Genel Veri Koruma Tüzüğü (GDPR) Nedir?

Orijinal adıyla General Data Protection Regulation (GDPR) olarak bilinen Genel Veri Koruma Tüzüğü; Avrupa Birliği kapsamında, Avrupa Birliği vatandaşlarının kişisel verilerinin korunmasına yönelik olarak düzenlenmiş, doğrudan bağlayıcı ve uygulanabilir bir yönetmeliği ifade eder.

Kişisel Verilerin İşlenmesine İlişkin İlkeler Nelerdir?

Kişisel verilerin işlenmesine ilişkin olan düzenlemeler Genel Veri Koruma Tüzüğü 5. Maddesinde yer alır ve ilgili tüzük maddesine aşağıda yer verilmiştir.

Genel Veri Koruma Tüzüğü Madde 5

1. Kişisel veriler:
• (a) veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenir (’hukuka uygunluk, adalet ve şeffaflık’);
• (b) belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçlarıyla veya istatistiki amaçlarla işleme faaliyeti, 89(1) maddesi uyarınca, baştaki amaçlara aykırı şekilde değerlendirilmez (‘amacın sınırlandırılması’);
• (c) işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlıdır (‘verilerin en az seviyeye indirilmesi’);
• (d) doğrudur ve, gereken şekilde, güncel tutulur; işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atılmalıdır (‘doğruluk’);
• (e) veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur; 89(1) maddesi uyarınca yalnızca kamu yararına arşivleme amaçlarıyla, bilimsel veya tarihi araştırma amaçlarıyla ya da istatistiki amaçlarla işlendikleri sürece ve veri sahibinin hakları ve özgürlüklerinin güvence altına alınmasına için bu Tüzük uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir (’saklama süresinin sınırlandırılması’);
• (f) yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir (‘bütünlük ve gizlilik’). 2. Kontrolör 1. paragrafa uygun davranmaktan sorumludur ve buna uygun davrandığını gösterebilmelidir (’hesap verebilirlik’).

İşleme Faaliyetinin Hukuka Uygunluğu Nedir?

İşleme faaliyetinin hukuka uygunluğu ile ilgili olan düzenlemeler Genel Veri Koruma Tüzüğü 6. Maddesinde yer alır ve ilgili tüzük maddesine aşağıda yer verilmiştir.

Genel Veri Koruma Tüzüğü Madde 6

1. İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:
• (a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;
• (b) veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;
• (c) kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması;
• (d) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;
• (e) kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;
• (f) özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması. İlk alt paragrafın (f) bendi kamu kuruluşları tarafından görevlerinin yerine getirilmesi hususunda gerçekleştirilen işleme faaliyetine uygulanmaz.