GDPR bir veri koruma yasası olmakla, Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) anlamına gelmektedir. Genel Veri Koruma Yönetmeliği (General Data Protection Regulation); AB tarafından AB Birliği içerisindeki tüm bireylerin kişisel verilerinin korunması ve gizliliği amacıyla 25 Mayıs 2018’de yürürlüğe giren en katı gizlilik ve güvenlik düzenlemesidir.
GDPR’ın en temel amacı; gerçek kişilere kendi kişisel verileri üzerinde güçlü ve tüm üye ülkelerde eşit bir koruma mekanizması öngörerek, kişisel verilerin Avrupa Birliği içerisinde serbestçe dolaşımını sağlamak ve tüm üye ülkelerde kişisel verisi işlenen gerçek kişilerin mahremiyetini ve haklarını korumaktır.
GDPR uyarınca veri işleyen gerçek veya tüzel kişiler, kişisel verileri işlerken GDPR’ın 5. Maddesinde yer alan ilkelere uygun davranmak zorundadır.
Kişisel verilerin kullanımının yasal, adil ve şeffaf olmasını sağlamak da bu ilkelere dahildir. Ayrıca; kişisel veri işleyen gerçek ve tüzel kişiler, işledikleri kişisel verilerin güvenliğinden de sorumludur.
Bununla birlikte; bir veri ihlali meydana geldiğinde, GDPR uyarınca veri sorumlularının ihlalden haberdar olduktan sonraki 72 saat içinde ilgili denetim makamına veri ihlal bildiriminde bulunmaları gerekmektedir.
Veri Koruma Görevlisi (DPO), veri sorumlusunun kişisel verilerin korunmasına yönelik uyması gereken yasal yükümlülükleri düzenli olarak takip eden, bu kapsamda alınacak tedbirlerle ilgili süreçleri titizlikle yöneten gerçek kişidir. Veri koruma görevlisinin birincil görevi kuruluşun, personelin, müşterilerin, sağlayıcıların veya diğer kişilerin kişisel verilerinin geçerli veri koruma kurallarına uygun olarak işlenmesini sağlamaktır.
GDPR belirli koşulları karşılayan veri sorumlularının veri koruma görevlisi atamasını zorunlu kılmaktadır. Buna göre; veri sorumlusunun temel faaliyetlerinin doğası, kapsamı ve/veya amacı gereği, ilgili kişilerin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetlerinden oluşması veya veri sorumlusunun temel faaliyetlerinin büyük ölçekte özel nitelikli kişisel veri veya ceza mahkûmiyeti ile suçlara ilişkin verilerin işlenmesini içermesi halinde, veri sorumlusunun bir veri koruma görevlisi atama yükümlülüğü bulunmaktadır.
Bir veri ihlali meydana geldiğinde gecikme olmaksızın ve veri ihlalini farkına vardıktan sonraki en geç 72 saat içinde ICO’ya veri ihlal bildiriminde bulunulmalıdır. Eğer bildirim süresi bundan daha uzun bir süreyse, ayrıca gecikmenin nedenleri de belirtilmelidir.
Her durumda, veri ihlali bir kontrolör tarafından belgelenmeli ve tutulan rapor ihlalin etkilerini ve alınan düzeltici önlemin tanımını içermelidir. Ayrıca; kişisel veri ihlalinin gerçek kişilerin hak ve özgürlükleri üzerinde yüksek bir risk oluşturması muhtemel ise, kontrolör veri ihlalini veri sahiplerine gecikme olmaksızın bildirmelidir.
GDPR ihlallerine bağlı olarak tek seferde kesilen ceza tutarı 20 milyon Euro’yu veya şirketin küresel çapta yıllık cirosunun yüzde 4’ünü bulabilmektedir. İki seçenekli iş bu yaptırımlardan hangi tutar daha yüksek ise veri ihlal edene o ceza uygulanmaktadır. Bu bağlamda; GDPR kapsamında veri ihlalinde bulunanlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’na nazaran daha ağır yaptırımlarla karşı karşıya kalmaktadır.
GDPR, Avrupa Birliği (AB) genelinde veri koruma ve gizlilik yasalarını birleştiren ve güçlendiren Genel Veri Koruma Yönetmeliği'dir. 25 Mayıs 2018'de yürürlüğe girmiştir. GDPR, AB'de yaşayan bireylerin kişisel verilerini işleyen tüm işletmeleri kapsar. Bu, AB içinde yerleşik olmayan ancak AB vatandaşlarına mal veya hizmet sunan veya onların davranışlarını izleyen işletmeleri de içerir. GDPR, kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılması konusunda katı kurallar getirir.