Avrupa Birliği'nde (AB) ve Avrupa Ekonomik Alanı'nda (EEA) veri koruması ve gizlilik konusunda bir AB hukuku olan Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin kontrolünü bireylere vermek ve uluslararası işletmeler için düzenlemeyi AB içinde birleştirmek suretiyle düzenlemeyi basitleştirmeyi amaçlar.[1] Veri Koruma Direktifi 95/46/EC'yi geçersiz kılan bu yönetmelik, EEA'da bulunan bireylerin kişisel verilerinin işlenmesi ile ilgili hükümler ve gereksinimler içerir ve EEA içindeki bireylerin kişisel bilgilerini işleyen herhangi bir işletmeye—konumuna veya veri öznelerinin vatandaşlığına veya ikametine bakılmaksızın—uygulanır.

Kişisel verilerin denetleyicileri ve işleyicileri, veri koruma ilkelerini uygulamak için uygun teknik ve organizasyonel önlemleri almak zorundadır. Kişisel verileri işleyen iş süreçleri, ilgili ilkeler göz önünde bulundurularak tasarlanmalı ve inşa edilmeli ve veriyi korumak için güvenceler sağlamalıdır (örneğin, uygun olduğu durumlarda sahte kimliklendirme veya tam anonimleştirme kullanılarak). Veri denetleyicileri, bilgi sistemlerini gizlilik gözetilerek tasarlamalıdır. Örneğin, varsayılan olarak en yüksek gizlilik ayarlarının kullanılmasıyla, veri kümeleri varsayılan olarak herkese açık olmayacak şekilde ve bir özneleri belirlemek için kullanılamayacak şekilde olmalıdır. Bir kişisel veri, bu işleme işlemi altında gerçekleştirilmediği sürece hiçbir şekilde işlenemez altı yasal temelinden biri altında (rıza, sözleşme, kamu görevi, hayati çıkar, meşru çıkar veya hukuki gereklilik). İşleme rızaya dayanıyorsa, veri öznesi rızayı istediği zaman geri çekme hakkına sahiptir.

Veri denetleyicileri, herhangi bir veri toplama işlemini açıkça bildirmeli, yasal temeli ve veri işleme amacını açıklamalı ve verinin ne kadar süreyle saklanacağını ve EEA dışında herhangi üçüncü taraflarla veya paylaşılıp paylaşılmadığını belirtmelidir. İşletmeler, çalışanların ve tüketicilerin verilerini çalışanlar, tüketiciler veya üçüncü tarafların veri gizliliğine minimum müdahale ile gerekenli ve sadece gerekli verilerin çıkarılmasıyla korumakla yükümlüdür. İşletmelerin denetim, iç kontrol ve operasyonlar gibi çeşitli departmanlar için iç kontrol ve düzenlemeleri olmalıdır. Veri özneleri, bir denetleyici tarafından toplanan verilerin taşınabilir bir kopyasını isteme ve belirli durumlarda verilerinin silinmesini talep etme hakkına sahiptir. Kamu otoriteleri ve temel faaliyetleri düzenli veya sistemli olarak kişisel verilerin işlenmesi olan işletmeler, GDPR'ye uyumu yöneten bir veri koruma yetkilisi (DPO) istihdam etmekle yükümlüdür. İşletmeler, veri ihlallerini kullanıcı gizliliği üzerinde olumsuz etkisi olan durumlarda 72 saat içinde ulusal denetim otoritelerine bildirmek zorundadır. Bazı durumlarda, GDPR'yi ihlal edenler, bir işletme için önceki mali yılın yıllık küresel gelirinin yüzde 4'üne kadar veya 20 milyon euroya kadar para cezasına çarptırılabilir.

GDPR, 14 Nisan 2016 tarihinde kabul edilmiş ve 25 Mayıs 2018 tarihinden itibaren yürürlüğe girmiştir. GDPR bir yönerge değil bir yönetmelik olduğu için, doğrudan bağlayıcı ve uygulanabilir olmasına rağmen, belli yönlerde üye devletler tarafından ayarlanabilme esnekliği sağlar.

Yönetmelik, Şili, Japonya, Brezilya, Güney Kore, Arjantin ve Kenya gibi AB dışındaki birçok ulusal yasanın modeli haline gelmiştir. 28 Haziran 2018 tarihinde kabul edilen California Tüketici Gizlilik Yasası (CCPA), GDPR ile birçok benzerliğe sahiptir.[2]

En kaliteli