Genel Veri Koruma Yönetmeliği (AB) 2016/679 (GDPR), Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı (AEA) da veri koruma ve gizlilik ile ilgili AB yasası yönetmeliğidir. Ayrıca, kişisel verilerin AB ve AEA bölgelerinin dışına aktarılmasını da ele alır. GDPR'nin birincil amacı, bireylere kişisel verileri üzerinde kontrol sağlamak ve düzenlemeyi AB içinde birleştirerek uluslararası ticaret için düzenleyici ortamı basitleştirmektir.[1] Veri Koruma Direktifi 95/46/EC'nin yerini alan düzenleme, AEA'da bulunan bireylerin (GDPR'de resmi olarak veri sahibi olarak adlandırılır) kişisel verilerinin işlenmesiyle ilgili hükümler ve gereksinimler içerir ve herhangi bir işletme için geçerlidir. konumu ve veri öznelerinin uyruğu veya ikametgahı - yani AEA içindeki bireylerin kişisel bilgilerini işliyor.a

Kişisel verilerin denetleyicileri ve işleyicileri, veri koruma ilkelerini uygulamak için uygun teknik ve organizasyonel önlemleri almalıdır. Kişisel verileri işleyen iş süreçleri, ilkeler göz önünde bulundurularak tasarlanmalı ve oluşturulmalı ve verileri korumak için önlemler sağlamalıdır (örneğin, uygun olduğunda takma veya tam anonimleştirme kullanarak). Veri denetleyicileri, bilgi sistemlerini gizliliği göz önünde bulundurarak tasarlamalıdır. Örneğin, varsayılan olarak mümkün olan en yüksek gizlilik ayarlarının kullanılması, böylece veri kümelerinin varsayılan olarak herkese açık olmaması ve bir konuyu tanımlamak için kullanılamaması. Yönetmelikte belirtilen altı hukuka uygun dayanaktan (rıza, sözleşme, kamu görevi, hayati menfaat, meşru menfaat veya hukuki gereklilik) biri kapsamında yapılmadığı sürece hiçbir kişisel veri işlenemez. İşleme rızaya dayalı olduğunda, veri konusu herhangi bir zamanda bunu iptal etme hakkına sahiptir.

Veri denetleyicileri, herhangi bir veri toplanmasını açıkça ifşa etmeli, veri işlemenin yasal dayanağını ve amacını beyan etmeli ve verilerin ne kadar süreyle saklandığını ve herhangi bir üçüncü tarafla veya EEA dışında paylaşılıp paylaşılmadığını belirtmelidir. Firmalar, çalışanlarına ve tüketicilerine ait verileri, çalışanlardan, tüketicilerden veya üçüncü şahıslardan veri gizliliğine minimum müdahale ile yalnızca gerekli verilerin elde edildiği ölçüde korumakla yükümlüdür. Firmaların denetim, iç kontroller ve operasyonlar gibi çeşitli bölümler için iç kontrolleri ve düzenlemeleri olmalıdır. Veri sahipleri, bir denetleyici tarafından ortak bir biçimde toplanan verilerin taşınabilir bir kopyasını talep etme ve belirli koşullar altında verilerinin silinmesini talep etme hakkına sahiptir. Temel faaliyetleri kişisel verilerin düzenli veya sistematik olarak işlenmesinden oluşan kamu makamları ve işletmelerin, GDPR'ye uyumu yönetmekten sorumlu bir veri koruma görevlisi (DPO) istihdam etmesi gerekir. İşletmeler, kullanıcı gizliliği üzerinde olumsuz bir etkiye sahip olmaları durumunda veri ihlallerini 72 saat içinde ulusal denetleyici makamlara bildirmelidir. Bazı durumlarda, GDPR'yi ihlal edenler, hangisi daha büyükse, 20 milyon Euro'ya veya bir önceki mali yılın dünya çapındaki yıllık cirosunun %4'üne kadar para cezasına çarptırılabilir.

GDPR, 14 Nisan 2016'da kabul edildi ve 25 Mayıs 2018'den itibaren yürürlüğe girdi. GDPR bir direktif değil, bir yönetmelik olduğundan, doğrudan bağlayıcı ve uygulanabilirdir, ancak düzenlemenin belirli yönlerinin bireyler tarafından ayarlanması için esneklik sağlar. üye devletler.

Yönetmelik, Şili, Japonya, Brezilya, Güney Kore, Arjantin ve Kenya dahil olmak üzere AB dışındaki birçok ulusal yasa için bir model haline geldi. 28 Haziran 2018'de kabul edilen Kaliforniya Tüketici Gizliliği Yasası (CCPA), GDPR ile birçok benzerliğe sahiptir.[2]

BigFest İstanbul