Avrupa Birliği Genel Veri Koruma Düzenlemesi (GDPR), tüm Avrupa pazarlarındaki kişisel verinin kullanımı düzenleyen yeni bir yasal çerçevedir ve mevcut ulusal veri koruma kanunlarının yerine geçerek, 25 Mayıs 2018 tarihinden itibaren yürürlüğe girmiştir.
Halen geçerli olan Avrupa Birliği Veri Koruma Çerçevesi’ni güncelleyen GDPR, tüketici bakış açısıyla bireylerin kendi kişisel bilgileri üzerinde daha fazla kontrol sahibi olmalarını hedeflemektedir.
Bu kapsamda şirketler, kişisel verileri işleyebilmek için yasal bir dayanağa ihtiyaç duyacaktır. Şu anda altı hukuki dayanak bulunmaktadır, ancak dijital reklamcılık sektöründe daha çok ‘rıza’ ve ‘meşru menfaatler’ kullanılmaktadır.
GDPR ‘rıza’ kavramının şartlarını daha da güçlendirecektir. Kişisel verinin işlenmesine yasal dayanak oluşturabilmesi için rızanın -Hüküm ve Koşullar’la birleştirilemeyecek- çok yüksek standartlar içermesi; ayrıca kullanıcının ‘rıza’yı onaylayıcı bir eylemle ve açık bir şekilde vermesi gerekecektir. Irksal ve etnik köken ya da cinsel yönelim gibi ‘hassas’ kişisel verileri işleyebilmek için ise kullanıcının açık rıza vermesi şartı aranacaktır.
Tüm durumlarda geçerli olmak üzere, rızanın alındığına dair kanıt kayıt altına alınacak ve böylece kullanıcı ile doğrudan bir ilişkide olmayan şirketler rızayı dolaylı yollardan almanın yollarını bulmak zorunda kalacaktır.
GDPR ile yaptırımlar da artacaktır. Kanun ihlalleri halinde şirketler 20 milyon € ya da yıllık cirolarının %4’ü (hangisi yüksekse) kadar para cezasına çarptırılabilecektir.