Türkçe English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_tr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hafta içi 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > GDPR Nedir? Kişisel Verilerin Korunması Kanunu ile Karşılaştırma ve Japon Şirketlerinin Bilmesi Gereken Noktaların Açıklaması

GDPR Nedir? Kişisel Verilerin Korunması Kanunu ile Karşılaştırma ve Japon Şirketlerinin Bilmesi Gereken Noktaların Açıklaması

General Corporate

GDPR Nedir? Kişisel Verilerin Korunması Kanunu ile Karşılaştırma ve Japon Şirketlerinin Bilmesi Gereken Noktaların Açıklaması

AB (Avrupa Birliği) bölgesinde iş yapmayı planlıyorsanız, GDPR (Genel Veri Koruma Tüzüğü) hakkında kapsamlı bilgi sahibi olmanız gerekmektedir. AB bölgesinde bir merkezi olmayan Japon şirketlerine de GDPR uygulanabilir. GDPR ve Kişisel Verilerin Korunması Hakkında Japon Yasası hakkında temel bilgiler edinerek uygun veri yönetimi yapın.

Bu makalede, GDPR’yi Japon Kişisel Verilerin Korunması Yasası ile karşılaştıracağız ve Japon şirketlerinin dikkat etmesi gereken noktaları açıklayacağız. “Veri koruma kurallarını değiştirmem gerekiyor mu?” ya da “AB’de iş yapmak için hangi yasal önlemleri almalıyım?” diye düşünen hukuk departmanındaki kişiler için bu makaleyi mutlaka inceleyin.

GDPR (AB Genel Veri Koruma Tüzüğü) Nedir?

Akıllı telefon kilidi ekranı

“GDPR (General Data Protection Regulation)”, Japonya’da “Genel Veri Koruma Tüzüğü” olarak da bilinen, Avrupa Birliği (AB) tarafından belirlenen kişisel veri işleme (kişisel bilgi koruma) ile ilgili kuralları ifade eder.

AB içinde kişisel verilerin işlenmesiyle ilgili katı standartlar getirerek bireylerin gizlilik haklarının güçlendirilmesini amaçlamaktadır.

Kişisel bilgilerin korunması açısından, şirketlerin ve organizasyonların verileri nasıl işlemesi gerektiği ve bireylerin kendi bilgilerini nasıl koruyabileceği hakkında standartlar sunmaktadır.

Referans: Kişisel Bilgi Koruma Komisyonu | “Genel Veri Koruma Tüzüğü (GDPR) Geçici Japonca Çevirisi[ja]

GDPR’nin temel ilkeleri şunlardır:

  • Yasallık, Adillik ve Şeffaflık
  • Amaç Sınırlılığı
  • Veri Minimizasyonu
  • Doğruluk
  • Kayıt Saklama Sınırlılığı
  • Bütünlük ve Gizlilik

Temel ilkelerin her birini aşağıda açıklıyoruz.

Uygunluk, Adillik ve Şeffaflık

GDPR’ın temel ilkelerinin başında uygunluk, adillik ve şeffaflık gelir.

İşletmeler, kişisel verileri toplarken ve işlerken, yasal olarak geçerli bir temele sahip olmaları gerekmektedir ve bu işlemlerin nasıl gerçekleştirildiğini ilgili taraflara açık ve anlaşılır bir şekilde iletmelidirler.

Ayrıca, işletmeler, gizlilikle ilgili bilgileri açıkça sağlamalı ve ilgili tarafların verilerin nasıl ele alındığını anlamalarını ve kontrol edebilmelerini sağlayacak şekilde şeffaflığı ön planda tutmalıdır.

Kullanım Amaçlarının Sınırlanması

Kullanım amaçlarının sınırlanması, veri toplama ve işleme faaliyetlerinin belirli ve açık bir amaç doğrultusunda gerçekleştirilmesi gerektiği anlamına gelir.

Kişisel veri toplayan işletmeler, topladıkları verilerin kullanım amacını ilgili taraflara doğru ve somut bir şekilde açıklamalı ve açık rızalarını almalıdır. Ayrıca, işletmelerin toplanan verileri, veri sahibinin rızasını aldıkları amaçlar dışında kullanmamaları ve bu verileri sıkı bir şekilde yönetmeleri beklenir.

Kişisel Verilerin Minimize Edilmesi

Kişisel veri toplama işlemi, belirlenen amaçların gerçekleştirilmesi için gerekli olan sınırlar dahilinde (minimize edilerek) yapılmalıdır. Sadece istenen amaçlara uygun olarak kişisel veriler toplanmalı ve gereksiz kişisel bilgiler toplanmamalıdır.

Bu yaklaşım sayesinde, saklanan kişisel veri miktarı en aza indirgenir ve bireylerin gizliliği korunmuş olur.

Doğruluk

GDPR’ın temel ilkelerinden biri olarak, kişisel verilerin doğru olması gerekmektedir. Yanlış olan kişisel veriler düzeltilmeli ve en güncel ve doğru bilgilerin korunması için gerekli önlemler alınmalıdır.

Bu sayede, bireylerin hakları ve çıkarları korunur ve kişisel verilerin işlenmesi doğru bilgilere dayalı olarak gerçekleştirilir.

Kayıt Saklama Sınırlamaları

GDPR’nin temel prensiplerinden biri, kayıt saklama sınırlamaları kavramını içermektedir. Amaç gerçekleştirildiğinde ve artık gerekli olmayan kişisel veriler hızla silinmelidir.

Gereksiz hale gelen kişisel verileri saklamamak, kişisel verilerin uygun şekilde yönetilmesini ve gizliliğin korunmasını sağlar.

Bütünlük ve Gizlilik

Kişisel veriler bütün ve gizlilik içinde korunmalıdır. Kişisel verilerin değiştirilmesi, kaybı ve yetkisiz erişimlere karşı korunması için uygun önlemler alınmalıdır.

Bu sayede, kişisel verilerin güvenilirliği artırılmış olur.

AB Bölgesi İçindeki Şirketlerle Sınırlı Değil? GDPR’nin Uygulama Kapsamı

Bilgi Yönetimi

GDPR, sadece AB bölgesi içindeki şirketlere uygulanmaz. Japon şirketler de uygulama kapsamına girebilir. GDPR’nin uygulandığı şirketleri aşağıdaki dört kategori altında açıklıyoruz.

GDPR’nin Uygulandığı ŞirketlerÖzet
AB Bölgesinde Bir Merkezi Olan Şirketler | “Yönetici”Veri işlemenin amacını ve yöntemlerini belirleyen ve veri sahipliğine sahip olan kuruluşa “yönetici” denir.
Örneğin, AB içinde ana merkezi veya şubesi olan şirketler bu kategoriye girer.
Yöneticiler, verilerin yasal ve şeffaf bir şekilde işlenmesini sağlama sorumluluğuna sahiptir.
AB Şirketlerinden Kişisel Veri İşleme Görevi Alan Şirketler | “İşleyici”AB bölgesindeki bir şirket, başka bir şirkete veri işleme görevi verdiğinde, görevi alan şirket “işleyici” olarak GDPR kapsamına girer.
İşleyiciler de veri güvenliği ve yasal işleme sorumluluğunu üstlenirler.
AB Bölgesindeki Bireylere Ürün veya Hizmet Sunan ŞirketlerÇevrimiçi mağazalar veya web hizmetleri sunan şirketler bu kategoriye girer.
Sunulan ürün veya hizmetlerle ilgili verilerin işlenmesi, GDPR standartlarına uygun olmalıdır.
AB Bölgesindeki Bireyleri Gözetleyen ŞirketlerGözetleme, belirli bireylerin davranışlarını veya durumlarını uzun süre takip etmeyi ifade eder.
Örneğin, gözetim kameraları veya çevrimiçi davranış takibi yapan şirketler bu kategoriye girer ve verilerin yasal işlenmesi gereklidir.

GDPR’nin uygulandığı şirketler, verilerin yasal ve şeffaf bir şekilde işlenmesini, güvenliğinin sağlanmasını ve GDPR standartlarına uyumu sağlamak zorundadır.

İlgili makale: GDPR’nin Sınırlar Ötesi Uygulanması Durumunda Ne Yapılmalı? Çözüm Yolları Açıklanıyor[ja]

GDPR Kapsamında Kişisel Verilerin İşlenmesi

Kişisel Verilerin İşlenmesi

GDPR, kişisel verilerin işlenmesi konusunda gizlilik koruması ve veri dolaşımı için bir çerçeve sunmaktadır.

Bu düzenlemenin amacı ve ilkeleri, temel hakları ve özgürlükleri korumak, özellikle bireyin mahremiyetine saygı göstermek ve kişisel verilerin serbest dolaşımını teşvik etmek için tasarlanmıştır (GDPR Madde 4).

GDPR, kişisel verilerin kontrolünü ve saygınlığını korurken, veri dolaşımını teşvik eder ve uygun yönetim ile güvenilirliği sağlar.

Bunun için veri işlemenin şeffaflığı ve şirketlerin sorumluluk bilinci önemlidir; şirketlerin düzenlemelere uygun olarak verileri uygun şekilde işlemesi gerekmektedir.

GDPR’da ayrıca aşağıdaki gibi maddeler bulunmaktadır.

Kişisel verilerin ‘işlenmesi’ sırasında GDPR kapsamındaki şirketlerin, genellikle kişinin rızasını alması gerekmektedir (GDPR Madde 6, Fıkra 1(a)).
Yöneticilerin, kişisel verilerin işlenmesi konusunda kişinin rızasını verdiğini kanıtlayabilecek durumda olmaları gerekmektedir (GDPR Madde 7, Fıkra 1).
Ayrıca kişi, kişisel verilerin işlenmesi konusundaki rızasını her zaman geri çekebilir (GDPR Madde 7, Fıkra 3).

Öte yandan, kişinin rızası olmaksızın kişisel verilerin ‘işlenmesi’ kabul edilebilir durumlar da vardır. Bunlara örnek olarak aşağıdakiler verilebilir:

  • Kişinin taraf olduğu bir sözleşmenin ifası için gerekli olduğunda
  • Kişinin talebi üzerine sözleşme öncesi işlemleri gerçekleştirmek için gerekli olduğunda
  • Yöneticinin yasal yükümlülükleri yerine getirmesi için gerekli olduğunda
  • Kişinin veya başka birinin hayatını koruma amacıyla gerekli olduğunda
  • Kamu yararı için veya kamu görevinin yerine getirilmesi amacıyla gerekli olduğunda
  • Yöneticinin veya üçüncü bir şahsın meşru menfaatleri için gerekli olduğunda (kişinin hakları, menfaatleri ve özgürlükleriyle dengelenmesi gerekmektedir)

GDPR Kapsamında Kişisel Verilerle İlgili Temel Haklar

Kişisel Veri Hakları

GDPR’de, kişisel veri sahiplerine aşağıdaki haklar esas olarak tanınmıştır:

  • Kişisel verilere erişim hakkı
  • Kişisel verilerin düzeltilmesi veya silinmesini talep etme hakkı
  • Kişisel verilerin işlenmesinin kısıtlanmasını talep etme hakkı
  • Kişisel verilerin işlenmesine itiraz etme hakkı

Kişisel veri sahipleri, kendi bilgilerinin sağlayıcı tarafından nasıl kullanıldığını anlama hakkına sahiptir. Eğer bilgilerin yanlış veya uygunsuz bir şekilde kullanıldığını düşünüyorsanız, düzeltme veya silme talep edebilir, kullanımın geçici olarak durdurulmasını isteyebilir veya itirazda bulunabilirsiniz.

GDPR Kapsamında Kişisel Verilerle İlgili Başlıca Sorumluluklar

Kişisel Veri Sorumluluğu

Kişisel veri sahiplerine yukarıda belirtilen haklar tanınmış olmasına rağmen, kişisel verileri toplayan ve işleyen şirketler esas olarak aşağıdaki sorumlulukları üstlenirler:

  • GDPR uyumlu kişisel veri işleme sistemleri ve insan kaynakları yapısını oluşturma sorumluluğu
  • Kişisel veri işleme faaliyetleriyle ilgili kayıt tutma sorumluluğu
  • Kişisel veri ihlali durumunda uygun şekilde yanıt verme sorumluluğu

Kişisel verilerin uygun şekilde korunması için, şirketlerin üstlendiği bu sorumluluklar hayati önem taşır.

Ayrıca, kişisel verilerle ilgili olarak, tüm veri işleme aktivitelerinin doğru bir şekilde kaydedilmesi, gerektiğinde inceleme yapabilmek için de elzemdir.

Kişisel veri ihlali meydana geldiğinde, şirketler uygun önlemleri almak ve ilgili tarafları bilgilendirmekle yükümlüdürler.

GDPR İhlali Durumunda

Eğilim gösteren erkek

Yönetici veya işleyici, GDPR’ye aykırı hareket ederek veri sahibine zarar verdiğinde, zararın tazmin edilmesi talep edilebilir (GDPR Madde 82, Paragraf 1).

Ayrıca, GDPR ihlalleri ciddi sonuçlar doğurabilir. Örneğin, ihlal eylemleri için, GDPR Madde 83’e göre Avrupa Birliği tarafından yaptırım cezaları uygulanabilir (GDPR Madde 83).

GDPR ve Kişisel Verilerin Korunması Kanunu Arasındaki Farklar

Araştırma yapan iş insanı

GDPR ve Kişisel Verilerin Korunması Kanunu arasındaki farklar esas olarak şunlardır:

  • Koruma kapsamı
  • Kişisel veriler ihlal edildiğinde yapılacak işlemler
  • Temsilci atama hakkında
  • İhlal durumunda uygulanacak yaptırımlar

Aşağıda bu konuları detaylı bir şekilde açıklayacağız.

Koruma Kapsamı

GDPR ve Kişisel Verilerin Korunması Kanunu, koruma altına alınan veriler açısından farklılık gösterir. GDPR, AB içinde işlenen kişisel verileri geniş bir çerçevede korur. AB içinde faaliyet gösteren şirketlerin yanı sıra, AB vatandaşlarına mal veya hizmet sunan şirketler de bu kapsamdadır.

Öte yandan, Kişisel Verilerin Korunması Kanununun koruma kapsamı ülkeye veya bölgeye göre değişiklik gösterir.

Örneğin, Japon Kişisel Verilerin Korunması Kanunu, yalnızca ülke içinde işlenen kişisel verileri hedef alır ve koruma kapsamı esas olarak yurt içi ile sınırlıdır.

Kişisel Veriler İhlal Edildiğinde Yapılacak İşlemler

GDPR ve Kişisel Verilerin Korunması Kanunu, kişisel veriler ihlal edildiğinde yapılacak işlemler konusunda farklılıklar içerir.

GDPR kapsamında, bir veri ihlali meydana geldiğinde, şirketlerin 72 saat içinde denetleyici otoriteye bildirimde bulunma yükümlülüğü vardır. Ayrıca, veri sahiplerine de hızlı ve açık bir şekilde bilgilendirme yapma sorumluluğu bulunmaktadır.

Kişisel Verilerin Korunması Kanununda da, bir veri ihlali meydana geldiğinde hızlı bir şekilde bildirim yapılması gerekmektedir, ancak bildirim yükümlülüğünün süresi ve içeriği ülkeye veya bölgeye göre değişiklik gösterir.

Temsilci Atama Hakkında

GDPR ve Kişisel Verilerin Korunması Kanunu, temsilci atama ile ilgili kurallarda farklılık gösterir.

GDPR kapsamında, çocukların kişisel verilerinin işlenmesi durumunda, ebeveyn veya yasal temsilcinin onayı gereklidir. Ayrıca, çevrimiçi hizmetler sunan şirketler, 16 yaşın altındaki çocukların kişisel verilerini işlerken ebeveyn onayı almak zorundadır.

Kişisel Verilerin Korunması Kanunu da benzer şekilde, çocukların kişisel bilgilerinin işlenmesi için yasal temsilcinin onayı gereklidir, ancak yaş sınırı ve onay alma yöntemi yasal düzenlemelere göre değişiklik gösterir.

İhlal Durumunda Uygulanacak Yaptırımlar

GDPR ve Kişisel Verilerin Korunması Kanunu arasındaki farklardan biri de, ihlal durumunda uygulanacak yaptırımların farklı olmasıdır.

GDPR kapsamında, ihlaller için şirketin toplam yıllık cirosunun %4’üne veya 20 milyon Euro’ya kadar idari para cezası uygulanabilir.

Kişisel Verilerin Korunması Kanununun yaptırımları ülkeye veya bölgeye göre değişiklik gösterir, ancak genellikle para cezası veya hukuki sorumluluk getirilmesi özelliğidir. Para cezasının miktarı, ihlalin niteliği ve ciddiyetine göre değişir.

Japon Şirketlerin GDPR İçin Alması Gereken Önlemler

Telefonla konuşan kadın

Aşağıdaki durumlar şirketiniz için geçerliyse, GDPR önlemleri almanız gerekmektedir.

  • AB bölgesinde iştirak, şube veya satış ofisi bulunduran şirketler
  • Japonya’dan AB bölgesine ürün veya hizmet sağlayan şirketler
  • AB bölgesindeki şirketlerden kişisel veri işleme görevi alan şirketler

Şirketlerde uygulanabilecek somut önlemlerden biri olarak, GDPR Madde 32 ve Preambül (83) veri koruma teknolojilerinden biri olarak şifrelemeyi önermektedir.

Bu nedenle, müşteri PC’leri, HDD’ler, USB bellekler gibi kayıt medyaları ve paylaşılan klasörler gibi kişisel verilerin şifrelenmesi gerekmektedir.

Bunun yanı sıra, gizlilik politikanızı GDPR uyumlu içerikle güncellemeniz gerekmektedir. GDPR uyumlu gizlilik politikası hakkında daha fazla bilgi için aşağıdaki makaleye göz atabilirsiniz.

İlgili makale: GDPR Uyumlu Bir Gizlilik Politikası Oluştururken Dikkat Edilmesi Gereken Noktaları Açıklıyoruz[ja]

Özet: GDPR Önlemleri İçin Uzmanlara Danışın

Altı Adımda Tüm Kanunları Okuyan Avukat

GDPR, AB içinde işlenen kişisel verileri geniş bir çerçevede korumayı, verilerin yasal ve şeffaf bir şekilde işlenmesini ve güvenliğinin sağlanmasını amaçlamaktadır. GDPR ile Kişisel Bilgilerin Korunması Kanunu (Japanese Personal Information Protection Law) arasındaki farklar arasında koruma kapsamı, kişisel veri ihlallerine karşı alınacak önlemler, temsilci atama ve ihlal durumunda uygulanacak cezalar bulunmaktadır.

Özellikle AB içinde faaliyet gösteren şirketler, AB içindeki bireylere ürün veya hizmet sunan şirketler ve AB’deki şirketlerden kişisel veri işleme görevi alan şirketler GDPR kapsamında yer almaktadır. GDPR ihlali durumunda tazminat talepleri ve yaptırım cezaları ile karşılaşma riski bulunduğundan, bu konuda dikkatli olmak önemlidir.

Şirketinizin veri koruma kurallarını GDPR’ye uyumlu hale getirmeniz gerekip gerekmediği konusunda, uzmanlara danışmanızı tavsiye ederiz.

Ofisimiz Tarafından Sunulan Önlemler

Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yasal kontrollerin gerekliliği artmaktadır. Firmamız, uluslararası hukuk işlerinde çözüm sunmaktadır.

Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Bağımsız olarak verilen puanlar, Ödeme Hizmetleri Yasası kapsamında ön ödemeli ödeme araçları kategorisine girdiğinde

Bağımsız olarak verilen puanlar, Ödeme Hizmetleri Yasası kapsamında ön ödemeli ödeme araçları ka.

General Corporate

Japon Şirketlerin Bilmesi Gereken ABD 'Süper 301 Maddesi'ni Yürürlüğe Koyma Arka Planını Açıklıyor

Japon Şirketlerin Bilmesi Gereken ABD 'Süper 301 Maddesi'ni Yürürlüğe Koyma Arka Planını Açıklıy.

General Corporate

Durmayan Kişisel Bilgi Sızıntıları, Reiwa 5 (2023) Yılında Bir Önceki Yıla Göre 1.5 Kat Arttı. En Son Trendler Açıklanıyor

Durmayan Kişisel Bilgi Sızıntıları, Reiwa 5 (2023) Yılında Bir Önceki Yıla Göre 1.5 Kat Arttı. E.

General Corporate

Tele çalışmanın İlerlemesi: Ofise Gelen Çalışanlar ve Evden Çalışanlar Arasındaki Maaş Farklılıkları Kabul Edilebilir mi?

Tele çalışmanın İlerlemesi: Ofise Gelen Çalışanlar ve Evden Çalışanlar Arasındaki Maaş Farklılık.

General Corporate

Avukat, tasarım hakkı ihlaline itiraz edilen davaları açıklıyor

Avukat, tasarım hakkı ihlaline itiraz edilen davaları açıklıyor

General Corporate

Japon ~ Bakım Tesislerinde BCP (İş Sürekliliği Planı) Hazırlamanın Zorunlu Hale Gelmesi | Hazırlama Yöntemleri ve Avantajları Hakkında Açıklama

Japon ~ Bakım Tesislerinde BCP (İş Sürekliliği Planı) Hazırlamanın Zorunlu Hale Gelmesi | Hazırl.

General Corporate

Temelsiz Etkilere Sahip Ürünlerin Satışının Riskleri Nelerdir? Saç Büyütme Ürünleri Örneği Üzerinden Japon 'Ödül Gösterim Yasası'nı Açıklıyoruz

Temelsiz Etkilere Sahip Ürünlerin Satışının Riskleri Nelerdir? Saç Büyütme Ürünleri Örneği Üzeri.

General Corporate

EC Sitesindeki LP vb. Kozmetik Reklamlarının İfade Düzenlemeleri

EC Sitesindeki LP vb. Kozmetik Reklamlarının İfade Düzenlemeleri

General Corporate

Özgün Puan Servisini Başlatırken Dikkate Alınması Gereken Yasal Sorunlar

Özgün Puan Servisini Başlatırken Dikkate Alınması Gereken Yasal Sorunlar

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Başa dön