Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği tarafından kabul edilen kişisel verilerin korunmasına ilişkin bir yönetmeliktir.
Belge, AB vatandaşlarının kişisel verileriyle çalışan tüm şirketler için geçerlidir.
Kişisel Veriler
GDPR’ye göre kişisel veriler, genel verileri, vatandaşın fiziksel parametrelerini (cinsiyet, ten rengi, boy vb.), çevrimiçi verileri (IP adresi, e-posta, hesaplar vb.), banka hesapları, mülk ve araçlarla ilgili bilgileri içerir.
İhlal durumunda, kontrolör yönetmeliğin gereklerine göre para cezasına tabidir. Ayrıca GDPR, kuralların ihlali durumunda başka tür cezalar da sunar: örneğin, kişisel verilerin işlenmesinin yasaklanması (geçici veya ömür boyu) veya uyarı.
Bilgi Güvenliği denetimi
Yönetmeliğin koşulları
Hassas veriler kuruluşlar tarafından GDPR’nin aşağıdaki hükümlerine uygun olarak işlenir:
- Yasallık. Kişisel verilerin işlenmesi ve saklanması için şirketin ilgili yasal belgelere sahip olması gerekir. Bu, hassas bilgilerle yapılan işlemlerin yasallığını doğrular.
- Kabul. Kişisel verileri işlenecek olan katılımcı bu gerçeğe karşı uyarılmalı ve onayını beyan etmelidir. Aksi takdirde bu, düzenlemelerin ihlali olarak kabul edilecektir.
Reşit olmayan vatandaşlarla (16 yaşın altındaki kişiler) ilgili olarak, belge, çocuğun yasal temsilcileri tarafından kişisel verilerin işlenmesine rıza gösterilmesini düzenlemektedir.
- Suçlular. Katılımcı cezai kovuşturmaya bağlı bir kişiyse, verilerinin işlenmesi yalnızca özel bir kuruluşun kontrolü altında gerçekleştirilir.
- İsteğe bağlı tanımlama. Verilerin işlenmesi veya saklanması sırasında bir vatandaşın kesin olarak tanımlanması gerekmiyorsa, şirketin katılımcının kişisel verilerini saklaması veya aktarması zorunlu değildir.
Katılımcının belirli bir ırka veya cinsiyete ait olduğunu ortaya koyan gizli bilgilerin yanı sıra biyometrik veya genetik verilerin işlenmesi yasaktır.
Genel Veri Koruma Yönetmeliği, çevrimiçi hizmetler sunan şirketler için hassas bilgilerin işlenmesi ve saklanması alanında yeni kurallar belirlemiştir. Kuralların ihlali durumunda, şirketin kişisel verilerin işlenmesi alanındaki faaliyetlerinin ömür boyu yasaklanmasına kadar uygun bir ceza öngörülmüştür.