Avrupa Veri Koruma Tüzüğü, (“GDPR”) 14.04.2016 tarihinde düzenlenmiş olup 25.05.2018 tarihinde yürürlüğe girmiştir.

Tüzük, 95/46/EC sayılı Direktif’i ilga etmiş olup Avurap Veri Hukukuna, kapsam ve içerik olarak yeni düzenlemeler getirmiştir.

Bu Tüzük, kişisel verilerin tamamen ya da kısmen otomatik araçlarla işlenmesine ve kişisel verilerin otomatik araçlar haricinde bir dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçasını oluşturması amaçlanan araçlarla işlenmesine uygulanacaktır.

Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanacaktır.

Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanacaktır:

-Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya

-Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.

Tüzük’e göre, İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:

-veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi,

-veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması,

-kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ileişleme faaliyetinin gerekli olması,

-veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması,

-kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;

-özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.