Legalifi Logo
Bloga dön
GDPRUyumluluk
May 10, 2026·3 dk okuma

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

GDPR, Avrupa Birliği ile çalışan veya Avrupa vatandaşlarına hizmet sunan tüm şirketler için veri gizliliği kurallarını yeniden tanımlayan kritik bir düzenlemedir. Bu yazıda kapsamı, temel ilkeleri ve şirketler üzerindeki etkilerini sade bir şekilde ele alıyoruz.

Alperen Turhal

Alperen Turhal

Teknoloji Avukatı

Modern GDPR ve veri gizliliği illüstrasyonu; Avrupa haritası, güvenlik kalkanı, kilit ve veri koruma simgeleri içeren mavi tonlarda teknolojik thumbnail.

Uluslararası alanda ticaret mi yapmak istiyorsunuz veya yurt dışındaki bir şirkete ürün/hizmet satmak hayaliniz mi var?

Bütün bunları gerçekleştirmeden önce artık bilmeniz gereken çok önemli bir düzenleme var: Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR). Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan son değişikliklerin de temelini oluşturan bu düzenleme kişisel verilerin işlenmesi, korunması ve aktarılması süreçlerinde dünya genelinde her şeyin değişmesini sağladı diyebiliriz.

GDPR Nedir?

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), 4 Mayıs 2016 tarihinde yayınlanmış ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.

Kişisel verilerin işlenmesi, korunması, aktarılması ve saklanması süreçlerini detaylı şekilde düzenleyen bu regülasyon, Avrupa Birliği vatandaşları ile ilgili işlem yapan herkesi etkilemiştir.

GDPR olarak da bilinen bu düzenleme ile Avrupa Birliğinde ticaret yapmak isteyen bütün şirketler için oyunun kuralları yeniden yazıldı da denilebilir.

GDPR Kimleri Kapsıyor?

GDPR, kişisel verilerin korunmasında sadece gerçek kişileri muhatap almaktadır. Düzenlemenin, Avrupa Birliği sınırlarını aşan tarafı ise Avrupa Birliği içerisinde yerleşik olup olmadığına bakılmaksızın Avrupa Birliği vatandaşlarının kişisel verilerini işleyen tüm kuruluşları kapsamına almış olmasıdır.

Burada yerleşiklik ve hedefleme iki temel kriter olarak yer almaktadır.

Yerleşiklik Kriteri

Bir veri sorumlusu veya veri işleyen kuruluş Avrupa Birliği sınırları içerisinde faaliyet gösteriyorsa GDPR hükümlerine tabi olur.

Hedefleme Kriteri

Herhangi bir şirket Avrupa Birliği vatandaşlarına mal veya hizmet sunuyorsa GDPR hükümlerine uymakla yükümlüdür.

GDPR’ın Avrupa Birliği sınırlarını aşan etkisi de bu iki kriter temelinde şekillenmektedir.

GDPR Kapsamında Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi ve korunması süreçlerinde veri sorumlusu ile veri işleyen kuruluşlara ciddi yükümlülükler getirilmektedir. Ayrıca kişisel veri kavramına dair kapsamın oldukça geniş tutulduğunu söylemek mümkündür.

Kişisel Verilerin İşlenmesi

GDPR kapsamında veri işlemekle yükümlü olan herkes tüzüğün beşinci maddesinde düzenlenen 7 temel ilkeye uygun bir şekilde süreci yürütmek ve yönetmek zorundadır.

  1. Hukuka uygun veri işleme, dürüstlük ve şeffaflık ilkelerine uyum
  2. Belirli, açık ve meşru amaçlarla sınırlı olarak veri işlenmesi
  3. Veri işleme faaliyetinin yeterli ve gerekli olanlarla sınırlı olarak gerçekleştirilmesi
  4. İşlenen kişisel verilerin doğru ve güncel olması
  5. Belirli süreler boyunca saklanması
  6. Veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınması
  7. Denetim ve kontrol süreçleri hakkında hesap verilebilmesi

GDPR’daki Yasal Dayanaklar

Kişisel verilerin GPDR kapsamında altıncı maddede belirtilen 6 farklı yasal dayanak esas alınarak işlenebilmektedir. İlgili yasal dayanaklar ise şu şekilde özetlenebilir:

  1. Açık rıza
  2. Sözleşme ifası
  3. Veri sorumlusunun yasal yükümlüğünün yerine getirilmesi
  4. Herhangi bir insanın hayati menfaati
  5. Kamu yararı
  6. Bireyin temel hak ve özgürlüklerine zarar vermeyen kurumsal çıkarlar

Kişisel Veri Sahibinin Hakları

Bireyler, GDPR kapsamında kişisel verilerin işlenmesi sürecinde veri sorumlusundan aşağıdaki hususları talep etme hakkına sahiptir.

  1. Bilgi edinme hakkı
  2. Erişim hakkı
  3. Düzeltme hakkı
  4. Silme (Unutulma) hakkı
  5. Veri işlemenin sınırlandırılması hakkı
  6. Veri taşınabilirliği hakkı
  7. İtiraz etme hakkı

GPDR kapsamında kişisel verilerin işlenmesi ve korunmasına dair süreçlerden veri sorumlusu başlıca sorumlu olarak düzenlenmiştir. Veri işleyen de belli yükümlülüklere tabi olmakla birlikte asıl yükümlülükler veri sorumlusunda toplanmıştır.

GDPR kapsamında şirketler başta olmak üzere ilgili tüm kurum ve kuruluşların önemle dikkat etmesi gereken iki husus daha bulunmaktadır. Birincisi, kişisel verilerin yeni teknolojik araçlar kullanılması vasıtası ile bireyler için “yüksek risk” barındıran veri işleme faaliyetlerinden önce bir veri koruma etki değerlendirmesi yapılmak zorundadır. İkinci olarak ise genelde kamu kurum ve kuruluşları ile hassas veri işleyen kuruluşların kendi bünyelerinde çalıştırdıkları bir veri koruma görevlisi atamaları gerekmektedir.

GDPR Yaptırımları ve İdari Para Cezaları

GDPR, veri sorumlusuna, bireylerin temel ve hak özgürlüklerinde risk oluşturabilecek bir kişisel veri ihlalini öğrendiği andan itibaren 72 saat içerisinde ilgili otoriteye bildirimde bulunma yükümlülüğü getirmektedir.

Veri sorumluları tarafından GDPR’da belirtilen kural ve yükümlülüklere aykırı bir şekilde kişisel verilerin işlenmesi durumunda veri sorumluları için yüksek miktarda idari para cezaları öngörülmüştür.

Örneğin, Meta hakkında 2023 yılında İrlanda Veri Koruma Otoritesi tarafından verilen 1.2 milyon Euroluk idari para cezası GDPR kaynaklı verilen en yüksek tutardaki idari para cezası olarak tarihe geçmiştir.

Sonuç

GDPR, Avrupa Birliği ile bağlantılı bir şekilde faaliyette bulunmak isteyen her kurum/kuruluş için çok temel ve detaylı düzenlemeler getirerek veri gizliliği alanında oyunu baştan yazmıştır denilebilir. Veri sorumlularının uymakla yükümlü olduğu hususların detaylı olması ve söz konusu yükümlülüklere aykırı davranılması durumunda verilmesi öngörülen idari para cezası tutarlarının yüksekliği göz önüne alındığında bu alanda uzman ekiplerle çalışılması gerekmektedir.

Alperen Turhal

Yazar

Alperen Turhal

Teknoloji Avukatı

Ankara Üniversitesi Hukuk Fakültesinden mezun oldu. Ardından 2025 yılında yasal stajını kurumsal bir hukuk bürosunda tamamlayarak avukatlık ruhsatını aldı. Karakod bünyesinde özellikle Legalifi RegTech yazılımı için fikri mülkiyet hukuku (marka), kişisel verilerin korunması ve yapay zeka hukuku alanlarında aktif bir şekilde çalışmaktadır.

İlgili yazılar

Legalifi ekibinden gdpr üzerine daha fazla yazı.