Avrupa Birliği’nden Veri Korumaya Ciddi Önlem
Avrupa Birliği (AB), Genel Veri Koruma Tüzüğü’nü (General
Data Protection Regulation-GDPR) 14 Nisan 2016 tarihinde Avrupa Parlamentosu’nda
onaylamıştı. Avrupa Konseyi ve Avrupa Komisyonu tarafından çalışmaları yürütülen
tüzük, 25 Mayıs 2018 tarihi itibariyle tüm üye ülkelerde uygulanmaya
başlanacak.
95/46/EC
sayılı AB Veri Koruma Direktifini yürürlükten kaldıran ve AB Resmi Gazete’sinde
de yayımlanan tüzüğün veri toplama şartları ve
cezalandırma mekanizmasına ilişkin düzenlemesi, şirketlere ağır sorumluluklar
getiriyor. Şirketlerin önüne artık kişisel veri toplarken açık bir şekilde
kullanıcının rızasını alma zorunluluğu koyuluyor.
Avrupa Birliği’ne üye ülkelerdeki bireylere ait verilerin
güvende tutulmasını hedefleyen GDPR aslında AB’de faaliyet gösteren her şirketi
kapsamına alıyor. Ancak veri güvenliği denildiğinde ilk akla gelen internet
olduğundan; internet üzerinden verileri kontrol eden şirketler de, düzenlemenin
radarına giriyor.
Düzenleme, sadece AB bölgesindeki kullanıcıları kapsıyor
olsa da internetin evrensel özelliğinden kaynaklı etkilerini tüm
dünya üzerinde etkili kılıyor.
AB düzenlemesinde, gerçek kişilerin kişisel verilerin
işlenmesiyle ilgili olarak korunmasına ilişkin kurallar ve kişisel verilerin
serbest dolaşımına ilişkin kurallar yer
alıyor.
AB Genel Veri Koruma Tüzüğü, kişisel verilerin korunması
ile bireylere verileri üzerinde daha iyi kontrol imkanı sağlanmasını ve Avrupa
Birliği genelinde yüksek düzeyde veri korumayı amaçlıyor.
Düzenlemeyle Avrupa Birliği, GDPR'ye uymayan şirketlere;
şirketin küresel cirosunun yüzde 4'ü kadar veya
200 milyon dolara varan ceza verebilecek.
Tüzüğe
göre kişisel veri
Tüzüğün amaçları doğrultusunda ‘kişisel veri’ tanımlanmış
veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir (‘veri sahibi’);
tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum
verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel,
fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir
ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak
tanımlanabilen bir kişidir;
‘İşleme faaliyeti’, otomatik yöntemlerle olsun veya
olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen
toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme,
elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma
sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi
bir işlem veya işlem dizisidir; ‘işleme kısıtlaması’ saklanan kişisel verilerin
gelecekte işlenmelerinin sınırlanması amacı ile işaretlenmesi;
‘Profil çıkarma’ bir gerçek kişinin işteki performansı,
ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği,
davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya
tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli
kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını
ihtiva eden her türlü otomatik kişisel veri işleme biçimi;
‘Takma ad kullanımı’ kişisel verilerin tanımlanmış veya
tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile
ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi
tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın
spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesi;
Veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla
ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay
verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık
göstergedir;
‘Kişisel veri ihlali’ iletilen, saklanan veya işlenen
kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı,
değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir
güvenlik ihlalidir;
‘Genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı
ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden
alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin
kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir.
Sağlanacak
bazı haklar
Kullanıcıların web ortamında bıraktıkları izleri korumaya
almak ve kişisel bilgilerinin güvenliğini sağlamayı amaç edinen GDPR ile gündeme
gelen değişiklikler şöyle sıralanıyor:
Düzenleme ile veri sahibi olarak tanımlanan kişilere,
kendilerine ait hesapların ve verilerinin veri sorumluları (web siteleri gibi
online platformlar) tarafından silinmesi, yani ‘unutulma hakkı’ tanınıyor. Buna
göre gerçek kişiler, eğer isterlerse hesapları ve kişisel verilerini
sildirebilirler.
Bu hakkın kullanılabilmesi bazı koşullara bağlı. Kişisel
verilerin elde edildiği ya da işlendiği amacın geçerliliğini yitirmesi,
verilerin işlenmesi için bir yasal nedenin olmaması, verilerin işlenmesi
sürecinin hukuka aykırı olması gibi gerekçeler…
Taşınabilirlik hakkı: Verilerin
saklandığı sunucular değiştirildiğinde verilerin yeni bir sunucuya aktarılması
durumunu ifade eden bu düzenleme, kişilere ait verilerin veri sorumluları
tarafından başka bir veri sorumlusuna aktarılması hakkına işaret ediyor.
Gizlilik politikalarının
kişilere aktarılması: Verilerin işlenmesi için veri
sahiplerinin kesin rızasının olması gerekiyor. Rıza için gerekli koşulların
yerine getirilmesi için ise veri sahibinin kendisine ait verilerin işlenmesini
onayladığını gösteren elektronik veya basılı, yazılı ya da sözlü bir bildirim olmalı.
Veri ihlallerinin
bildirilmesi: Kişisel verilerin güvenliği konusunda
herhangi bir tehdit ile karşı karşıya kalındığı durumlarda veri sorumluları,
durum öngörüldükten sonra 72 saati geçirmemek koşuluyla kişisel verilerin
ihlalini denetleyen kuruma durumu bildirmekle yükümlü.
Türk hukukuna göre değerlendirme
Türkiye merkezli web sitelerinin, Avrupa ülkelerine bilgi
toplama hizmetlerini sunabilmesi, verilerin sınır ötesi paylaşımının
gerçekleştirilebilmesi için GDPR’nin yürürlüğe girmesiyle birlikte birtakım
noktaları göz önünde bulundurmalarında büyük fayda olduğu görülüyor.
Avrupa Birliği Genel
Veri Koruma Tüzüğü, Türkiye’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile karşılaştırmalı olarak
ele alındığında da; kişisel verilerin korunması ile ilgili
genel bilgileri kapsadıkları gözleniyor.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nün getirdiği
yenilikleri; Türk Hukuku bakımından değerlendiren çalışma raporu yayımlandı.
Çalışma raporunda, uzun bir süredir çalışmalarına devam
edilen yeni AB Genel Veri Koruma Tüzüğü’nün getirdiği yeni düzenlemeler temel
hatlarıyla inceleniyor ve Türk Hukuku bakımından olası etkileri ele alınıyor.
Yorumlar
Yorum Gönder