Siber Güvenlik Kanunu Onaylandı! Detaylar Blog Yazımızda
Şimdi Okuyun
SASE Portal Girişi
Firewall Portal Girişi
İş ortağı Ol
> Blog > Siber Güvenlik > GDPR (General Data Protection Regulation) Nedir?

GDPR (General Data Protection Regulation) Nedir?

Açık ve kısa bir ifade ile Avrupa Birliği’nin veri koruma yasası olan GDPR, dünyanın en güçlü gizlilik ve güvenlik yasasıdır. Yönetmelik, 2016 yılında kabul edilmiş ve 25 Mayıs 2018’de uygulamaya girmiştir. Mevzuat işletmelerin daha şeffaf olmasını ve kişilerin gizlilik haklarının korunmasını hedefler. Ayrıca tabi kuruluşlar sistemlerinde ciddi bir veri ihlali tespit ettiğinde kişileri bilgilendirmekle yükümlüdür.

GDPR’nin amacı, AB vatandaşlarına ve AB’de ikamet eden kişilere ait verileri korumaktır. Bu yasa, kuruluşlar AB merkezli olsun veya olmasın, kişisel verileri işleyen tüm kuruluşlar için geçerlidir ve buna “ekstraterritorial etki” denir.

Genel Veri Koruma Yasası, AB’deki insanlara ilişkin hedef alınan verileri korumayı amaçlar. GDPR’nin diğer amaçları ise şu şekilde sıralanabilir:

  • Dijital çağda bireylerin temel haklarını korumak
  • Veri işleyenlerin yükümlülüklerini takip etmek
  • Uygun yöntemlerle uyumluluğun sağlanmasına katkıda bulunmak
  • Kuralları ihlal edenlere yaptırımlar uygulamak

Öyleyse merak edilen GDPR ne işe yarar sorusunun cevabı en temel haliyle şu şekilde verilebilir. Dünya artık her zamankinden daha fazla veri odaklıdır. Bu nedenle bilgisayarlarda depolanan hassas kişisel verilerin miktarı, siber saldırıların ve veri ihlallerinin artmasına neden olmaktadır. GDPR mevzuatı ise veri ihlallerinin önüne geçerek bu anlamda doğabilecek olan büyük riskleri ortadan kaldırmayı hedeflemektedir.

Sase Sase

GDPR Nasıl Sağlanır?

GDPR yasası; veri ihlalleri, gizlilik politikalarına uyulmaması, hak taleplerine yanıt verilmemesi, ihlallerin bildirilmemesi gibi durumlarda uygulamaya konulur. Bu gibi hallerde cezai işlem uygulanır. Bu şekilde GDPR mevzuatı sağlanmış olur.

GDPR’nin sağlanabilmesi için bazı ilkelere dikkat edilmesi gerekir. Bunlar:

  • Yasallık
  • Şeffaflık
  • Adalet
  • Dürüstlük
  • Gizlilik
  • Hesap verebilirlik

Tüm bunların yanında GDPR’nin doğru uygulanabilmesi için;

  • Sadece ihtiyaç duyulan verilerin edinilmesi
  • Edinilen verilerin yalnızca elde edildiği yasal amaç için kullanılması
  • Sahip olunan tüm verilerin doğru olduğundan emin olunması
  • Belirli bir depolama sınırlamasının olması da büyük önem taşır.

GDPR Kimleri ve Neleri Kapsar?

GDPR ne demek? GDPR en basit ifade ile Avrupa Birliği genel veri koruma yasası olarak tanımlanabilir. Eğer bir şirket AB vatandaşlarının kişisel verilerini işliyorsa GDPR o şirket için geçerlidir. Burada kişinin AB ülkesinin dışında ikamet etmesi önemli değildir, AB vatandaşı olması önemlidir.

AB’ye mal veya hizmet sağlayan küçük ve orta ölçekli işletmeler (KOBİ) bu mevzuata uymakla yükümlüdür. GDPR mevzuatı AB ve AB dışındaki tüm kuruluşlar için geçerlidir. Örneğin; AB vatandaşlarının verilerini kullanan Çin merkezli bir şirket için şirketin merkezi AB’de bulunuyormuş gibi aynı yasal yükümlülükler geçerli olur.

Şirketler web sitelerinde çerezleri kullanıyorsa veya AB ülkelerinden ziyaretçilerinin IP adreslerini izliyorsa GDPR o işletmeler için de geçerli olur.

GDPR sadece aşağıdaki durumlarda uygulanmaz:

  • Veri sahibinin vefatı
  • Bir gerçek kişinin ‘kişisel veya aile içi’ bir faaliyet yürütmesi
  • Ticari veya mesleki faaliyetler dışında amaçlarla hareket edilen durumlar

GDPR Hangi Ülkelerde Geçerli?

2025 yılı verilerine göre GDPR mevzuatı aşağıda listelenen AB ülkelerine uygulanır:

  • Avusturya
  • Belçika
  • Bulgaristan
  • Hırvatistan
  • Kıbrıs
  • Çek Cumhuriyeti
  • Danimarka
  • Estonya
  • Finlandiya
  • Fransa
  • Almanya
  • Yunanistan
  • Macaristan
  • İrlanda
  • İtalya
  • Letonya
  • Litvanya
  • Lüksemburg
  • Malta
  • Hollanda
  • Polonya
  • Portekiz
  • Romanya
  • Slovakya
  • Slovenya
  • İspanya
  • İsveç
  • Birleşik Krallık

Birleşik Krallık, Ocak 2021 itibarıyla AB’den ayrılmış olsa da GDPR AB’den ayrılmadan önce yürürlüğe girdiği için geçerli kabul edilir.

Bu ülkelere ek olarak AEA (Avrupa Ekonomik Alanı Anlaşması) ile birleşerek tek bir pazar oluşturan Norveç, Lihtenştayn ve İzlanda da GDPR’ye dâhildir.

GDPR mevzuatını uygulamayan ülkeler ise şu şekilde listelenir:

  • Arnavutluk
  • Beyaz Rusya
  • Bosna-Hersek
  • Kosova
  • Moldova
  • Karadağ
  • Kuzey Makedonya
  • Rusya
  • Sırbistan
  • Türkiye
  • Ukrayna

Bu ülkeler GDPR düzenlemesini uygulamıyor olsalar bile tabilerdir.

Tüm bunların dışında AB dışında olan ama GDPR yeterliliği olan ülkelerde vardır. Bunlar GDPR yeterlilik kararı ile kişisel verilerin aktarılabildiği ülkelerdir.

Avrupa Birliği’ndeki işletmeler ellerindeki kişisel verileri AB’ninkine eşdeğer şekilde koruduğu düşünülen AB/AEA dışındaki ülkelere de verebilir. Özetle, şirketler kişisel verileri herhangi bir ek sözleşme ya da düzenleme olmaksızın bu ülkelere aktarabilir.

GDPR yeterliliği için tanınan ülkelerin listesi ise aşağıdaki gibidir:

  • Andora
  • Arjantin
  • Kanada
  • Faroe Adaları
  • Guernsey
  • İsrail
  • Man Adası
  • Japonya
  • Jersey
  • Yeni Zelanda
  • Kore Cumhuriyeti
  • Amerika Birleşik Devletleri
  • Uruguay

GDPR Uyumluluğu Nedir?

GDPR uyumluluğu, bir kuruluşun 2018 yılı Genel Veri Koruma Yasasının gerekliliklerini karşılamasıyla ilgilidir. GDPR mevzuatı, IP adresleri, e-posta adresleri ve cihaz bilgileri gibi web siteleri tarafından rutin olarak talep edilen verileri kapsar. GDPR kapsamında korunan kişisel veri türleri şunları içerir:

  • Temel kimlik bilgileri
  • Web verileri (konum, IP adresi v.b.)
  • Sağlık ve genetik veriler
  • Irksal ve etnik veriler
  • Siyasi görüşler
  • Cinsel yönelim
  • Yaşayan bir bireye ilişkin her türlü bilgi

GDPR, tüm kullanıcılar için geçerli olan bazı haklar belirler. Uyumluluğu sağlamak için, kuruluşların bu haklara saygı göstermesi gerekir.

GDPR Cezalarının Büyüklüğü Ne Kadardır?

Teknoloji ilerledikçe ve internet kullanımı arttıkça gelişmiş koruma önlemlerine olan ihtiyaç artar. Bu açıdan para cezaları her bir bireysel durum için etkili, orantılı ve caydırıcı olabilir. Kasıtlı ihlal, meydana gelen zararı hafifletmek için önlem almama veya yetkililerle işbirliği yapmama gibi hususlar cezaları artırabilir. GDPR’nin 83(5) maddesinde belirtilen özellikle ciddi ihlaller için para cezası 20 milyon euroya kadar çıkabilir. Söz konusu bir işletme olduğunda önceki mali yılın küresel toplam cirosunun %4’üne kadar ceza seviyeleri artabilir.

Ceza alınacak durum; veri koruma otoriteleri tarafından yürütülen proaktif GDPR denetim faaliyetleri yoluyla, durumdan memnun olmayan çalışanlar aracılığıyla ya da yetkililere şikâyette bulunan müşteriler tarafından ortaya çıkarılabilir.

Veriler, bugüne kadar en yüksek ortalama para cezalarının medya, telekomünikasyon, yayıncılık, sanayi, ticaret, ulaştırma ve enerji sektörlerinde kesildiğini göstermektedir.

GDPR ve KVKK Arasındaki Benzerlikler ve Farklar

GDPR ve KVKK aynı amaca hizmet eden düzenlemeler olarak değerlendirilse de hukuk sistemlerinin farklılığı dolayısıyla farklı hükümler barındırır. İki uygulama arasındaki temel fark cezai ihlaller sonucunda oluşan para cezalarına ilişkindir. KVKK’ da ceza üst sınırı GDPR’ye göre son derece düşüktür. KVKK Türkiye’de, GDPR ise AB’de yaşayan kişilerin verilerinin korunması içindir. Bu açıdan GDPR çok daha kapsamlı bir mevzuattır.

Özetle; GDPR, veri işlemcilerine kişisel verilerin kayıtlarını ve bunların nasıl işlendiğini tutmaları için yasal yükümlülükler getirir. Kişilere verilerinin çevrimiçi olarak nasıl toplandığı, kullanıldığı ve korunduğu konusunda kontrol sağlar. Kuruluşları da topladıkları kişisel verileri kullanma ve güvence altına alma konusunda katı kurallara bağlar. Tüm bu durumlar işletmelerin şifreleme ve yüksek güvenlik önlemlerine yatırımını gerekli kılar. Bu nedenle büyüyen iş ihtiyaçlarınız karşısında güçlü GDPR politikasına sahip olmak iyi bir fikirdir. Siz de, güçlü bir müşteri güveni ve sağlam bir itibar oluşturarak pazarda öne çıkmak istiyorsanız şimdi veri gizliliğinizi korumaya başlamak için Berqnet Siber Güvenlik ile tanışabilirsiniz.

SSS

GDPR nerede ve ne zaman uygulanır?

GDPR yasaları kuruluşun AB’ye dâhil olup olmadığına bakılmaksızın her yerde uygulanabilir. AB vatandaşlarının kişisel verileri ihlal edildiğinde uygulanır.

GDPR Geçerli Olduğu Durumlar Nelerdir?

GDPR; Avrupa Birliği sınırları içerisinde bulunan kuruluşlar, AB vatandaşlarına mal/hizmet sunan Avrupa Birliği dışında bulunan kuruluşlar ve uluslararası hukuk kapsamında üye devletlerin yasalarına bağlı olan AB dışı kuruluşların faaliyet durumlarını izlemede geçerlidir.

Kaynakça:

  1. https://www.consilium.europa.eu/en/policies/data-protection-regulation/
  2. https://gdpr.eu/companies-outside-of-europe/
  3. https://www.consilium.europa.eu/en/policies/data-protection-regulation/
  4. https://www.epsu.org/sites/default/files/article/files/GDPR_FINAL_EPSU.pdf
  5. https://www.gdpradvisor.co.uk/gdpr-countries
  6. https://commission.europa.eu/law/law-topic/data-protection/data-protection-explained_en
  7. https://gdpr-info.eu/issues/fines-penalties/#:~:text=83(5)%20GDPR%2C%20the,less%20severe%20violations%20in%20Art
  8. https://gdpr-info.eu/issues/fines-penalties/#:~:text=83(5)%20GDPR%2C%20the,less%20severe%20violations%20in%20Art

Teklif Al Şimdi Ara

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
İş Ortağı Olun

Size En Uygun Berqnet Çözümüyle Tanışın

Berqnet Firewall ve SASE Platformu

Teklif Al
Demo Talebi