KVKK

Genel Veri Koruma Yönetmeliği (AB) 2016/679 (GDPR), Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (EEA) içindeki veri koruma ve gizlilik ile ilgili AB hukuku çerçevesinde bir düzenlemedir. Aynı zamanda kişisel verilerin AB ve EEA alanı dışında başka bölgelere aktarımını da ele alır. KVKK'nın temel amacı, bireylere kişisel verileri üzerinde kontrol sağlamak ve AB içinde düzenlemeyi birleştirerek uluslararası işletmelerin işleyişini basitleştirmektir.^[1] Veri Koruma Yönergesi 95/46/EC'yi devralan bu yönetmelik, EEA içinde bulunan bireylerin kişisel verilerinin işlenmesiyle ilgili hükümler ve gereklilikler içerir ve bu düzenleme, konumlarına ve veri sahiplerinin vatandaşlık veya ikametgahlarına bakılmaksızın, EEA içindeki bireylerin kişisel bilgilerini işleyen herhangi bir işletmeye uygulanır.

Kişisel verilerin denetleyicileri ve işlemcileri, veri koruma ilkelerinin uygulanabilmesi için uygun teknik ve organizasyonel önlemler almak zorundadır. Kişisel verileri işleyen iş süreçleri, bu ilkeler dikkate alınarak tasarlanmalı ve veri korumasını sağlayacak önlemler sunmalıdır (örneğin, uygun olduğunda takma adlandırma veya tam anonimleştirme kullanılmalıdır). Veri denetleyicileri, gizlilik göz önünde bulundurularak bilgi sistemlerini tasarlamalıdır. Örneğin, veri setlerinin varsayılan olarak halka açık olmaması ve bir kişiyi tanımlamak için kullanılamayacak en yüksek gizlilik ayarlarını kullanarak. Kişisel veriler, yalnızca düzenlemeye göre belirli altı yasal temele dayanarak işlenebilir (onay, sözleşme, kamu görevi, hayati çıkar, meşru menfaat veya yasal gereklilik). İşleme onaya dayalı ise, veri sahibi bu onayı her zaman geri çekme hakkına sahiptir.

Veri denetleyicileri, herhangi bir veri toplama faaliyetini açıkça ifşa etmeli, veri işleme için yasal temeli ve amacı açıklamalı ve verilerin ne kadar süreyle saklandığını ve herhangi bir üçüncü şahısla ya da EEA dışındaki yerlerle paylaşılıp paylaşılmadığını belirtmelidir. İşletmeler, çalışanlarının ve tüketicilerinin verilerini korumakla yükümlüdür ve yalnızca gerekli veriler alınarak, çalışanların, tüketicilerin veya üçüncü şahısların gizliliği asgari düzeyde ihlal edilmelidir. İşletmelerin, denetim, iç kontrol ve operasyonlar gibi çeşitli departmanlar için iç kontrolleri ve düzenlemeleri olmalıdır. Veri sahipleri, bir denetleyiciden, yaygın bir formatta toplanan verilerin taşınabilir bir kopyasını talep etme hakkına sahiptir ve belirli durumlarda verilerinin silinmesini talep etme hakkına sahiptir. Kamu otoriteleri ve kişisel verilerin düzenli veya sistematik işlenmesiyle ilgili ana faaliyetleri olan işletmeler, bir veri koruma sorumlusu (DPO) istihdam etmek zorundadır ve DPO, GDPR'ye uyum sağlamakla sorumludur. İşletmeler, veri ihlallerini, kullanıcı gizliliğini olumsuz etkileyen durumlarda 72 saat içinde ulusal denetim otoritelerine bildirmek zorundadır. Bazı durumlarda, GDPR ihlali yapanlar, €20 milyon veya yıllık küresel cirosunun %4'ine kadar para cezasına çarptırılabilir (hangisi daha büyükse).

GDPR, 14 Nisan 2016'da kabul edilmiş ve 25 Mayıs 2018 itibarıyla yürürlüğe girmiştir. GDPR, bir yönetmelik olduğundan, bir yönerge değildir, doğrudan bağlayıcı ve uygulanabilir olmakla birlikte, düzenlemenin bazı yönlerinin bireysel üye devletler tarafından uyarlanabilmesine esneklik tanır.

Bu düzenleme, AB dışındaki birçok ulusal yasaya da model olmuştur, örneğin Şili, Japonya, Brezilya, Güney Kore, Arjantin ve Kenya gibi ülkelerde. 28 Haziran 2018'de kabul edilen California Consumer Privacy Act (CCPA), GDPR ile birçok benzerlik taşımaktadır.^[2]