Anasayfa/ Makale/ Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Kapsamı, Kavramları ve Yenilikleri

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Kapsamı, Kavramları ve Yenilikleri

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), kişisel veri koruma alanında evrensel bir hukuki standart getirmiştir. Bu yazıda uzman avukat perspektifiyle, GDPR'ın maddi ve bölgesel kapsamı, temel hukuki kavramları ve önceki veri koruma direktifine kıyasla hukuk sistemine kazandırdığı köklü yenilikler detaylıca incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) TEHDİT KVKK

Hızla gelişen bilgi ve iletişim teknolojileri, kişisel verilerin işlenmesini ve uluslararası dolaşımını sınır tanımayan bir boyuta taşımıştır. Bu denli yoğun bir veri trafiği, kişilerin temel hak ve özgürlüklerini doğrudan tehdit edebilecek riskleri de beraberinde getirmiştir. Hukuk sistemlerinin bu teknolojik dönüşüme ayak uydurması zarureti sonucunda, Avrupa Birliği tarafından hazırlanan ve tüm dünyada etkisini gösteren Avrupa Birliği Genel Veri Koruma Tüzüğü yürürlüğe girmiştir. Önceki yıllarda uygulanan direktif metninin yetersiz kalması üzerine şekillenen bu tüzük, yalnızca Avrupa Birliği üye devletlerini değil, dünyanın dört bir yanındaki şirketleri etkileyen evrensel bir koruma mekanizması sunmaktadır. Bir bilişim hukuku avukatı olarak değerlendirdiğimizde düzenleme; kişisel verilerin tanımını genişleterek güvence altına almış, şeffaflık ve hesap verebilirlik ilkelerini merkeze oturtmuş ve ihlallere karşı daha önce görülmemiş ağırlıkta idari para cezaları öngörmüştür. Makalemizde, bu tarihi düzenlemenin maddi ve bölgesel uygulama alanı, hukuk dünyamıza kazandırdığı temel kavramlar ve veri koruma hukukunda yarattığı köklü yenilikler hukuki bir perspektifle detaylandırılacaktır.

GDPR'ın Maddi ve Bölgesel Kapsamı

GDPR'ın uygulanabilmesi için öncelikle veri işleme faaliyetinin tüzüğün çizdiği hukuki sınırlar içerisinde yer alması gerekir. Maddi kapsam bağlamında Tüzük, kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi ile otomatik olmasa dahi bir dosyalama sisteminin parçası olan işleme faaliyetlerine uygulanmaktadır. Ancak tamamen kişisel veya ev içi faaliyetler ile ulusal güvenliğe veya suçların soruşturulmasına ilişkin kamu makamlarınca yürütülen veri işleme süreçleri bu kapsamın dışında bırakılmıştır. Hukuki açıdan en büyük tartışmaları beraberinde getiren husus ise düzenlemenin bölgesel kapsamı olmuştur. GDPR, yalnızca Avrupa Birliği sınırları içinde kurulu olan veri sorumluları veya işleyenleri için değil; kuruluşu AB dışında olsa dahi AB içindeki kişilere mal veya hizmet sunan ya da onların davranışlarını izleyen şirketler için de doğrudan uygulama alanı bulmaktadır. Bu sınır ötesi uygulama yaklaşımı, uluslararası hukukta meşruiyet tartışmalarına yol açsa da fiiliyatta dünyadaki tüm küresel işletmelerin tüzüğe uyum sağlamasını zorunlu kılan en temel yasal kuraldır.

Tüzük'te Yer Alan Temel Hukuki Kavramlar

Veri koruma hukukunun omurgasını oluşturan hukuki tanımlar, GDPR metniyle dijital çağın teknolojik gelişmelerine entegre edilmiştir. Bu bağlamda en kritik hukuki terim olan kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak en geniş haliyle ifade edilmiştir. Yalnızca bireyin adı veya adresi değil; IP adresleri, çerezler ve lokasyon bilgileri gibi kişiyi dolaylı olarak tanımlanabilir kılan çevrimiçi tanımlayıcılar da kişisel veri statüsüne alınmıştır. Ayrıca Tüzük, tüzel kişileri açıkça koruma çemberinin dışında bırakarak sadece yaşayan gerçek kişilere odaklanmıştır. Bilişim hukuku uygulamalarında şirket uyum süreçlerinde sıkça merkeze alınan veri sorumlusu kavramı, veri işleme amaç ve araçlarını tek başına veya müştereken belirleyen, uyumluluktan nihai olarak sorumlu olan kişiyi ifade ederken; veri işleyen ise sorumlunun hukuki talimatları doğrultusunda kendi adına karar almadan hareket eden tarafı tanımlamaktadır. Bu kavramsal çerçevenin doğru yorumlanması, şirketlerin sözleşmesel sorumluluk paylaşımını hukuka uygun şekilde yapabilmeleri için hayati önem taşımaktadır.

GDPR'ın Veri Koruma Hukukuna Getirdiği Yenilikler

Tüzük, eski direktif döneminden kalan hukuki boşlukları ve uygulama farklılıklarını doldurmak amacıyla çok sayıda reformist düzenleme getirmiştir. Bunlardan ilki, hukuki enstrümanın niteliğiyle ilgilidir. Üye devletlerin inisiyatifine bırakılan direktif yapısından vazgeçilmiş, tüm AB ülkelerinde doğrudan bağlayıcı ve doğrudan uygulanabilir bir yeknesak tüzük modeli benimsenmiştir. Bu birleştirme hamlesi, sınır ötesi işlem yapan çok uluslu şirketler için tek bir otoriteyle muhatap olmayı sağlayan baş denetim makamı mekanizmasını hukuk sistemine kazandırmıştır. Ek olarak idari yaptırım gücü Avrupa Birliği tarihinde eşi görülmemiş seviyelere çekilmiştir; kuralları ihlal eden işletmelere yönelik küresel yıllık cirolarının yüzde dördüne veya yirmi milyon Euro tutarına kadar varabilen idari para cezaları kesilebilmesi kanunlaşmıştır. Bu sarsıcı durum, GDPR uygulamasını basit bir prosedürel mevzuat olmaktan çıkarıp, tüm ticari işletmelerin yönetim kurulları seviyesinde ciddiye alması gereken en yüksek düzeyde bir kurumsal ve finansal risk yönetimi unsuru haline getirmiştir.

Yeni Düzenlemeler ve Kurumsal Yükümlülükler Tablosu

Bilişim hukuku pratiğinde ticari faaliyetlerde adeta bir hukuki paradigma değişikliğine yol açan GDPR, teknolojik risklere karşı proaktif bir koruma kalkanı oluşturmuştur. Özellikle yüksek risk barındıran kompleks veri işleme süreçlerinde, faaliyete başlanmadan önce bir Veri Koruma Etki Değerlendirmesi yapılmasının zorunlu tutulması, Avrupa Birliği mevzuatının önleyici hukuk yaklaşımının en somut örneklerinden biridir. Öte yandan, bilgi toplumu hizmetleri bağlamında çocukların kişisel verilerine dair özel düzenlemelerin ve yaş sınırlarının getirilmesi de dijital çağın getirdiği sosyal zafiyetleri hukuken onarmayı hedeflemektedir. Tüzüğün hukuki sistemimize entegre ettiği, şirketlerin kurumsal uyum süreçlerini doğrudan etkileyen ve avukatlar olarak danışmanlık pratiğimizin merkezinde yer alan öne çıkan başlıca yenilikleri ve kavramsal kurumları aşağıdaki tabloda daha net bir şekilde görebilirsiniz:

Getirilen Yenilik Hukuki Anlamı ve Kapsamı
Açık Rıza Standardının Yükseltilmesi Rızanın serbestçe, spesifik, bilgilendirilmiş ve şüpheye yer bırakmayacak olumlu bir eylemle alınması zorunlu kılınmıştır.
Veri Koruma Görevlisi Atanması Büyük çaplı ve hassas veri işleyen özel ve kamu kurumlarının bağımsız bir veri koruma uzmanı ataması şartı getirilmiştir.
Veri İhlal Bildirimi Yükümlülüğü Şirketlerin, yaşanacak herhangi bir güvenlik ihlalini tespit ettikten sonra en geç 72 saat içinde ilgili denetim makamına bildirmesi zorunluluğudur.
Tasarım Aşamasında Gizlilik Teknolojik sistemlerin ve iş süreçlerinin henüz tasarım evresindeyken veri koruma ilkelerine uygun olarak inşa edilmesi yasal bir yükümlülüktür.
Veri İşleyenlerin Doğrudan Sorumluluğu Eski düzenlemelerden farklı olarak, sadece veriyi tutan değil, işleyen taraflara da ağır idari yaptırımlar ve hukuki yükümlülükler getirilmiştir.
Şirketimiz Türkiye'de ama Avrupa'ya mal satıyoruz, GDPR bizi de bağlar mı? expand_more
Evet, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kurallarına yasal olarak uymakla yükümlüsünüz. Tüzük, yalnızca Avrupa Birliği sınırları içinde kurulu olan şirketleri değil, kuruluşu AB dışında olsa dahi AB içindeki kişilere mal veya hizmet sunan işletmeleri de doğrudan kapsamaktadır. Bu sınır ötesi uygulama kuralı, dünya genelindeki tüm küresel işletmelerin tüzüğe uyum sağlamasını zorunlu kılmaktadır. Aksi takdirde, şirketiniz yüksek miktarda hukuki idari para cezalarıyla ve yaptırımlarla karşılaşma riski taşıyacaktır.
Sitemizde sadece IP adresi ve çerez topluyoruz, bunlar da kişisel veri sayılır mı? expand_more
Hukuki düzenlemelere göre bahsettiğiniz bu bilgilerin tamamı kişisel veri statüsündedir. GDPR, gelişen dijital çağın gerekliliklerine uyum sağlamak amacıyla kişisel veri tanımını en geniş haliyle düzenlemiştir. Dolayısıyla yalnızca kişinin adı veya adresi değil; IP adresleri, çerezler ve lokasyon bilgileri gibi bireyi dolaylı olarak tanımlanabilir kılan tüm çevrimiçi tanımlayıcılar da korunmaktadır. Bu nedenle, bu verileri işlerken sorumluluklarınızı tam olarak yerine getirmeniz büyük önem arz etmektedir.
Hacklendik ve müşteri verileri çalındı, devlete haber vermek zorunda mıyım? expand_more
Meydana gelen bu veri güvenliği ihlalini yetkili denetim makamlarına gecikmeksizin bildirmeniz kesin bir yasal zorunluluktur. GDPR mevzuatı kapsamında, şirketlerin herhangi bir veri ihlalini tespit etmelerinin ardından en geç 72 saat içinde ilgili makama bildirim yapması şart koşulmuştur. Düzenlemenin temel amacı, bu tür siber olaylarda ihlali şeffaf biçimde otoritelere aktararak kişilerin temel haklarını hızlıca korumaya almaktır. İhlal bildirim yükümlülüğüne uyulmaması, şirketiniz aleyhine ağır hukuki sonuçlar ve cezalar doğuracaktır.
Bu GDPR kurallarına uymazsak şirketimize ne kadar ceza kesilebilir? expand_more
İhlal durumunda Avrupa Birliği hukuku tarihinde eşine rastlanmamış derecede ağır idari para cezaları ile karşılaşabilirsiniz. Kanunlaşan kurallar çerçevesinde, yükümlülüklere uymayan işletmelere küresel yıllık cirolarının yüzde dördüne veya yirmi milyon Euro tutarına kadar varabilen para cezaları kesilebilmektedir. Ayrıca yeni düzenlemelerle birlikte sadece veriyi toplayan taraf değil, veriyi bizzat işleyen taraflar da bu ağır idari yaptırımlara doğrudan maruz kalabilmektedir. Bu nedenle uyum süreci basit bir prosedürden ziyade, yönetim kurulu düzeyinde ele alınması gereken çok ciddi bir kurumsal ve finansal risk yönetimidir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir