Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) (GDPR) (EU) 2016/679, Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmeliktir. GDPR öncelikle bireylere kendi kişisel bilgilerini kontrol altına almalarını ve AB içerisindeki şirketlerin bu yönetmeliklerle uyumlu hale getirilmesini amaçlamaktadır.
Kişisel verileri işleten tarafların veri koruma ilkelerini uygulamak için gerekli teknik ve kurumsal önlemleri alması gerekmektedir. Kişisel verilerin ele alındığı iş süreçleri, veri koruma ilkeleri göz önünde bulundurularak tasarlanıp yapılmalı ve verileri korumak için önlemler alınmalıdır. Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahiptir.
Kişisel veri işletmecileri, her türlü veri toplama işlemlerinde verinin işlenme amacını, yasal dayanaklarını, verilerin ne kadar süreyle sakladığını ve herhangi bir üçüncü tarafla veya Avrupa Ekonomik Alanı dışında bir yerde paylaşılıp paylaşılmadığını açıkça belirtmesi gerekmektedir. Kişisel veri sahipleri, istediği zaman kendisine ait depolanan verilerin bir kopyasını talep etme ve bu verileri belirli koşullar altında silme hakkına sahiptir. İşletmeler, kullanıcı gizliliğine olumsuz etkide bulunan herhangi bir veri ihlalinde (örneğin bilgilerin çalınması gibi) kullanıcıları 72 saat içerisinde bilgilendirmelidir.
Yönetmelikleri ihlal ettiği belirlenen şirketlere 20 milyon euro’ya kadar ya da şirketin yıllık gelirinin %4’üne kadar (hangisi büyükse) para cezası kesilebilmektedir.
Genel Veri Koruma Yönetmeliği, 14 Nisan 2016 tarihinde kabul edilmiş ve 25 Mayıs 2018’den itibaren yürürlüktedir. GDPR bir yönerge değil, doğrudan bağlayıcı ve uygulanabilir bir yönetmeliktir.
Yönetmelik, Avrupa Birliği içerisinde olan tüm yöneticileri (AB vatandaşlarından veri toplayan kurum), veri işletmecileri (yönetici adına veriyi işleyen kurum) ve ilgili kişileri (veri sahibi birey) kapsamaktadır. Yönetmelik ayrıca AB vatandaşlarının verilerini işleyen, AB dışındaki şirketleri de kapsar.
Yönetmelik, ulusal güvenlik faaliyetleri ve AB yasalarının uygulanması durumlarında geçerli değildir. AB üyesi ülkeler, şikayetleri incelemek ve soruşturma başlatmak için bağımsız bir denetim otoritesi kurmalıdır. Denetim otoriteleri, diğer üye ülkelerin otoriteleriyle işbirliği içinde olarak ortak faaliyetler düzenlemelidir.
