GDPR (General Data Protection Regulation) Nedir ve Ne İşe Yarar?

İnternet teknolojisinin Web 1.0’dan Web 2.0’a geçişi ile birlikte artık tüm insanlar sosyal medya platformları, bloglar vb. platformlar üzerinden kendi içeriklerini yayımlayabilir duruma geldi. Ancak pek çok platform bu içerik paylaşımlarını kontrol altında tutmak ve denetlemek adına insanlardan kendilerine ait birçok bilgiyi paylaşmalarını zorunlu tuttu. Elbette ki olay bununla da bitmedi, kullanıcıların paylaştıkları kendilerine ait bu veriler daha sonra adeta elden ele aktarıldı ve üçüncü parti kişi ve kurumlarla paylaşıldı.

Bunun dışında internetten alışverişin de popüler olduğu bu dönemde alışveriş için gerekli olan isim-soy isim, adres, telefon bilgileri, çerezler, IP adresi ile birlikte kredi kartı bilgileri de paylaşılmak zorunda olduğundan, bu durum kişisel verilerin normalden daha fazla korunması gerekliliğini öne çıkardı. Korunması gereken kişisel veriler, manipülasyona ve ticarete de açık olduğundan Avrupa Birliği, bu durumun önüne geçmek adına GDPR düzenlemesini gerçekleştirdi.

GDPR Nedir?

GDPR; Avrupa İnsan Hakları Sözleşmesi’ni kaynak edinen ve kişisel pek çok içeriğin koruma altına alınmasını teşvik eden bir düzenlemedir.

GDPR’nin açılımı General Data Protection Regulation olup Türkçeye Genel Veri Koruma Tüzüğü olarak çevirebiliriz. Bunun dışında ülkemizde bulunan Kişisel Verilerin Korunması Kanunu, yani bilinen kısaltmasıyla KVKK da GDPR’ye birçok yönden benzerlik göstermektedir.

Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesini kendine kaynak edinen GDPR; 173 paragraf, 99 madde ve 90 sayfadan oluşmakta olup özel hayatın gizliliği ve ailenin korunması gibi temel konuları kapsar. Avrupa Birliği üyesi ülkelerin iç mevzuatlarına yönelik hukuksal düzenlemeler yapılmasını da amaçlayan bir düzenleme olup şimdiye kadarki en güncel ve detaylı kişisel verileri korumaya yönelik bir düzenleme olarak öne çıkar.

GDPR’nin Kısa Tarihi

Aslında kişisel verileri korumaya yönelik bir düzenleme Avrupa’da hâlihazırda bulunuyordu ve geçmişi de oldukça eskiye dayanmaktaydı. GDPR öncesi en son benzeri bir düzenleme olan 95/46/AT sayılı AB Veri Koruma Direktifi, gelişen teknoloji ve beraberinde getirdiği yeniliklerden sonra oldukça yetersiz kaldı. Sonrasında yeni bir düzenlemenin gelmesi gerektiği konuşuldu ve benimsendi. Bunun sonucu olarak da 15 Aralık 2015’te yeni bir düzenlemenin kabulü konusunda oy birliği sağlandı ve bu sayede şu anda yürürlükte olan GDPR internet dünyasına giriş yaptı.

Yeni düzenleme olan GDPR, Avrupa Parlamentosu, Avrupa Birliği Konseyi ve Avrupa Birliği Komisyonu arasında tüm Avrupa Birliği genelinde taslak haliyle daha modern ve uyumlu olarak kabul gördükten sonra 14 Nisan 2016’da kabul edilmiştir. GDPR, 25 Mayıs 2018 tarihinden itibaren uygulanmak üzere 24 Mayıs 2016 tarihinde Avrupa Birliği Resmî Gazetesi’nde yayımlamıştır.

GDPR Kimleri ve Neleri Kapsar?

GDRP; uygulama alanı olarak genel kapsamda veri sahiplerini, yani kullanıcıları koruma altına almıştır. Ücretli ya da ücretsiz sunulan tüm mal ve hizmetlerde veri sahibi olarak nitelendirilen kişi ve kurumların (yani web siteleri ve platformların) elde ettikleri kişisel verileri koruması ve hiçbir şekilde ticari yönde paylaşmaması gerekliliğine yöneliktir.

Söz konusu kişisel verilere yönelik GDPR düzenlemesinde açıkça belirtilen sıfatlar ve bu sıfatlara yönelik de bazı sorumluluklar yer almaktadır. Ayrıca elde edilen verilerin nasıl, nerede ve hangi sürelerle korunması gerektiğine yönelik konuların yer aldığı GDPR’de her ne olursa olsun işlenmemesi gereken verilere yönelik maddeler de bulunmaktadır.

Yani kısaca GDPR, internet ortamında herhangi bir aktivitede bulunan herkesi, istisnasız olarak kapsar ve tamamen üçüncü kullanıcıları, yani bizi korumaya yöneliktir. Hiçbirimiz sadece ufak bir alışveriş yaptık diye sunduğumuz çerezlerimizin ve tarama geçmişimizin işlenmesini istemeyiz. Ya da anonim olarak girdiğimiz bir platformda paylaştığımız görüşlerimizin daha sonra başka bir yerde karşımıza çıkması hoş bir deneyim olmayacaktır. Bu tip durumlar özel hayatımızın gizliliğini de ihlal ettiği için çok daha hassas bir hal almıştır ve GDPR düzenlemesi de tam olarak bu rahatsız edici durumların önüne geçmek için yapılmıştır.

GDPR düzenlemesinin olmaması ya da tam denetleme yapılmaması durumunda ortaya çıkabilecek olası sonuçlar ve tahribatlar ile ilgili daha canlı ve net örnek görmek isteyen okurlarımıza, biraz zaman ayırıp Facebook-Cambridge Analytica skandalını araştırmalarını tavsiye ediyoruz. İlgili Google aramasını yaptığınız takdirde olayın tüm iç yüzünü ayrıntılarıyla bulabilirsiniz.

Biz tekrar konumuza dönelim.

GDPR Türkiye'yi Kapsayan Bir Düzenleme midir?

Daha önce bahsettiğimiz gibi GDPR, Avrupa Birliği ülkelerini ve bu ülkelerin vatandaşlarıyla kurumlarına yönelik bir düzenleme olduğundan Türkiye’de tam anlamıyla geçerli değildir ama tamamen geçersiz demek de yanlış olacaktır.

GDPR uygulaması Avrupa Birliği ülkelerini, vatandaşlarını ve kurumlarını kapsayan bir düzenleme gibi görünse de aslında Avrupa’ya yönelik ürün ve hizmet sunan ülkeleri de kapsamaktadır. GDPR’nin 23 numaralı paragrafında belirtildiğine göre eğer AB üyesi olmayan bir ülkeden AB üyesi olan bir ülkeye ürün ya da hizmet sunuluyorsa, ürün ve hizmet sunan taraf GDPR’yi açıkça kabul etmek ve uygulamak zorundadır.

Başka bir deyişle Türkiye’de yer alıp yalnızca Avrupa Birliği ülkelerine ürün ve hizmet sunan kişi ve kurumlar GDPR kapsamında yer alır ve buna göre hareket eder.

GDPR Uyumluluğu Nedir ve Nasıl Sağlanır?

GDPR uyumluluğu; GDPR’ye tam anlamıyla uymayı belirten bir ifade olup bu uyumluluğun sağlanmasına yönelik temel ilkeler, GDPR’nin 5. maddesinde düzenlenmiştir.

GDPR uyumluluğu gereğince veri kontrolörü olarak adlandırılan veri sahibi, elde edilen verileri hukuk kurallarına uygun, adil ve şeffaf bir şekilde işlemek zorundadır. Ayrıca elde edilen veriler yine hukuka uygun olarak açık ve meşru amaçlara yönelik toplanmak zorunda olup amaçsız bir şekilde veri toplanamaz ve işlenemez. Burada belirtilmek istenen şey, eğer bir şirket ya da kurum sizin verilerinizi işlemek istiyorsa bu sizin onayınıza tabi olmalı ve bu işlenen veriler ticari hukuk kurallarına uymalıdır. Yani kullanıcıya fayda sağlayacak şekilde düzenlenmelidir.

Bunun yanı sıra yine amaçsız ve istemsiz olarak elde edilen veriler söz konusu olsa dahi bu veriler işlenemeyeceği gibi hiçbir şekilde arşivlenemez veya herhangi bir çalışma içerisinde kullanılamaz. Yani yanlışlıkla sadece bir siteye girip çerezlerinizi paylaştıysanız dahi bu durum o siteye bu verileri kullanma hakkını vermez. Verilerin işlenmesi için geçerli bir sebep ve izin şartı vardır.

Elde edilmesi gereken veriler GDPR uyarınca olabildiğince az seviyede olmalı ve buna göre sınırlandırılmalıdır. Ayrıca bu verilerin elde edildikleri amaç doğrultusunda minimum süreyle saklanması ve daha sonrasında herhangi bir gecikme ya da zaman aşımı olmaksızın geri dönüştürülemeyecek şekilde silinmesi gerekmektedir. Kimsenin sizin verdiğiniz verileri sonsuza kadar saklama ya da depolama gibi bir hakkı yoktur.

Peki bu veriler nasıl saklanabilir? Verilerin nasıl saklanması ve korunması gerektiği de yine GDPR’de üzerinde durulmuş konulardan biridir. Günümüzde birçok kişi ve kurum için çok değerli olan bu verilere, özellikle pazarlama noktasında etkin bir şekilde ihtiyaç duyulurken elbette bu verilerin korunmasına yönelik hassasiyet gösterilmiştir.

Elde edilen kişisel verilerin tutulması gereken minimum düzeyde tutulmasına yönelik bu süreçte verilerin kaybolmaması başlı başına bir uyumluluk iken bu verilerin korunması ise daha hassas bir konudur. Eğer veri sorumluları bu verileri en hassas ve güvenilir bir şekilde arşivleyip korumaz ise ciddi para cezası ve hapis cezası yaptırımları söz konusu olabilmektedir. Özetle veriler hiç kimsenin ulaşamayacağı bir şekilde, kopyalanamaz ve dağıtılamaz şekilde saklanabilir. Verilerin güvenliğinden de bu verileri saklayan kişi ya da kurumlar sorumludur. Bu konudaki yasa bölümü, çok hassastır.

Bu hassasiyet gereği veri sorumluları da bilgi işlem yöneticileri ile birlikte elde edilen kişisel verilerin korunmasına yönelik ciddi önlemler almaktadır. Özellikle ağ sistemi bulunan ve dışarıdan gelecek siber saldırı tehditleri ile her an karşı karşıya kalabilecek olan şirketler, bu saldırılar sonucu koruması gereken kişisel verileri de kaybetme riskiyle karşı karşıya kalmamak adına ciddi güvenlik tedbirler almak zorundadır.

Yasalar açıkça verilerin korunmasının tüm sorumluluğunu veriyi elinde tutanlara yüklemiştir. Bu noktada şirketlerin “Hırsızın hiç mi suçu yok?” deme lüksü kesinlikle yoktur. Veriyi tutanın kapıları kilitli, alarmları açık ve tabiri caizse sürekli tetik halinde olması gerekir. Özellikle e-ticaret siteleri, platformlar, alışveriş yapılabilen siteler veriler konusunda en açık ve en büyük hedeftir. En çok dikkat etmesi gereken yerler de bu tarz sitelerdir.

Siber saldırılara yönelik teknolojiler geliştiren şirketler de yine buna yönelik çözümler ve ürünler üretmekte olup sürekli olarak güncellemeler ve yenilemeler yapmaktadır. Örneğin Berqnet gibi güvenlik çözümleri sunan bir şirket Firewall, SASE gibi ürünler ve teknolojiler geliştirerek şirketleri hem siber saldırılara karşı hem de kişisel verilerin kaybolması riskine karşı korumaktadır.

Kişisel verilerin korunması mevzusu çok hassas ve önemli sonuçları olan bir konu olduğu için bu noktada profesyonel yardım almak en mantıklı seçenek olacaktır. Teşbihte hata olmasın, tüm firmalar eşeklerini sağlam kazığa bağlamak zorundadır.

GDPR ve KVKK Arasındaki Benzerlikler ve Farklar

Peki, bizde GDPR gibi kullanıcıyı koruyan ve kollayan bir düzenleme yok mu? Bu noktada hepimizin artık aşina olduğu bir kavram devreye giriyor: KVKK.

KVKK, GDPR’nin Türkiye özelinde hazırlanmış olan bir örneğidir demek mümkündür.

Avrupa Birliği üyesi olmadığı için GDPR kapsamına tam anlamıyla girmeyen Türkiye’de de kişisel veriler son derece hassas bir konu olup ülkemiz buna yönelik kanunlar çıkaran ülkeler arasında ilk sıralarda yer alır. Buna yönelik olarak da Türkiye’de kişisel verilerin korunmasına yönelik olarak son çıkan kanun KVKK’dır.

Açılımı Kişisel Verilerin Korunması Kanunu olan KVKK, GDPR ile oldukça benzerlik gösterse de iki düzenleme arasında farklılıklar bulunmaktadır. Ve ne yazık ki GDRP ile KVKK kıyaslaması söz konusu olduğunda KVKK’nın yetersiz kaldığını söylemek yanlış olmayacaktır.

GDPR, kişisel verilere yönelik çok daha detaylı ve kapsamlı bir düzenleme olup herkesi kapsarken KVKK yalnızca veri sorumlularını kapsamaktadır. Ayrıca GDPR’de kişisel verilerin korunmasına yönelik ihlallerde uygulanacak olan yaptırımlar oldukça caydırıcı iken KVKK’da bu yaptırımlar çok daha düşük seviyelerde kalmaktadır.

Yine de özellikle son dönemlerde internet kullanımının yoğunluğu ile birlikte artan siber saldırılar, ülkemizde zaman zaman karşılık bulmuş, çok büyük firmalar dahi gerekli önlemleri almadıkları için birçok kişisel veriyi internet korsanlarına kaptırmıştır. İsimlerini vermek istemediğimiz birçok dev firma ve platform, ancak iş işten geçtikten sonra daha profesyonel hizmet almış ve kişilere ait verileri tam anlamıyla korumaya yeni yeni başlamıştır. KVKK’nın bu noktada daha caydırıcı ve detaylı olması gerekliliği hususu da iyiden iyiye konuşulmaya başlanmıştır.

Sıkça Sorulan Sorular

25 Mayıs 2022