GDPR (General Data Protection Regulation)

GDPR Nedir?

General Data Protection Regulation (GDPR), Avrupa Birliği'nin kişisel veri koruma yasasıdır (Mayıs 2018). AB vatandaşlarının verilerini işleyen TÜM şirketleri etkiler - şirketin bulunduğu ülke farketmez.

Temel İlkeler

1. Lawfulness: Veri işlemek için yasal dayanak olmalı
2. Purpose Limitation: Veriyi belirtilen amaç dışında kullanma
3. Data Minimization: Sadece gerekli veriyi topla
4. Accuracy: Verileri güncel tut
5. Storage Limitation: Gerekenden uzun saklama
6. Integrity & Confidentiality: Güvenli saklama

Kullanıcı Hakları

• Erişim hakkı: Hangi verilerin toplandığını öğrenme
• Düzeltme hakkı: Yanlış verileri düzeltme
• Silme hakkı ("Right to be forgotten"): Verilerin silinmesini talep etme
• Taşıma hakkı: Verilerin başka servise aktarılması
• İtiraz hakkı: Veri işlemesine itiraz etme

Yasal Dayanaklar (Lawful Basis)

GDPR kapsamında veri işlemek için şu yasal dayanaklardan en az biri gereklidir:

1. Rıza (Consent): Kullanıcının açık onayı - en yaygın kullanılan
2. Sözleşme (Contract): Hizmet sunumu için gerekli veri işleme
3. Yasal yükümlülük: Vergi, muhasebe gibi yasal zorunluluklar
4. Hayati çıkar: Acil sağlık durumu gibi istisnai durumlar
5. Meşru menfaat: Şirketin meşru çıkarları (dikkatli kullanılmalı)
6. Kamu görevi: Kamu kurumları için

Mobil uygulamalar genellikle rıza ve sözleşme dayanaklarını kullanır.

Mobil Uygulama İçin Ne Yapmalı?

1. Gizlilik Politikası

• Türkçe ve/veya hedef ülke dilinde
• Hangi veriler, neden, nasıl toplandığı
• Üçüncü taraflarla paylaşım bilgisi
• Kullanıcı hakları ve iletişim bilgileri

2. Rıza Mekanizması

• Opt-in: Kullanıcı açıkça onay vermeli
• Önceden tıklanmış kutucuklar GEÇERSİZ
• Rıza kolayca geri alınabilmeli

3. Veri İşleme Kayıtları

• Hangi verileri işliyor olduğunuzun kaydı
• İşleme amacı ve yasal dayanağı
• Veri saklama süreleri

4. Veri İhlali Bildirimi

• 72 saat içinde yetkili otoriteye bildirim
• Ciddi ihlallerde kullanıcılara da bildirim

5. Hesap Silme

• Kullanıcının tüm verilerini silme imkânı
• Apple ve Google bu özelliği ZORUNLU kılar
• 30 gün içinde gerçek silme

Mobil Uygulama GDPR Uyum Kontrol Listesi

Uygulamanızın GDPR'a uyumlu olduğundan emin olmak için şu adımları tamamlayın:

• Gizlilik politikası yazıldı ve erişilebilir URL'de yayınlandı
• Rıza mekanizması (consent banner/popup) entegre edildi
• Kullanıcı veri silme talebi işleme altyapısı kuruldu
• Üçüncü taraf SDK'ların veri toplama davranışları belgelendi
• Data Processing Agreement (DPA) tüm veri işleyenlerle imzalandı
• Veri ihlali bildirim süreci tanımlandı (72 saat kuralı)
• App Privacy Labels (Apple) ve Data Safety (Google) dolduruldu
• Kullanıcı verileri şifreli saklanıyor
• Veri saklama süreleri belirlendi ve otomatik silme ayarlandı

Cezalar

• Hafif ihlal: 10M Euro veya yıllık cironun %2'si
• Ağır ihlal: 20M Euro veya yıllık cironun %4'ü
• Hangisi BÜYÜKSE o uygulanır

SDK ve Üçüncü Taraflar

Firebase, Google Analytics, Facebook SDK gibi araçlar veri toplar. SEN bu verilerin sorumlusun:

• SDK'ların ne topladığını bil
• Gizlilik politikana dahil et
• Kullanıcıdan rıza al
• Data Processing Agreement (DPA) imzala

GDPR sadece AB için değil. AB'den bir kullanıcın varsa etkilenirsin. Ciddiye al.

İlgili Konular

• KVKK (Kişisel Verilerin Korunması Kanunu)
• Hesap Silme Zorunluluğu (Apple & Google)
• App Privacy Labels (iOS)