General Data Protection Regulation (Bundan böyle “GDPR” olarak anılacaktır.) ile gerçek kişilere ait kişisel verilerin işlenmesi, korunması, aktarılması ve kişisel verilerin serbest dolaşımına ilişkin kurallar düzenlenmektedir. Türkiye’de kurulan ve işletilen fakat Avrupa Birliğin’ de mukim kişilerin verilerini işleyen gerçek ve tüzel kişilerin GDPR’a uyum sağlaması gerekmektedir.
GDPR’ın kapsamı yer/ülke itibariyle sınırlandırılmamıştır. Bu bağlamda, Avrupa Birliği’ne tabi ülke sınırları içerisinde kurulan şirketler veya Avrupa Birliği’ne tabi ülke sınırları içerisinde kurulmasa dahi mal ve/veya hizmet sunumu gerçekleştiren ve birlik vatandaşlarının verilerini işleyen gerçek ve tüzel kişiler GDPR’a tabidir. Dolayısıyla Türkiye’de kurulan ve işletilen, kullanıcıların kişisel verilerini işleyen, muhtelif dil seçenekleri sunan, Euro ve/veya Sterlin ödeme alan ve Avrupa Birliği’nde ki mukim kişilere hizmet sunan gerçek ve tüzel kişilerin GDPR’ a uyum sağlaması gerekmektedir.
GDPR’da en dikkat çekici düzenleme yaptırımlara ilişkindir. Veri ihlali durumunda ceza miktarı“20.000.000 EURO” ya da “yıllık global cironun %4” şeklinde düzenlenmiştir. İki seçenekli yaptırımdan hangisi daha yüksekse veri ihlal edene o ceza uygulanmaktadır. Bu bağlamda GDPR kapsamında veri ihlalinde bulunanlar 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na nazaran daha ağır yaptırımlarla karşı karşıya kalmaktadır.
Belirtmek isteriz ki; 6698 Sayılı Kişisel Verilerin Korunması Kanuna uyum sağlanması ile GDPR uyum sağlanması birbirinden tamamen farklı durumlardır. Türkiye’de kurulan ve faaliyet gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verisini işleyen gerçek ve tüzel kişilerin GDPR’a ayrıca ve açıkça uyum sağlaması gerekmektedir. Ek olarak GDPR uyum sürecini salt olarak hukuki açıdan desteklemek de yetersizdir. Bu bağlamda GDPR uyum çalışmasında teknik altyapı çözümlerinin hukuki uyum planı ile mutlaka desteklenmesi gerekmektedir.
