Avrupa Birliği bünyesindeki ülkelerin vatandaşlarının kişisel bilgi güvenliği ve gizlilik haklarını korumak amacıyla düzenlenen AB Genel Veri Koruma Yönetmeliği olarak tanımlanabilecek EU GDPR (EU General Data Protection Regulation) yarından (25 Mayıs) itibaren yürürlüğe giriyor. AB´nin kişisel verilerin korumasına yönelik olarak son yıllarda yaptığı en büyük reformlardan biri olarak gösterilen GDPR, getirdiği düzenlemeler nedeniyle Avrupa Birliği ülkelerine e-ihracat yapan şirketleri yakından ilgilendiriyor.
Avrupa Birliği tarafından 2016´da kabul edilen reformun ülkelerin ulusal kanunlarına uyumlu hale getirilmesi için 2 yıl süre tanınmıştı. Türkiye dahil AB ile ve AB vatandaşları ile internet üzerinden e-ihracat yapan ve kurumsal ilişkisi olan tüm şirket ve kurumları ilgilendiren toplam 99 maddelik yönetmelik, AB´nin son yıllarda yaptığı en büyük reformlardan biri olarak tanımlanıyor.
Geçmişte internet üzerinden şirket ve kurumlara kişisel bilgilerini veren tüketiciler son günlerde e-maillerle yeni yönetmelik hakkında uyarılırken, söz konusu bilgilerin bundan sonra da kullanılabilmesi için teyit gerekiyor. Yönetmelik kullanıcıların daha önce vermiş oldukları veri işleme izinlerini istedikleri anda kaldırabilmelerini de kolaylaştırıyor.
Genel Veri Koruma Yönetmeliği internet üzerinden satış veya başka bir hizmet sunan işletmelerle, resmi daireleri, doktorları, spor klüblerini ve derneklerini de kapsıyor. GDPR´da kullanıcı, hukuki dilde ?ilgili kişi´ olarak tanımlanıyor. İsim, fotoğraf, ev adresi, e-posta adresi, banka bilgileri, sağlık durumuyla ilgili bilgiler, ailevi, ekonomik ve sosyal özelliklerine ilişkin çeşitli bilgiler ve kullanılan bilgisayarların İP adresleri ?ilgili kişinin verisi´ sayılıyor. Yönetmelik, kullanıcılara kendileri ile ilgili hangi verilerin nerede, hangi maksatla ve hangi içerikle kaydedildiği konusunda bilgi alma hakkını da tanıyor. Buna göre, verileri depolayan şirket yada kurum, istek üzerine verilerin bir kopyasını ücretsiz şekilde vermek zorunda. Ayrıca kişisel verilerin istek üzerine tümüye silinmesi de hak olarak tanınıyor.Tüketicileri ve bireylerin haklarının korunmasını hedefleyen en önemli noktalardan biri, şirket ve kurumların kişisel verilerin talep edildiği tüm süreçlerini açık, şeffaf ve anlaşılabilir şekilde ifade etmek zorunluluğu. Yeni yönetmeliği dikkate almayan şirketler önemli cezalar ödemek durumunda kalacak.
GDPR´ye uymayanlar 20 milyon Euro´ya kadar cezalarla karşılaşabilir
Yeni düzenlemenin çok kesin hatlara sahip olduğunu hatırlatılarak şu noktalara dikkat çekiliyor:
"Yeni yönetmelik kullanıcıyı merkeze alarak oluşturulduğu için, içinde bulunan tüm maddeler tamamen kullanıcı açısından konuya bakarak şirketlerin atması gereken adımları tespit ediyor. GDPR´da kullanıcı, ´ilgili kişi´ olarak tanımlanıyor. Herkesin kendi kişisel verilerinin sahibi olduğu merkeze alınarak oluşturulan bu yönetmelik, şirketlere de bu bağlamda önemli sınırlamalar ve kısıtlamalar getiriyor. Bunu dikkate almayan şirketler önemli cezalar ödemek durumunda kalabilir. Türkiye´den AB ülkelerine hizmet veya mal satışı yapan şirketler, GDPR ihlalleri sebebiyle 20 milyon Euro´ya varan cezalarla karşılaşabilir."
GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de Avrupa Birliği dışındaki şirketler için geçerli. AB vatandaşlarına mal veya hizmet sunan ya da davranışlarını izleyen tüm şirketler GDPR´nin düzenlemelerinden etkileniyor. GDRP uygulaması, hem denetleyiciler hem de işleyiciler için geçerli bir düzenleme olduğundan dolayı oldukça geniş bir etki alanına sahip bulunuyor.
GDPR uyumluluğu için ne yapmak gerekiyor?
GDPR uyumluluğu için şirketlerin atması gereken öncelikli adımlar şu şekilde sıralanıyor:
"Öncelikle rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini GDPR şartlarına göre değerlendirmek ve gerekiyorsa revize etmek gerekir. Bunun dışında şirket çalışanlarının bu konuda eğitim almaları da çok faydalı olacaktır. Şirket yöneticilerinin, ilgili ekiplerinin GDPR konusundaki bilgilerinin tam ve eksiksiz olduğundan emin olmaları gerekir. Öte yandan, yapılan ve yapılacak her işlemin ya da sürecin uygun bir şekilde belgelendirilmesi de gerekir. Bu belgelendirme işleminin GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirilmesi önemli."
