Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Yönetmeliği (GDPR)

Kişisel Verilerin Korunması Kanunu ve Avrupa Genel Veri Koruma Yönetmeliği (GDPR)

Tasarım Atölyesi Kadıköy, Mayıs 2018

7544e7e17848536d8eb3a7e1398e394b?s=128

Arda Çetin

May 17, 2018
Tweet

Transcript

  1. Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation)

    Arda ÇETİN arda.cetin@tbid.org.tr
  2. 2

  3. 3 Edward Snowden Maximillian Schreis Mario Costeja Gonzalez Bu üç

    kişinin ortak noktası nedir? Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur.
  4. 4 Edward Snowden NSA’in mahremiyet ihlalleri ortaya çıkardı.

  5. 5 Maximillian Schrems Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine

    dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne dava açtı.
  6. 6 Mario Costeja Gonzalez Google İspanya ve Google Inc.’e karşı

    “unutulma hakkı”na dair hukuksal mücadele etti.
  7. 7 Bu değişime ayak uyduramayan direktifin yerine; kişisel verilerin korunmasında

    daha sağlıklı, bugün ile daha uyumlu ve etkin, daha dinamiklik, bireysel hakları daha koruyucu bir regülasyon olan GDPR, 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi.
  8. 8 GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girse de iki

    senelik bir uyum termini sonrası 25 Mayıs 2018’de uygulanmaya başlanacaktır.
  9. KVKK 9 GDPR

  10. 10

  11. AB Genel Veri Koruma Regülasyonu Nedir? 11 AB Genel Veri

    Koruma Regülasyonu (GDPR), tüm Avrupa genelinde AB vatandaşlarını korumaya yönelik uyumlu bir dizi veri gizliliği yasası hazırlamak için geliştirildi. Bu regülasyon, 95/46/EC sayılı Veri Koruma Direktifi’nin yerini alır ve bu direktif ile arasında ciddi farklar vardır.
  12. GDPR Kapsamındaki “Kişisel Veri” - İsim, fotoğraf, e-posta, banka detayları,

    sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler. - Cookie! - En büyük problem: 3. parti veri işleyenler - Müşteri verilerini 3. parti firmalarla paylaşanlar 12
  13. 13 - İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları,

    tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler. - Cookie! - En büyük problem: 3. parti veri işleyenler - Müşteri verilerini 3. parti firmalarla paylaşanlar GDPR Kapsamındaki Kişisel Veriler
  14. Daha geniş yetki alanı. GDPR, Avrupa Birliği sınırları içerisinde yaşayan

    herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacaktır. 14
  15. Cezalar. GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm

    kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir. 15
  16. Onay. Onay, net ve kolayca anlaşılır bir şekilde istenmeli ve

    diğer konulardan ayırt edilebilmelidir. Buna ek olarak, onayın geri alınması da verilmesi kadar kolay olmalıdır. 16
  17. İhlal Bildirimleri İhlal bildirimleri zorunlu olacaktır ve kurum veya kuruluşun

    ihlalin farkına varmasını takip eden 72 saat içinde tamamlanması gerekecektir. 17
  18. Gizlilik. GDPR, veri koruma işlevinin sistemler tasarlanırken baştan dahil edilmesini,

    sonradan ekleme yoluyla uygulanmamasını şart kılar. 18
  19. Kimler Etkilenir? GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de

    AB dışındaki şirketler için geçerlidir. Esas olarak, AB veri öznelerine mal veya hizmet sunan ya da bu öznelerin davranışlarını izleyen tüm kuruluşlar GDPR’den etkilenecektir. Düzenlemeler, hem denetleyiciler hem de işleyiciler için geçerlidir. Bu nedenle, bulut platformları GDPR’den muaf değildir. 19
  20. Neler değişiyor? 20 • Yeni bir unvan: Data Protection Officer

    • IP adresi, cookie gibi direkt “kişisel veri” olmayan “kişisel veriler” de artık kişisel veridir. • Talep edilmesi halinde hangi verleri depolandığına dair 20 gün içinde cevap vermek gerekiyor. • Şirket verlerinin “hacklenmesi" durumunda 72 saat içinde açıklama yapmak zorunda. • Veriyi kontrol edenin sorumluluğu: Onay toplama, onay yönetimi, silme ve unutulma hakkında sorumluluk sahibi. • Siteye ilk defa gelen bir ziyaretçinin hangi bilgisini otomatik olarak alabilirim? Hiçbir datası. • Yani: Site istatistiklerini toplamak için bile ziyaretçinin onayını almak gerekiyor.