General Data Protection Regulation (GDPR)

Avrupa Birliği Genel Veri Koruma Tüzüğü (EU GDPR) 25 Mayıs 2018 tarihininden itibaren Avrupadaki kuruluşlar için zorunlu hale gelmiştir.

Bu tüzük Avrupa Birliği üye ülkeleri vatandaşlarının kişisel verilerini korumak ve kişisel verilerin serbest dolaşımını sağlamak için kurallar getirmiştir.

Bu tüzüğün bir diğer amacı da “maliyet” dir. Üye ülkelelerde tek bir veri koruma yasası ve kuralları ile faklı uygulamalardan doğacak maliyeti azaltmaktır.

Avrupa Birliği İçinde

Bu tüzük, kişisel verilerin tamamen veya kısmen otomatik araçlarla veya dosyalama sisteminin bir parçasını oluşturan araçlarla kişisel verileri işleyen veri sorumluları hakkında uygulanır.

Avrupa Birliği Dışında

Bu tüzük, Avrupa Birliği üye ülke vatandaşlarına mal veya hizmet sunan ve bu sebeple kişisel verilerini işleyen diğer ülkelerdeki veri sorumluları hakkında da uygulanır.

Veri Koruma Görevlisi Kimdir?

Veri sorumlusu ve veri işleyen, GDPR tüzük madde 37 de bilirlenmiş kapsama dahil olmaları durumunda Veri Koruma Görevlisi ataması yapmak zorundadır.

Bünyesinde birden çok iştiraki olan kuruluşlar tek bir Veri Koruma Görevlisi atayabilirler.

Kuruluş dışından gerçek bir kişi de Veri Koruma Görevlisi olarak atanabilir.

Veri Koruma Görevlisinin Bazı Görevleri?

  1. Çalışanların veri koruma mevzuatları hakkında bilgilendirilmesi
  2. Yönetmeliğe uygunluğu izlemek, sorumlulukların atanması, farkındalık yaratma, eğitim ve denetimler
  3. Talep edildiğinde veri koruma etki değerlendirmesi hakkında tavsiye vermek ve performansını izlemek
  4. Ön İstişare de dahil olmak üzere yetkili makam ile işbirliği yapmak
  5. Veri işleme ile ilgili hususlarda yetkili makam ile kuruluş arasında iletişimi sağlamak

Özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapması gerekir.

Veri Koruma Etki Değerlendirmesi minimum şunları içermelidir;

  1. İşleme faaliyetleri ve işleme amaçlarında ilişkin sistematik bir açıklama
  2. İşleme faaliyetlerinin gerekliliği ve orantılılığına yönelik bir değerlendirme
  3. Veri sahibinin hakları ve özgürlüklerine ilişkin risklerin belirlenmesi
  4. Risklerin azaltılması ve kişisel verilerin korunmasınına yönelik alınması gereken idari ve teknik tedbirler.
  5. Veri koruma görevlisinin görüşü