GDPR nedir ve kimler için geçerlidir?

GDPR (Genel Veri Koruma Yönetmeliği), kişisel verilerin nasıl toplandığını, saklandığını ve işlendiğini düzenleyen, 2018 yılında yürürlüğe giren bir Avrupa Birliği gizlilik yasasıdır. İşletmenin fiziksel olarak nerede bulunduğundan bağımsız olarak, AB sakinlerine ait verilerle işlem yapan dünyadaki tüm kuruluşlar için geçerlidir.

GDPR, VPN sağlayıcılarını nasıl etkiler?

AB müşterilerine hizmet veren VPN sağlayıcıları, şeffaf gizlilik politikaları sürdürerek, veri toplama uygulamalarını gerekçelendirerek ve veri silme talepleri gibi kullanıcı haklarını yerine getirerek GDPR'a uymak zorundadır. Pek çok saygın VPN hizmeti, ellerinde tuttukları kişisel veriyi en aza indirmek ve böylece GDPR uyum yüklerini önemli ölçüde azaltmak amacıyla kısmen katı kayıt tutmama politikaları benimsemektedir.

GDPR, bireylere kişisel verileri üzerinde hangi hakları tanır?

GDPR, AB sakinlerine; verilerine erişim, yanlışlıkları düzeltme, silme talep etme ("unutulma hakkı"), işlemeyi kısıtlama ve veri taşınabilirliği gibi çeşitli güçlü haklar tanımaktadır. Kullanıcılar ayrıca belirli işleme faaliyetlerine itiraz edebilir ve istedikleri zaman onaylarını geri çekerek kuruluşları bilgilerini kullanmaktan alıkoyabilir.

Şirketler GDPR'ı ihlal etmeleri durumunda hangi yaptırımlarla karşılaşabilir?

GDPR ihlalleri ciddi mali sonuçlar doğurur. Düzenleyici kurumlar, hangisi daha yüksekse 20 milyon Euro'ya veya şirketin küresel yıllık gelirinin %4'üne kadar para cezası uygulayabilir. Meta ve Google gibi büyük şirketler milyar Euro'luk para cezalarıyla karşılaşmış olup bu durum GDPR'ı küresel ölçekte en sert uygulanan veri gizliliği düzenlemelerinden biri hâline getirmektedir.

GDPR — VPN Sözlüğü

GDPR Açıklandı: Çevrimiçi Gizliliğiniz İçin Ne Anlama Geliyor?

Nedir?

Genel Veri Koruma Yönetmeliği — neredeyse evrensel olarak GDPR adıyla bilinen — Mayıs 2018'de Avrupa Birliği genelinde yürürlüğe giren kapsamlı bir veri gizliliği yasasıdır. Dağınık ve zayıf ulusal gizlilik kurallarının yerini, ilgili kuruluşun fiziksel olarak nerede bulunduğundan bağımsız biçimde AB vatandaşlarının kişisel verilerini işleyen her kuruluş için geçerli olan tek ve uygulanabilir bir standartla değiştirdi.

Basitçe ifade etmek gerekirse: dünyanın herhangi bir yerindeki bir şirket Avrupa'daki kişilere ait veri topluyorsa, GDPR o şirket için de geçerlidir. Bu kapsam, GDPR'ı bugüne kadar çıkarılmış en geniş kapsamlı gizlilik düzenlemelerinden biri hâline getirdi ve o tarihten bu yana dünyanın dört bir yanındaki gizlilik yasalarını etkiledi.

Nasıl Çalışır?

GDPR birkaç temel ilke üzerine inşa edilmiştir. Kuruluşların verilerinizi işlemek için yasal bir dayanağa sahip olması gerekir; bu dayanak açık rızanız, sözleşmeden doğan bir zorunluluk veya meşru bir çıkar olabilir. Ayrıca hangi verileri topladıklarını, neden topladıklarını ve ne kadar süre sakladıklarını şeffaf biçimde açıklamak zorundadırlar.

Kullanıcı tarafında GDPR, çeşitli anlamlı haklar tanır:

Erişim hakkı — Bir şirketin sizinle ilgili tuttuğu kişisel verilerin tamamının bir kopyasını talep edebilirsiniz.
Silinme hakkı ("unutulma hakkı") — Belirli koşullar altında bir kuruluştan verilerinizi silmesini isteyebilirsiniz.
Veri taşınabilirliği hakkı — Verilerinizi başka bir yere aktarmak için makine tarafından okunabilir bir formatta talep edebilirsiniz.
İtiraz hakkı — Doğrudan pazarlama da dahil olmak üzere belirli veri işleme türlerine itiraz edebilirsiniz.

GDPR'ı ihlal eden şirketler ağır yaptırımlarla karşılaşır. Para cezaları 20 milyon Euro'ya veya küresel yıllık cironun %4'üne kadar ulaşabilir; hangisi daha yüksekse o esas alınır. Bu rakamlar, büyük teknoloji şirketlerini bile kişisel verileri işleme biçimlerini yeniden yapılandırmaya yöneltti.

VPN Kullanıcıları İçin Neden Önemlidir?

GDPR, VPN kullanımıyla birçok önemli noktada kesişmektedir.

VPN sağlayıcılarının kendileri de GDPR kapsamındadır. Bir VPN hizmetinin AB'de müşterileri varsa uyum sağlaması zorunludur; bu da hangi verileri kaydettiği, bu verilerin ne kadar süre saklandığı ve üçüncü taraflarla paylaşılıp paylaşılmadığı konusunda şeffaf olmayı gerektirir. Güvenilir VPN sağlayıcılarının ayrıntılı gizlilik politikaları yayımlaması ve bağımsız denetimlerden geçmesinin nedeni budur. GDPR uyumlu bir VPN, oturumlarınız hakkında tam olarak neyi sakladığını açıklayabilmelidir; ideal olarak ise çok az şey saklar.

GDPR, kayıt tutmama politikalarını güçlendirir. Yönetmelik, kişisel verilerin ne kadar süre saklanabileceğini sınırlandırdığı ve bunları saklama için açık bir gerekçe talep ettiği için, GDPR kapsamında faaliyet gösteren veya bu düzenlemeyle uyumlu VPN sağlayıcıları üzerinde veri toplamayı asgari düzeyde tutmaya yönelik ekstra bir yasal baskı oluşmaktadır. AB merkezli veya AB müşterileriyle çalışan bir sağlayıcı, makul bir gerekçe olmaksızın bağlantı günlüklerini süresiz olarak depolayamaz.

Bir sorun yaşandığında size başvuru hakkı tanır. Bir VPN hizmeti veri ihlali yaşarsa ve kişisel bilgileriniz ifşa edilirse, GDPR şirketin sizi ve ilgili denetleyici makamı 72 saat içinde bilgilendirmesini zorunlu kılar. Ayrıca tam olarak neyin ifşa edildiğini sormak ve çözüm talep etmek hakkına sahipsiniz.

Pratik Örnekler

Bir VPN hizmetine kaydolduğunuzda ne olduğunu düşünün. GDPR kapsamında şirket, hangi e-posta adresini, ödeme bilgisini veya kullanım verisini topladığını açıkça belirtmek zorundadır. Rızanızı geri çekebilmeli, hesap verilerinizin silinmesini talep edebilmeli ve bu işlemin gerçekleştiğine dair onay alabilmelisiniz.

Bir diğer yaygın örnek: çerez onay açılır pencereleri. Sizi takip etmeden önce izin isteyen o pop-up'lar büyük ölçüde GDPR nedeniyle var olmaktadır. Her ne kadar çoğu zaman can sıkıcı olsalar da, web sitelerinin verilerinizi nasıl ele alması gerektiğine dair gerçek bir dönüşümü temsil ederler; önce izin, sonra özür anlayışını değil.

GDPR, sınırlar ötesindeki hizmetlere erişmek için VPN kullandığınızda da önem taşır. GDPR kapsamında ülkeler arasında akan verilerin belirli yeterlilik standartlarını karşılaması gerekir; bu durum, VPN sağlayıcılarının trafiği nasıl yönlendirdiğini ve sunucu günlüklerini nerede depoladığını etkiler.

Genel Tablo

GDPR, internetteki her gizlilik sorununu çözmedi; ancak kişisel verileri para kazanılacak bir varlık olarak değil, korunmaya değer bir şey olarak ele alan bir temel standart belirledi. Çevrimiçi gizliliği ciddiye alan herkes için GDPR'ı anlamak, VPN sağlayıcınız da dahil olmak üzere verilerinizi emanet ettiğiniz hizmetlere daha doğru sorular sormanızı sağlar.

GDPROrta