Fransız basınında yer
alan haberlere göre, CNIL, GDPR kapsamında bir internet devine ceza kesen ilk
kurum oldu.
"None Of Your Business" ve "La Quadrature du
Net" isimli dernekler, daha önce bu konuda Google hakkında suç duyurusunda
bulunmuştu.
Avrupa Birliği çapında 25 Mayıs 2018'de yürürlüğe giren
GDPR, kişisel verileri korumada yaşanabilecek ihlallere yönelik iyileştirmeleri
kapsıyor. GDPR ile Avrupa'daki kullanıcılar, kişisel veriler üzerinde daha
fazla kontrol sahibi oluyor ve bu verilerin nasıl kullanıldığını daha iyi
anlıyor.
Kurumların ve şirketlerin, yeni düzenlemeyle
kullanıcılarının kişisel verilerini toplama, işleme ve saklama usulleri de
değişti. GDPR ile şirketlerin kişisel verileri toplamaları, işlemeleri,
paylaşmaları ve saklamaları için bireylerin tam olarak bilgilendirilmesi ve
açık izinlerinin alınması gibi şartlar koşuluyor.
Bir işletmenin söz konusu verileri kullanma amacında
farklılık yaşanması veya paylaşım şartlarında değişiklik olması halinde önceden
alınmış olan iznin yeni koşullara göre güncellenmesi gerekiyor.
Düzenleme, kişisel verilerin sızması, çalınması veya amaç
dışında kullanılması gibi bir durumun ortaya çıkması halinde şirketlerin ilgili
düzenleyici kurumlara 72 saat içerisinde açıklama yapması şartını getiriyor.
İşletmelerin kişisel veri kurallarını ihlal etmeleri
durumunda yetkili makamlar, şirketlere 20 milyon avroya kadar veya şirketin
dünya çapındaki cirosunun yüzde 4'üne ulaşan para cezası uygulayabiliyor.
Kişisel veriler, sahibi olduğu kişiyi tanımlayan, bu kişi
hakkında özel ve genel bilgileri içeren her türlü veriyi kapsıyor. Bireyin adı,
soyadı, doğum tarihi, doğum yeri, e-posta adresi, kimlik numaraları, konumu,
sağlık bilgilerine ilave olarak kişinin fiziki, ailevi, ekonomik ve sosyal
özelliklerine ilişkin çeşitli bilgiler de kişisel veri kapsamına giriyor.
