TR-TR 
EN-US 
Avrupa Birliği tarafından çıkartılan AB Genel Veri Koruma Regülasyonu GDPR (General Data Protection Regulation) 25 Mayıs 2018 tarihi itibari ile yürürlüğe girmiş ve AB'nin dokunduğu her alanı etkilemeye başlamıştır. Verinin olduğu her yerde akla ilk gelmeye başlayan GDPR 'dan, gelişen teknoloji ve beraberinde hızlanan ticari hayat nedeni ile yapılan her işlemin yabancı ülkelerle ilişkilendirilebildiği günümüzde Türkiye'de veri işleyen her türlü kurum da etkilenecektir. GDPR, veri gizliliği ile ilgili yepyeni terimler ve kurallar getirmektedir ve şirketler bu kurallara yönelik düzenlemeler yapmaya başlamaz ise GDPR'ın 20 milyon avroya çıkabilecek olan cezalarını göze almak zorunda kalacaklardır.
GDPR nedir ? GDPR verinin her yerde olduğu günümüzde verinin tanımı, nasıl kullanılacağını, işleneceğini, kişisel verilerin korunmasını, ihlal halinde ne yapılması gerektiği ve buna yönelik veri ile ilgili kapsamlı bir açıklama, gizlilik ile koruma alanı oluşturan bir kanundur. Kanun veri kişilerini korumaya yönelik yepyeni kurallar getirmiş ve bu verilerin gizliliğinin sağlanması için veri ile işlem yapan, yani veriyi işleyen veya kontrol eden, veriye değen herkese yönelik de ağır sorumluluk ve yaptırımlar oluşturmuştur. Veri olgusunun değişimi aslında kişisel veri kabul edilmeyen ve korunması gerektiği düşünülmeyen birçok bilginin koruma kapsamına alınmasını sağlamıştır.
GDPR'a göre kişisel veri nedir? Gerçek kişiyi tanımlayan veya tanımlanabilir kılan veriler kişisel veri olarak kabul edilmektedir. Bu şekilde bir tanım yaparak GDPR koruduğu alanı genişletmiş ve bireylerin veri süjesi olarak adlandırılmasını sağlayarak; adları dahil, cinsiyetleri ,vb. birey ile ilişkilendirilebilecek her türlü veriyi koruma alanına almıştır. Bir kişiye ismini, yaşını, işini veya kişinin kendisi ile ilgili belki de küçük gördüğü ancak GDPR kapsamında kişiyi tanımlanabilir kılması nedeni ile korunması gerektiği düşünülen verileri söylemesi sonucu, bu verilerin GDPR'a uygun işlenmesi ve korunması gerekmektedir, getirilen bu sistem ticari hayat dışında, sosyal hayatta bile bir kişinin verisinin işlenmesi söz konusu olduğu takdirde uygulama alanı bulacaktır; çünkü GDPR uygulama alanını bu şekilde kısıtlamamıştır. Bu nedenle aslında kişisel veri işlemediğini düşünen veya işledikleri kişisel verileri sadece sosyal amaçlarla kullandıklarını düşünen kurumların bile GDPR'a yönelik düşünmesi gerekmektedir.
GDPR kişisel verileri nasıl korumaktadır? Getirdiği korumalardan bazıları; bireylerin kendileri ile ilgili işlenen verileri talep etme ve bunlara ulaşabilme hakkıdır. Bu şekilde bireyler kendileri ile ilgili hangi verilerin nasıl işlendiğini görebilecektir. Bireylere aynı zamanda unutulma hakkı verilmiştir; bu hak bireylerin istedikleri zaman verilerini işleyen kurumlardan çıkmasını ve o kurumda toplanan verilerinin yok edilmesini istemesini sağlar. Bireyler kendileri hakkında toplanan verileri düzelttirebilmekte aynı zamanda bazı verilerin toplanmasını kısıtlayabilmektedir. Bu haklardan sayılanların da gösterdiği üzere artık veri üzerindeki güç veri sahiplerine verilmiştir, verinin işlenmeye başladığı an bu gücü kaybeden ve kendileri hakkındaki bilgilerin nasıl ve kim ile paylaşıldığını bilmeyen ve öğrenemeyen veri sahipleri artık kendilerine ait olan bu bilgileri istedikleri gibi yönetebilecektir.
GDPR'ın diğer değindiği konu ise sayılan bu hakların kullanımının kolaylaştırılmasıdır. Bir yere üye olmak, abonelik veya bir satın alma işleminde bulunmak ne kadar kolay ise bu işlemleri sonlandırmak bir o kadar zordur. Birçok kişi bu zorluklar nedeni ile istemedikleri durumlardan çıkamamaktadır. Veri işleyen kurumların bu hakları kendi kurumlarına entegre ettikleri sırada veri sahibine çıkış kolaylığını da aynı şekilde vermesi gerekmektedir, dolayısı ile veri sahibi baskı altında kalmayacak ve istediği an çıkış yapabilecektir. Yıllardır kişisel verileri kullanan, toplayan ve GDPR'ın yüklediği sorumlulukları karşılamaya hazır olmayan şirketler ne yazık ki uyumluluk sağlamak adına bir süre talep edemeyecektir. GDPR artık yürürlükte olduğundan dolayı en kısa sürede GDPR uyumluluğuna yönelik önlemler alınmaz ise sonrasında gelecek cezalara hazırlıklı olunması gerekmektedir. Aynı zamanda veri sahipleri GDPR ile birlikte haklarının farkında olmalı, verileri ile ilgili her bilgiyi talep ve kontrol edebileceklerini bilmelidir.
GDPR'a uymak zorunda olanlar kimlerdir? GDPR AB tarafından AB'yi etkileyecek şekilde çıkartılmış gibi düşünülse de aslında AB'nin dokunduğu her alan, her veri, her kuruma uygulanmaktadır. GDPR açıkça uygulama alanını ikiye ayırmaktadır:
1.AB'de kurulmuş şirketler, bu ihtimalde verinin işlenmesi veya kullanılmasının AB üzerinde gerçekleşmesi gerekmemektedir; yani Türk bir kişinin verisini Türkiye'de işleyen AB üyesi bir ülkede kurulmuş olan X şirketi de GDPR'a uymak zorundadır.
2.Diğer bir ihtimal ise AB kişilerine hizmet verilmesi veya AB üyesi bir ülkede hizmet sunan şirketler, bu şirketlerin nerede kurulduğu bir önem taşımamaktadır; yani Türkiye'de kurulmuş ve Türkiye'de hizmet veren X şirketi AB vatandaşı Y'ye hizmet verirken de GDPR'a uyacak ve aynı zamanda Türkiye'de kurulmuş X şirketi AB üyesi ülkede bulunan herhangi bir vatandaşa hizmet verirken de GDPR'a uyacaktır.
Görüldüğü üzere GDPR hangi ihtimal olursa olsun AB'nin devreye girdiği her şirketi ve veri işleyen tüm kurumları etkilemektedir. Hala kendilerinin etkilenmediğini düşünen şirketler, hatta gerçekten etkilenmeyen şirketler de uyum sürecine başlamıştır; çünkü bugün kendilerini etkilemediğini düşündükleri GDPR, verilerin işlendiği sistemlerin gün geçtikçe çoğalması ve birçok kurum tarafından farklı şekillerde işlenmesi, verinin kullanım alanının ve hızının yayılması ile eninde sonunda kendilerini etkileyecektir. Dolayısı ile uyum sürecine hemen başlanması gerekmektedir. GDPR sadece uyulması gereken bir kanundan ziyade veri akışının durmadığı günümüzde artık verinin yeni tanımı ve işlemesinin doğru yapılması, gizliliğine yönelik bir yön gösterici olarak görülmeli, veri işleyen, kullan her kurum kendini GDPR'a uygun hale getirmelidir. GDPR veri geleceğinin kurallarındaki başlangıç noktasıdır, bu kanuna sağlanmayan uyum hem uyumsuzları teknoloji ve ilerlemenin dışında bırakacak, hem de yaptırımlara maruz bırakacaktır. Gizliliğin gün geçtikçe daha da şeffaflaştığı günümüzde GDPR gibi bilgilerimizi ve gizliliğimizi, yaşadığımız şartlarda korumaya çalışan kanunların uygulanması artık bir zorunluluk olmuştur.
