Genel Veri Koruma Yönetmeliği (GDPR), Mayıs 2018’de Avrupa Birliği’nde (AB) yürürlüğe giren kapsamlı bir veri koruma yasasıdır. Kişisel verilerin korunmasını güçlendirmek ve AB vatandaşlarına kişisel bilgileri üzerinde daha fazla kontrol sağlamak için oluşturulmuştur. Yönetmelik, tüm AB üye ülkeleri ve AB içinde faaliyet gösteren veya AB vatandaşlarına mal veya hizmet sunan kuruluşlar için geçerlidir.
GDPR, kişisel verilerin toplanması, kullanılması ve saklanması için katı kurallar ortaya koymaktadır. Kişisel veriler, isim, e-posta adresi veya IP adresi gibi bir kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilecek her türlü bilgiyi içerir. GDPR kapsamında, kuruluşlar kişisel verilerini toplamadan ve kullanmadan önce bireylerden açık onay almalıdır. Ayrıca, verilerin nasıl kullanılacağı hakkında açık ve özlü bilgiler sağlamalıdırlar ve bireyler kişisel verilerine erişme ve bunları düzeltme hakkına sahiptir.
GDPR ayrıca veri işleyicileri ve veri denetleyicileri için de katı gereklilikler getirmektedir. Veri işleyenler, bir veri denetleyicisi adına kişisel verileri işleyen şirketler veya bireylerdir; veri denetleyicileri ise kişisel verilerin yönetiminden sorumludur. Hem veri işleyenler hem de veri kontrolörleri kişisel verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri almalı ve veri ihlallerini 72 saat içinde ilgili makamlara bildirmelidir.
GDPR’nin en önemli yönlerinden biri, uyumsuzluğa yönelik cezaların artırılmasıdır. Yönetmeliğe uymayan kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon Euro’ya kadar (hangisi daha büyükse) para cezasına çarptırılabilir. Bu, AB’de faaliyet gösteren veya AB vatandaşlarının verilerini işleyen işletmelerin veri korumayı ciddiye alması ve uyumluluğu sağlamak için uygun politika ve prosedürleri uygulaması gerektiği anlamına gelir.
Özetle, GDPR, AB vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sağlayan ve bu verileri işleyen kuruluşlara katı gereklilikler getiren kapsamlı bir veri koruma yasasıdır. Bireyleri kişisel verilerinin kötüye kullanımından korumak ve kişisel verileri toplayan ve kullanan kuruluşların bunu şeffaf ve sorumlu bir şekilde yapmalarını sağlamak için tasarlanmıştır.