncü parti kişi ve kurumların kişisel verilerin doğru ve dürüst bir şekilde kullanmasını zorunlu kılar ve bu verilerin ticaretine ve manipülasyonuna karşı koruma tedbirleri sunar.
Bu kişisel veriler:
● İsim, adres, kimlik numarası
● Konum, Ip adresi, cookie bilgileri vb. internet verileri
● Fiziksel görünüme ait veriler ve biometrik veriler
● Irk köken bilgileri
● Siyasi görüş
● Tıbbi veriler gibi verileri kapsamaktadır.
Bununla birlikte, Türkiye’de de Kişisel Verilerin Korunması Kanunu (KVKK) adıyla bir düzenleme bulunmaktadır ve bu düzenleme de GDPR’a benzer özellikler taşır. KVKK, GDPR’nin Türkiye özelinde hazırlanmış olan bir örneğidir demek mümkündür.
Avrupa Birliği üyesi olmadığı için GDPR kapsamına tam anlamıyla girmeyen Türkiye’de de kişisel veriler son derece hassas bir konu olup ülkemiz buna yönelik kanunlar çıkaran ülkeler arasında ilk sıralarda yer alır. Buna yönelik olarak da Türkiye’de kişisel verilerin korunmasına yönelik olarak son çıkan kanun KVKK’dır.
Şimdiye kadarki en güncel ve ayrıntılı kişisel verileri korumaya yönelik düzenleme olan GDPR, Avrupa Birliği üyesi ülkelerin ve hatta dünya çapında kişisel verilerin korunması ve güvenliği konularındaki güncel mevzuatı yansıtmaktadır.
Yerel sınırların ötesinde ürün ve hizmet sunan kurumlar da GDPR kapsamında yer alır. Avrupa Birliği dışındaki ülkelerden AB ülkelerine ürün ve hizmet sunan firmalar, GDPR’ın gereklerini tam olarak kabul etmek ve uygulamak zorundadır. Bu durum 23 numaralı paragrafın belirttiği gibi geçerlidir. Bu nedenle, sadece AB ülkelerine ürün ve hizmet sunan kurumlar da GDPR kapsamında yer alır ve veri koruma gereklerine uymak zorundadır.
Başarılı Bir GDPR Süreci Geçirebilmeniz İçin Yapmanız Gerekenler Nedir?
Her web sitesi, genel veri koruma yasalarından etkilenecektir. Web sitenizin tamamen uyumlu olmasını sağlamak için, müşteri verileri bakış açısından tasarlamaya başlamanız gerekir. Başlamadan önce verilerin toplandığı tüm yerleri listeleyin ve aşağıdaki kurallara göre bir denetim listesi oluşturun.
● Kullanıcıların verilerinin toplanması hakkında bilgilendiriliyorlar mı?
● Verilerin ne amaçla kullanılacağı açık bir şekilde belirtiliyor mu?
● Ziyaretçilerin açık ve net bir onay vermelerine imkan tanınıyor mu?
● Veriler, ziyaretçilerin istekleri doğrultusunda sunulabilir mi?
● Veriler, ziyaretçilerin istekleri doğrultusunda silinebilir mi?
● Veriler, ziyaretçilerin istekleri doğrultusunda anonim hale getirilebilir mi?
● Gizlilik politikası, veri kullanımıyla ilgili tüm gerekli bilgileri içermelidir.
Web siteleri, genellikle kayıtlı kullanıcılar, yorumlar, iletişim formları, trafik ve analitik unsurlar, e-posta abonelikleri, reklam unsurları ve güvenlik eklentileri gibi yollarla veri toplar. Her biri için de GDPR kurallarına uymak zorundasınız.
GDPR’a Uyumlu Olmak İçin Yapılması Gerekenler Nedir?
General Data Protection Regulation (GDPR) uyumlu olmak için birkaç önemli adım atmanız gerekmektedir. Bunlar şunlardır:
● Veri toplama ve kullanma işlemlerinin tanımlanması: İşletmeniz hangi tür verileri topluyor ve nasıl kullanıyor? Bu verilerin ne amaçla toplandığını, kimler tarafından kullanılacağını ve ne kadar süreyle saklanacağını belirlemeniz gerekir.
● İzinli veri toplama: Kullanıcıların verilerinin toplanmasına izin vermeleri gerekir. Bu, onlara verilerinin ne amaçla kullanılacağı, kimler tarafından kullanılacağı ve süresi hakkında bilgi vermenizi gerektirir.
● Veri güvenliği: Topladığınız verilerin güvenliğini sağlamak zorundasınız. Verilerin şifrelenmesi, sık sık yedeklenmesi ve güvenli bir ortamda saklanması gibi önlemler almanız gerekmektedir.
● Gizlilik politikası: Gizlilik politikanız, verilerinizin nasıl toplandığı, kullanıldığı, saklandığı ve korunduğu hakkında bilgi vermelidir. Bu politikanın kullanıcılar tarafından anlaşılması için açık ve net bir şekilde yazılması gerekir.
● Verilerin erişilebilirliği: Kullanıcılar verilerinin nasıl erişilebileceğini, hangi amaçla kullanılacağını ve ne kadar süreyle saklanacağını isteyebilirler. Bu isteklere yanıt vermek ve verileri gerektiğinde silmek zorundasınız.
● Eğitim: İşletmenizdeki tüm çalışanların GDPR kurallarını ve gizlilik politikalarını anlamaları ve uygulamaları gerekir.Kişisel veri ihlallerini tespit etmek, araştırmak ve raporlamak için gerekli prosedürlerin bulunmasını sağlayın ve GDPR’ın belirttiği 72 saatlik bildirim süresini karşılamaya hazır olun.
Bu adımlar, GDPR uyumlu olmak için gereken temel önlemlerdir. Detaylı bir şekilde uyum sağlamak ve gerektiğinde önlem almak için, bir hukuk danışmanından yardım almanız yararlı olabilir.
Özetle GDPR, Avrupa Birliği’nde uygulanır ve kişisel verilerin güvenliğini ve korunmasını teşvik etmek amacıyla oluşturulmuş bir düzenlemedir. Bu düzenleme, insanların özel hayatının gizliliğini ve kişisel verilerinin adil ve güvenli bir şekilde kullanımını sağlamaya çalışır. Üçüncü parti kişi ve kurumların kişisel verilerin doğru ve dürüst bir şekilde kullanılmasını zorunlu kılar ve bu verilerin ticaretine ve manipülasyonuna karşı koruma tedbirleri sunar. Kişisel veriler, isim, adres, kimlik numarası, konum, IP adresi, cookie bilgileri, fiziksel görünüme ait veriler, biyometrik eriler, ırk köken bilgileri, siyasi görüş, tıbbi veri er gibi verileri kapsar.
