GDPR - General Data Protection Regulation


gdpr
GDPR

GDPR - General Data Protection Regulation Nedir? Amacı Nedir? Ne Zaman Yürürlüğe Girecektir? 


Avrupa Parlamentosu ve Konseyinin 1995/46 AT sayılı Kişisel Verilerin İşlenmesi Sırasında gerçek Kişilerin Korunması ve Serbest Veri Trafiğine İlişkin Yönergesi ile Avrupa Birliği çapında kişisel verilerin korunması amaçlanmıştır. Bu sayede kişisel verilerin işlenmesi sırasında mahremiyetin korunması amaçlanmış olup kişisel verilerin dolaşımı düzenlenmiştir. Özellikle bilgi toplumunun ve hizmet sektörünün gelişimini kolaylaştırmak amacıyla yapılan bu düzenleme hızla gelişen teknoloji karşısında yetersiz kalmıştır. Bilhassa Bulut (Cloud) teknolojilerinde son yıllarda yaşanan gelişmeler karşısında yeni düzenlemelere gereksinim olduğu aşikârdır. Söz konusu ihtiyaçlar neticesinde AB veri koruma kurallarında köklü bir reform içeren “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. GDPR’ın yürürlük tarihi ise 25 Mayıs 2018 olarak kabul edilmiştir.

Avrupa Birliğinde yeni bir düzenleme yapılmasının bir diğer sebebi ise; veriye ulaşmanın ve de transferinin oldukça kolaylaşmasıdır. Bunun sonucunda AB vatandaşlarının haklarının olumsuz etkilemesi kaygısıdır.

Komisyonun kişisel verilerin korunmasına ilişkin genel AB yasal çerçevesini gözden geçirirken temel aldığı politika hedefleri şu şekilde ifade edilmektedir[1];
 • Özellikle küreselleşmeden kaynaklanan zorluklar ve yeni teknolojilerin kullanımı karşısında kişisel verilerin etkili bir biçimde korunması amacıyla AB hukuk sisteminin iyileştirilmesi,
• Kişisel veriler konusunda bireysel hakların güçlendirilmesi ve aynı zamanda AB içinde ve/veya dışında kişisel verilerin serbest akışının sağlaması için bürokratik süreçlerin azaltılması,
• Kişisel verilerin korunmasına ilişkin AB hukuku kurallarına netlik ve tutarlılık kazandırılması; bu kuralların yine tutarlı ve etkin bir biçimde uygulanması ve Birliğin tüm faaliyet alanında kişisel verilerin etkin bir biçimde korunması[2]

-Genel Veri Koruma Tüzüğü Tarafından Getirilen Temel Değişiklikler Nelerdir?

GDPR;
·         Kişisel verilerin ve veri sahiplerinin daha etkin korunması,
·         Veri işleyenler ile veri kontrolörlerinin artırılmış sorumlulukları,
·         Uygulanma alanı bakımından daha güçlü düzenlemelere sahip olmasını amaçlamaktadır.

-Uyumlaştırma: GDPR bir düzenleme olarak değil de tüzük olarak yayınlanmıştır. Bunun farkı şudur; tüzükler, üye ülkelerde doğrudan uygulanma kabiliyetine sahiptir. Herhangi bir iç hukuk düzenlemesi yapılmasını gerektirmez. Direktifler ise elde edilmesi beklenen temel hedefleri ortaya koyar ancak söz konusu hedeflere ulaşılmasına ilişkin yöntemleri üye devletlerin kendi iç hukuklarına bırakırlar. Düzenleme değil de tüzük olarak yayınlanmasında ki amaç üye ülkelerin iç hukuk düzenlemelerinden kaynaklanan farklılıkları ortadan kaldırmak ve standart bir korumayı sağlamaktır. Avrupa Birliği’nin bu konudaki iradesi birçok kez "tek kıta, tek kanun" (one continent, one law) olarak da ifade edilmektedir.[3] Ayrıca -Kullanıcı Haklarının üye ülkeler arasındaki farklılıkları giderilmiştir.

-Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Tutulması: 95/46 sayılı Direktif’te tek kişi “veri kontrolörü olarak düzenlenmekteydi. GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından da bağlayıcı olduğu görülmektedir. GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler bakımından da bağlayıcıdır.[4]

-AB Vatandaşlarına ait Kişisel Verilerin Birlik dışına aktarımı daha sıkı kurallara bağlanmıştır: Özellikle Amerikan merkezli Google-Apple-Facebook gibi şirketlerin kullanıcı bilgilerini Amerika’da Ulusal Güvenlik Ajansı (NSA) ile paylaşmaları ve 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri neticesinde verilerin Birlik dışına aktarımı konusunda yaptırımlar arttırılmıştır.

-Tazminat Talebi: GDPR zarara uğrayanlara tazminat talebi hakkı tanımaktadır.

-Kullanıcı Haklarına İlişkin Bilgilendirme Yükümlülüğünün Veri Kontrolöründe Olması ve Açık Rızanın Alanı Genişlemiştir: Buna göre önceden kullanıcı aksini ileri sürmedikçe rızası vardır mantığı terkedilerek açıkça rıza alınmadan hiçbir verinin işlenmeyeceği kabul edilmiştir. Zira kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca matuf, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Ayrıca rızanın elektronik araçlarla istendiği durumlarda bu istek, açık, özlü ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır. Bu da açık rıza kavramının (bazı kitaplarda güçlendirilmiş rıza) uygulama alanının genişlemesi sonucunu doğurmaktadır.

-GDPR ile cezalar artmış, kontroller sıkılaştırılmıştır: GDPR ile verilecek ceza tutarı 200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü (iki değerden yüksek olan) gibi önemli miktarlara arttırılmıştır. Buna göre veri işleyenler ve Bilgi Teknolojileri üreticileri için ürün ve hizmetlerini veri koruması yönünden kullanıcı dostu düzeyde oluşturma yükümlülüğü getirilmektedir.[5]

-Veri İhlali Riskinin Yüksek Olması Durumunda Hem Veri Koruma Otoritesine Hem de Veri Sahibine Bildirimde Bulunma Zorunluluğu Getirilmiştir: Düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi gerekmektedir.

-Unutulma Hakkı: GDPR ın getirdiği en büyük yeniliklerden birisidir. GDPR ile getirilen düzenleme kapsamında kullanıcılar kendilerine ait kişisel verilerin silinmesini talep edebilmektedirler. Kişilerin geçmişte yaşadıkları olayların toplum hafızasından silinmesini istemek olarak nitelendirilecek bu hak ile ilgili en bilinen dava İspanya vatandaşı Mario Costeja Gonzalez tarafından Google İspanya ve Google Inc. şirketine karşı açılmış olan davaadır. Davanın konusu 1998 yılında bir gazetede davacı Gonzalez hakkında yapılan habere ilişkin kısayolun arama motorundan kaldırılması talebidir. Davacı uzun süre önce kendisi hakkında yapılan bu haberin artık “alakasız” bir mahiyette olması gerekçesiyle habere ilişkin linkin kaldırılması gerektiğini savunmuştur. Bu kararda arama motorlarının ve internet aracı hizmet sağlayıcılarının veri kontrolörü sayılması gerektiği ifade edilmiştir. Hukukumuzda Unutulma hakkı ile ilgili olarak Yargıtay Hukuk Genel Kurulunun 17.06.2015 tarihli 2014/4-56E. 2015/1679K. sayılı ilamı önemlidir.



[1] http://ec.europa.eu/justice/data-protection/reform/index_en.htm,
[2] http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en,
[3] http://europa.eu/rapid/press-release_IP-15-5176_en.htm;
[4] Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuk Bakımından Değerlendirilmesi T.C. Kalkınma Bakanlığı - Ayşe Nur AKINCI Çalışma Raporu – 6 s.14,
[5] Bert-Jaap Koops/ Ronald Leenes, Privacy Regulation cannot Be Hardcoded. A critical Comment on the "privacy by design" provision in data-protection law, International Review of Law, Computers & Technology, 2014, Vol. 28, No:2, syf. 159-171, 159

Danışmanlık hizmeti için bağlantı adresimiz.

Av.Onur Özdiker
onur.ozdiker@bg-tek.net

Hiç yorum yok: