Genel Veri Koruma Yönetmeliği (General Data Protection Regulation 2016/679) (“GDPR”) (“Yönetmelik”) Avrupa Birliği (‘’AB’’) kapsamında bireylerin verilerinin korunması ve gizliliği konularını düzenleyen ve selefi olan 1995 tarihli Avrupa Birliği Veri Koruma Direktifi’nin (“Directive 95/46/EC”) yerini alacak olan yönetmeliktir.
Yönetmelik 14 Nisan 2016 yılında Avrupa Parlamentosu tarafından kabul edilmiştir. Yönetmeliğin 2 yıllık bir geçiş ve uyum sürecinin tamamlanmasını müteakip 25 Mayıs 2018 tarihinde yürürlüğe girmesi kararlaştırılmıştır.
Kimler Etkilenmektedir
Yönetmelik; öncelikli olarak uluslararası iş ve ticaret işlemleri kapsamında veri ilgililerinin kendi kişisel verileri üzerinde sahip oldukları yetkileri artırmayı ve bu hususun AB mevzuatı çerçevesinde yeknesaklığını sağlamayı amaçlamaktadır.
Belirmek gerekmektedir ki GDPR, veri ilgilisi kavramının tanımı yapılmamakta, veri sorumlusunun tanımı ise herhangi bir coğrafi sınırlamaya tabi tutulmadan yapılmakta ve bundan ötürü çok geniş bir kitleyi doğrudan ilgilendirmektedir.
Veri ilgililerinin kişisel verilerini işleyen ve doğrudan ya da dolaylı olarak AB’de faaliyet gösteren, AB sınırları içerisinde kurulu olan ya da olmayan bütün organizasyonlar bu Yönergeye uymak ile yükümlü tutulmaktadır.
Bu çerçevede AB’de kurulu olmayan fakat AB vatandaşı veya sakini oturan veri ilgililerinin kişisel verilerini işleyen organizasyonların bu düzenlemeye uyması gerektiği anlaşılmaktadır.
Veri ilgilisinin tanımı ise çoğunluk görüşe göre verisi işlenen AB vatandaşları ve AB sakinleridir.
Buna ek olarak bu belirsiz tanımların geniş yorumlanması gerektiğini savunan ve bu kapsamda AB’de kurulu olan ya da şubesi bulunan ve AB ile ilgisi bulunmayan veri ilgililerinin kişisel verilerini işleyen organizasyonların da bu düzenleme ile bağlı olduğunu savunan bir görüş bulunmaktadır . Bu görüşe göre örneğin Türkiye merkezli olan fakat AB’de şubesi bulunan ve Rusya’da ki veri ilgililerinin kişisel verilerini işlemekte olan organizasyonlar dahi Yönetmelikle ile sorumlu tutulmaktadır.
GDPR Çerçevesinde Kişisel Verinin Tanımı
Yönetmelik kişisel verinin (Personal Data) tanımını, Directive 95/46/EC ile benzer bir şekilde yapmaktadır. Buna göre GDPR kapsamında kişisel veri “gerçek bir kişi ile ilgili olan ve doğrudan veya dolaylı olarak veri ilgilisinin kimliğinin belirlenebilmesine olanak sağlayan herhangi bir bilgi” olarak tanımlanmaktadır.
Bu çerçevede GDPR, isim, fotoğraf, e-mail adresi, banka bilgileri, sosyal medya sitelerinde yayınlanmış olan herhangi bir gönderi, veri ilgilisinin sağlığı ile ilgili herhangi bir bilgi veya bir bilgisayarın IP adresi v.b. bilgilerin kişisel veri olduğunu örnekleyerek belirtmektedir.
Veri Sorumlusu ve Veri İşleyicisi Kavramları
Yönetmelik kapsamında veri sorumlusunun (“Data Controller”) tanımı şu şekilde yapılmaktadır: Kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan doğal veya tüzel kişi, kamu otoritesi, ajans veya başka herhangi bir organ veri sorumlusudur.
Veri işleyicisi (“Data Processor”) ise veri kontrolcüsü adına ve ondan gelen talimatlar doğrultusunda verileri işleyen gerçek veya tüzel kişi olarak tanımlanmaktadır.
Verilerin İşlenmesi Faaliyetleri Çerçevesinde Uyulması Gereken Genel İlkeler
Yönetmelik verilerin işlenmesinde uyulması gereken ilkelerin neler olduğunu belirmektedir. Bu ilkelere uymayan veri sorumlusu ve organizasyonların cezalandırılması gerektiği ifade edilmektedir.
Buna göre GDPR’de belirtilen verilerin işlenmesindeki genel ilkeler şu şekilde belirtilebilir;
Kanunilik, Adillik ve Şeffaflık İlkesi (“Lawfulness, fairness and transparency”): Kişisel verilerin yasal, adilane ve şeffaf bir şekilde işlenmesini kapsamaktadır.
Amaçla Kısıtlılık İlkesi (“Purpose limitation”): Verilerin belirli, açık ve yasal amaçlar için toplanması ve bu amaçları aşacak şekilde işlenmemesini teminat altına almaktadır.
Veri Minimizasyonu İlkesi (“Data minimisation”): Verilerin toplama ve işlemenin amaca uygun olacak şekilde yeterli, ilgili ve sadece gerek duyulan verilerle kısıtlı olmak üzere toplanması ve işlenmesini ifade etmektedir. Doğruluk İlkesi (“Accuracy”): Verilerin doğru ve güncel olması için bütün önlemlerin alınmasını ifade etmektedir.
Depolama Kısıtlaması İlkesi (“Storage limitation”): Kişisel verilerin amaçları doğrultusunda ihtiyaç duyulandan daha fazla süre için depolanmamasını teminat altına almaktadır.
Bütünsellik ve Gizlilik İlkesi (“İntegrity and confidentiality”): Yetkisiz ve yasal olmayan işlemeye karşı yeterli ölçüde güvenlik önleminin alınması, bu çerçevede uygun teknik ve organizasyonel önlemlerin hayata geçirilmesi ve bu kapsamda kazara kaybın, imhanın veya hasarın meydana gelmesinin önüne geçilmesi ilkesidir.
Sorumluluk İlkesi (“Accountability”): Yukarıda yer alan ilkelerden ötürü Veri sorumlusunun sorumlu olduğunu belirten ilkedir.
GDPR ile Öngörülen İdari Para Cezaları
Yönetmelik Faaliyetleri çerçevesinde GPDR’ye uymayan organizasyonlara, yıllık cirolarının %4’ü kadar veya 20Milyon€’ya kadar para cezası ile karşı karşıya kalması öngörmektedir. Bu verilebilecek maksimum ceza miktarıdır. Cezanın miktarı somut ihlal çerçevesinde ihlalin ağırlığına göre belirlenmesi öngörülmüştür.
Yönerge bu kapsamda kademeli bir ceza sistemi kurmaktadır. Örnek vermek gerekirse, veri konusu kişilerden yeterli miktarda rıza almaksızın veri işlenmesi halinde üst sınırdan ceza verilmesi öngörülmüşken, kişisel verilere ilişkin kayıtların Yönergeye uygun olarak depolanmaması veya olası bir ihlal halinde veri konusu ve ilgili otoritelere gerekli bildirimleri yapma yükümlülüğü ihlalinin varlığı halinde ise yıllık cirolarının %2’si kadar veya 10Milyon€’ya kadar ceza verilmesi öngörülmektedir.
GDPR, İdari ceza uygulama yetkisini Denetleyici Otoritelerin (“Supervisory Authority”) kullanmasını öngörmektedir. Buna göre Denetleyici Otoriteler idari para cezalarının uygulanması ve bu cezaların orantılı, etkili ve caydırıcı olmasını sağlamakla yükümlüdür.
Bu çerçevede idari cezalar, her bir olayın somut özellikleri dikkate alınmak suretiyle uygulanmaktadır.
İdari bir cezanın uygulanıp uygulanmayacağı ve cezanın miktarı, Düzenleyici Otoriteler tarafından şu ölçütlere bakarak karar vermesi gerekmektedir.
a) Verinin işlenme amacı, kapsamı, ihlalden etkilenen kişi sayısı dikkate alınarak ihlalin doğası, ağırlığı ve süresi ve doğan zararın büyüklüğü,
b) Kusur veya ihmalin oranları,
c) Veri sorumlusu veya işleyicisi tarafından zararın azaltılması için gösterilmiş olan çaba,
d) Veri sorumlusu veya veri işlemcisinin uygulaması gereken teknik ve organizasyonel önlemlerin hesaba katılarak belirlenecek olan sorumluluk,
e) Yaşanan ihlalin önceden yaşanmış olan bir başka ihlal ile bağlantılı olması,
f) İhlal sonucu doğabilecek olan zararların azaltılması amacıyla Denetleyici Otorite ile yapılmış olan iş birliğinin derecesi,
g) İhlalden etkilenen kişisel verilerin kategorisi
GDPR hangi ihlallerden kaynaklı idari cezaların müteşebbisin yıllık cirosunun %2’sine kadar veya 10Milyon€’ya kadar olacağını, hangi ihlallerden kaynaklı cezanın yıllık cironun %4’üne kadar veya 20Milyon€’ya kadar tutacağını da belirtmektedir.
10Milyon€’ya kadar (veya toplam cironun % 2'si) idari para cezası; Çocuğun rızasının alınmasını gerektiren durumlarda buna riayet edilmemesi, veri koruma ilkelerinin uygulanmaması, işlenen verilerin kayıtlarını tutma mecburiyetine uyulmaması, kurumun taleplerine karşı itaat göstermemek, güvenlik tedbirlerine uyulmaması, kuruma ve veri ilgilisine yapılması gereken bildirimlerin eksik yapılması veya hiç yapılmaması, veri koruma memuru atama yükümlülüğünün bulunması halinde bu yükümlülüğün ihlali ve diğer benzeri durumlarda uygulanacağı belirtilmektedir.
20Milyon€’ya kadar (veya küresel cironun %4'si) idari para cezası; Veri işleme süreçlerine hakim olan ilkelere uyulmaması, kanuna aykırı veri işleme faaliyeti, veri sahibinin haklarının ihlal edilmesi, AB dışındaki 3.kişilere yapılan veri transferlerinin gerekliliklerine uymama hallerinde uygulanacağı belirtilmektedir. İdari para cezalarına karar verilirken ve cezanın miktarı belirlenirken ihlâlin özellikleri (tabiatı, büyüklüğü, süresi, veri sorumlusu tarafından alınan aksiyonlar vs.), veri işleme faaliyetinin özellikleri ve diğer ağırlaştırıcı ve hafifletici etkenler başta olmak üzere birçok etken hesaba katılmalıdır.
Bu cezaların hem veri sorumlularına hem veri işleyene hem de veri depolayıcısı olarak hizmet veren organizasyonlara verilmesi mümkündür. Bu bulut veri depolama hizmeti veren organizasyonlarının da düzenlemeden etkilenmeleri anlamına gelmektedir.
Şirketler Hukuku hakkında daha fazla bilgi almak ve her türlü sorunuzu iletmek için bize
info@guzeloglu.legal adresinden ulaşabilirsiniz.