GDPR 679/2016 nolu AB Yönetmeliği nedir, neden GDPR 2016/679 nolu AB Yönetmeliği konulu mailler alıyorsunuz?

/ 25 Mayıs 2018 / / yorumsuz

2016/679 Nolu AB Yönetmeliği neyi konu edinir, ne getirmektedir? Neden GDPR konulu mailler alıyorsunuz?

2016/679 nolu AB Yönetmeliği GDPR=General Data Protection Regulation, 25 Mayıs 2018 itibariyle 1995 tarihli Avrupa Birliği Veri Koruma Direktifi’nin yerini alacak olan Genel Veri Koruma Yönetmeliğidir.

14 Nisan 2016 yılında Avrupa Parlamentosu tarafından kabul edilen Yönetmelik 2 yıllık bir geçiş ve uyum sürecinden sonra 25 Mayıs 2018 itibariyle yürürlüğe girdi.

Kimler Etkilenmektedir

GDPR, kişisel verileri korunacak kişilerle (veri ilgilisi) ilgili herhangi bir tanımlama ve sınırlama yapmamakta, veri sorumlusunun tanımı ise herhangi bir coğrafi sınırlamaya tabi tutulmadan yapılmakta ve bundan ötürü çok geniş bir kitleyi doğrudan ilgilendirmektedir.

Dolayısıyla gerçek veya tüzel kişilerin kişisel verilerini işleyen ve doğrudan ya da dolaylı olarak AB’de faaliyet gösteren, AB sınırları içerisinde kurulu olan ya da olmayan bütün organizasyonlar bu Yönetmeliğe uymak ile yükümlüdür.

Bu çerçevede AB’de kurulu olmayan fakat AB vatandaşları veya AB ülkelerinde oturan kişilerin kişisel verilerini işleyen kuruluş ve şirketlerin bu düzenlemeye uyması gerekir.

Dolayısıyla Veri ilgilisinin tanımı şöyle yapılabilir: Kişisel verisi işlenen AB vatandaşları ve AB sakinleridir.




AB’de kurulu olan ya da şubesi bulunan (şirket, dernek v.b. tüzel kişilerin) ve AB ile ilgisi bulunmayan veri ilgililerinin kişisel verilerini işleyen organizasyonlar da bu düzenleme kapsamına girmektedir . Bu görüşe göre örneğin Türkiye merkezli olan fakat AB’de şubesi bulunan ve Rusya’da ki veri ilgililerinin kişisel verilerini işlemekte olan organizasyonlar dahi Yönetmelikle ile sorumlu tutulmaktadır.

GDPR Çerçevesinde Kişisel Verinin Tanımı

Yönetmelik kişisel verinin (Personal Data) tanımı, “gerçek bir kişi ile ilgili olan ve doğrudan veya dolaylı olarak veri ilgilisinin kimliğinin belirlenebilmesine olanak sağlayan herhangi bir bilgi” olarak tanımlanmaktadır.

Bu çerçevede GDPR, isim, fotoğraf, e-mail adresi, banka bilgileri, sosyal medya sitelerinde yayınlanmış olan herhangi bir gönderi, veri ilgilisinin sağlığı ile ilgili herhangi bir bilgi veya bir bilgisayarın IP adresi v.b. bilgilerin kişisel veri olduğunu örnekleyerek belirtmektedir.

Veri Sorumlusu ve Veri İşleyicisi Kavramları 

Yönetmelik kapsamında veri sorumlusunun (“Data Controller”) tanımı şu şekilde yapılmaktadır: Kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan doğal veya tüzel kişi, kamu otoritesi, ajans veya başka herhangi bir organ veri sorumlusudur.

Veri işleyicisi (“Data Processor”) ise veri kontrolcüsü adına ve ondan gelen talimatlar doğrultusunda verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.

Yönetmelik verilerin işlenmesinde uyulması gereken ilkelerin neler olduğunu belirmektedir.

GDPR ile üst sınırı 20 bin Euroyu bulan İdari Para Cezaları öngörülmekte.

Bu cezaların hem veri sorumlularına hem veri işleyene hem de veri depolayıcısı olarak hizmet veren organizasyonlara verilmesi mümkündür. Bu bulut veri depolama hizmeti veren organizasyonlarının da düzenlemeden etkilenmeleri anlamına gelmektedir.

Kaynak için tıklayın.

Yorum yaz