Genel Veri Koruma Yönetmeliği (AB) 2016/679 (GDPR), Avrupa Birliği (AB) ve Avrupa Ekonomik Alanı'nda (AEA) veri koruma ve mahremiyete ilişkin AB yasalarında yer alan bir düzenlemedir. Ayrıca, kişisel verilerin AB ve AEA bölgeleri dışına aktarılmasını da ele alır. GDPR'nin birincil amacı, bireylere kişisel verileri üzerinde kontrol sağlamak ve düzenlemeyi AB içinde birleştirerek uluslararası ticaret için düzenleyici ortamı basitleştirmektir. Veri Koruma Direktifi 95/46/EC'nin yerine geçen düzenleme, AEA'da bulunan bireylerin (GDPR'de resmi olarak veri sahibi olarak adlandırılır) kişisel verilerinin işlenmesine ilişkin hükümler ve gereklilikler içerir ve herhangi bir işletme için geçerlidir. konumu ve veri öznelerinin uyruğu veya ikametgahı - yani AEA içindeki bireylerin kişisel bilgilerini işliyor.a
Kişisel verilerin denetleyicileri ve işleyicileri, veri koruma ilkelerini uygulamak için uygun teknik ve organizasyonel önlemleri almalıdır. Kişisel verileri işleyen iş süreçleri, ilkeler göz önünde bulundurularak tasarlanmalı ve oluşturulmalı ve verileri korumak için önlemler sağlamalıdır (örneğin, uygun olduğunda takma ad veya tam anonimleştirme kullanmak). Veri denetleyicileri, bilgi sistemlerini gizliliği göz önünde bulundurarak tasarlamalıdır. Örneğin, varsayılan olarak mümkün olan en yüksek gizlilik ayarlarının kullanılması, böylece veri kümelerinin varsayılan olarak herkese açık olmaması ve bir konuyu tanımlamak için kullanılamaması. Yönetmelikte belirtilen altı hukuka uygun dayanaktan (rıza, sözleşme, kamu görevi, hayati menfaat, meşru menfaat veya hukuki gereklilik) biri kapsamında yapılmadığı sürece hiçbir kişisel veri işlenemez. İşleme rızaya dayalı olduğunda, veri konusu herhangi bir zamanda bunu iptal etme hakkına sahiptir.
Veri denetleyicileri, herhangi bir veri toplanmasını açıkça açıklamalı, veri işlemenin yasal dayanağını ve amacını beyan etmeli ve verilerin ne kadar süreyle saklandığını ve herhangi bir üçüncü tarafla veya AEA dışında paylaşılıp paylaşılmadığını belirtmelidir. Firmalar, çalışanlarına ve tüketicilerine ait verileri, çalışanlardan, tüketicilerden veya üçüncü şahıslardan veri gizliliğine minimum müdahale ile yalnızca gerekli verilerin elde edildiği ölçüde korumakla yükümlüdür. Firmaların denetim, iç kontroller ve operasyonlar gibi çeşitli bölümler için iç kontrolleri ve düzenlemeleri olmalıdır. Veri sahipleri, bir denetleyici tarafından ortak bir formatta toplanan verilerin taşınabilir bir kopyasını talep etme ve belirli koşullar altında verilerinin silinmesini talep etme hakkına sahiptir. Temel faaliyetleri kişisel verilerin düzenli veya sistematik olarak işlenmesinden oluşan kamu makamları ve işletmelerin, GDPR ile uyumu yönetmekten sorumlu bir veri koruma görevlisi (DPO) istihdam etmesi gerekmektedir. İşletmeler, kullanıcı gizliliğini olumsuz yönde etkileyen veri ihlallerini 72 saat içinde ulusal denetim makamlarına bildirmelidir. Bazı durumlarda, GDPR'yi ihlal edenler, hangisi daha büyükse, 20 milyon Euro'ya veya bir önceki mali yılın dünya çapındaki yıllık cirosunun %4'üne kadar para cezasına çarptırılabilir.
GDPR, 14 Nisan 2016'da kabul edildi ve 25 Mayıs 2018'den itibaren yürürlüğe girdi. GDPR bir direktif değil, bir düzenleme olduğundan, doğrudan bağlayıcı ve uygulanabilirdir, ancak düzenlemenin belirli yönlerinin bireyler tarafından ayarlanması için esneklik sağlar. üye devletler.
Yönetmelik, Şili, Japonya, Brezilya, Güney Kore, Arjantin ve Kenya dahil olmak üzere AB dışındaki birçok ulusal yasa için bir model haline geldi. 28 Haziran 2018'de kabul edilen Kaliforniya Tüketici Gizliliği Yasası (CCPA), GDPR ile pek çok benzerliğe sahiptir.