Genel Veri Koruma Yönetmeliği (General Data Protection Regulation); AB tarafından AB Birliği içerisindeki tüm bireylerin kişisel verilerinin korunması ve gizliliği amacıyla 25 Mayıs 2018’de yürürlüğe giren en katı gizlilik ve güvenlik düzenlemesidir. GDPR uluslararası bir boyut taşımakta olup, bu şu anlama gelmektedir. GDPR sorumluluğu yer veya ülkeyle sınırlı olmayıp Avrupa Birliği müktesebatına bağlı her ülkenin sınırları içerisinde kurulan şirketler veya bu tanımın dışında olup da AB vatandaşlarının verilerini işleyen gerçek ve tüzel kişiler GDPR düzenlemeleri kapsamındadır.

GDPR’ın 3. Maddesinin 2. Bendinde AB dışında kurulu olan bir şirketin herhangi bir ödemeye dayalı olmasa dahi AB’de yaşayan bir gerçek kişiye (Data Subject) ürün ve hizmet önermesi ya da AB içindeki bir gerçek kişinin davranışlarını izlemesi o şirketin GDPR’a tabi olduğuna dair yeterli gösterge sayılmıştır. Dolayısıyla; Türkiye’de yer alan gerçek ve tüzel kişiler; AB üye ülkeleri ile ithalat ihracat ve herhangi bir ticari faaliyette bulunuyor, web sayfalarında AB’de konuşulan dillerden biri ile hizmet ve ürün öneriyor, AB vatandaşlarının bilgileri topluyor ve onlara Avrupa’da kullanılan para birimleri ile fiyat listesi sunuyor, Web sitesi üzerinden cookies (çerezler) ile AB vatandaşlarının bilgilerini tespit etme, profillerini çıkarma, alışkanlıklarını bulma, IP adreslerini elde etme de gibi faaliyetler yürütüyor ise GDPR kapsamında yer almaktadırlar.

Önemle belirtmek gerekir ki; Kişisel Verileri Koruma Kanunu’na (KVKK) uyumlu halde olmuş olmanız tek başına yeterli olmayıp eğer Avrupa Birliği vatandaşlarının verisini işliyor iseniz GDPR uyum sürecini ayrı olarak ele almanız gerekmektedir. 6698 sayılı Kişisel Verileri Koruma Kanununa uyum sağlanması ile GDPR’a uyum sağlanması birbirinden tamamen farklı süreçlerdir. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verilerini işleyen gerçek ve tüzel kişilerin GDPR’a ayrıca uyum sağlaması elzemdir.

GDPR ve KVKK uyumluluğu bir sefere mahsus yapılması gereken bir güvenlik standardı da olmayıp şirketlerin tüm faaliyetlerini kanunlarda yer alan düzenlemelerle ve devamlılıkla uygulamaları gerekmektedir. Hem KVKK hem de GDPR’da veri ihlal edenlere ciddi yaptırımlar uygulanmaktadır. Özellikle GDPR ihlallerine bağlı olarak tek seferde kesilen ceza tutarı 20 milyon Euro’yu veya şirketin küresel çapta yıllık cirosunun yüzde 4’ünü bulabilmektedir. İki seçenekli iş bu yaptırımlardan hangi tutar daha yüksek ise veri ihlal edene o ceza uygulanacaktır. Bu bağlamda GDPR kapsamında veri ihlalinde bulunanlar 6698 sayılı Kişisel Verilerin Korunması Kanununa nazaran daha ağır yaptırımlarla karşı karşıya kalmaktadır.

GDPR kapsamında kişisel veri işleyen her kuruluş tarafından, kişisel verilerin korunması doğrultusunda gerekli politikalar oluşturulmalı, çalışanlarına, müşterilerine vb. taraflarla bilgi paylaşımlarında gerekli veri aktarım protokol ve prosedürleri hazırlanmalıdır. Ayrıca tüm çalışanlarına veri kullanımı ve paylaşımı konularında gerekli eğitimler de verilmelidir.

Ayrıca önemle belirtmek gerekir ki; kişisel verileri GDPR’a uyumlu bir şekilde işleyen kurum ve kuruluşlar AB Birliği ülkelerinde ve diğer ülkelerle yapacakları ticarette prestij ve güven kazanacak ve bu kazanılan prestij ve güven dolayısıyla da ticaret hacimlerine büyük bir artı kazandırmış olacaklardır.