GDPR |
GDPR - General Data Protection Regulation Nedir? Amacı Nedir? Ne Zaman Yürürlüğe Girecektir?
Avrupa
Parlamentosu ve Konseyinin 1995/46 AT sayılı Kişisel Verilerin İşlenmesi
Sırasında gerçek Kişilerin Korunması ve Serbest Veri Trafiğine İlişkin
Yönergesi ile Avrupa Birliği çapında kişisel verilerin korunması amaçlanmıştır.
Bu sayede kişisel verilerin işlenmesi sırasında mahremiyetin korunması
amaçlanmış olup kişisel verilerin dolaşımı düzenlenmiştir. Özellikle bilgi
toplumunun ve hizmet sektörünün gelişimini kolaylaştırmak amacıyla yapılan bu
düzenleme hızla gelişen teknoloji karşısında yetersiz kalmıştır. Bilhassa Bulut
(Cloud) teknolojilerinde son yıllarda yaşanan gelişmeler karşısında yeni
düzenlemelere gereksinim olduğu aşikârdır. Söz konusu ihtiyaçlar neticesinde AB
veri koruma kurallarında köklü bir reform içeren “Genel Veri Koruma Tüzüğü
(General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14
Nisan 2016 tarihinde onaylanmıştır. GDPR’ın
yürürlük tarihi ise 25 Mayıs 2018 olarak kabul edilmiştir.
Avrupa
Birliğinde yeni bir düzenleme yapılmasının bir diğer sebebi ise; veriye
ulaşmanın ve de transferinin oldukça kolaylaşmasıdır. Bunun sonucunda AB
vatandaşlarının haklarının olumsuz etkilemesi kaygısıdır.
Komisyonun
kişisel verilerin korunmasına ilişkin genel AB yasal çerçevesini gözden
geçirirken temel aldığı politika hedefleri şu şekilde ifade edilmektedir[1];
• Özellikle küreselleşmeden kaynaklanan
zorluklar ve yeni teknolojilerin kullanımı karşısında kişisel verilerin etkili
bir biçimde korunması amacıyla AB hukuk sisteminin iyileştirilmesi,
•
Kişisel veriler konusunda bireysel hakların güçlendirilmesi ve aynı zamanda AB
içinde ve/veya dışında kişisel verilerin serbest akışının sağlaması için
bürokratik süreçlerin azaltılması,
•
Kişisel verilerin korunmasına ilişkin AB hukuku kurallarına netlik ve
tutarlılık kazandırılması; bu kuralların yine tutarlı ve etkin bir biçimde
uygulanması ve Birliğin tüm faaliyet alanında kişisel verilerin etkin bir
biçimde korunması[2]
-Genel
Veri Koruma Tüzüğü
Tarafından Getirilen Temel Değişiklikler
Nelerdir?
GDPR;
·
Kişisel
verilerin ve veri sahiplerinin daha etkin korunması,
·
Veri
işleyenler ile veri kontrolörlerinin artırılmış sorumlulukları,
·
Uygulanma
alanı bakımından daha güçlü düzenlemelere sahip olmasını amaçlamaktadır.
-Uyumlaştırma: GDPR bir düzenleme olarak değil de
tüzük olarak yayınlanmıştır. Bunun farkı şudur; tüzükler, üye ülkelerde
doğrudan uygulanma kabiliyetine sahiptir. Herhangi bir iç hukuk düzenlemesi
yapılmasını gerektirmez. Direktifler ise elde edilmesi beklenen temel hedefleri
ortaya koyar ancak söz konusu hedeflere ulaşılmasına ilişkin yöntemleri üye
devletlerin kendi iç hukuklarına bırakırlar. Düzenleme değil de tüzük olarak
yayınlanmasında ki amaç üye ülkelerin iç hukuk düzenlemelerinden kaynaklanan
farklılıkları ortadan kaldırmak ve standart bir korumayı sağlamaktır. Avrupa
Birliği’nin bu konudaki iradesi birçok kez "tek kıta, tek kanun" (one
continent, one law) olarak da ifade edilmektedir.[3] Ayrıca -Kullanıcı
Haklarının üye ülkeler arasındaki farklılıkları giderilmiştir.
-Veri İşleyenlerin Tamamının Veri
İşlemeden Sorumlu Tutulması:
95/46 sayılı Direktif’te tek kişi “veri kontrolörü olarak düzenlenmekteydi.
GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu
verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları
gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka
uygun işlenmesinden sorumlu tutulacaklardır. Bu kapsamda GDPR hükümlerinin,
sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri
dışından sürdüren bulut hizmet sağlayıcıları bakımından da bağlayıcı olduğu
görülmektedir. GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler
bakımından da bağlayıcıdır.[4]
-AB Vatandaşlarına ait Kişisel
Verilerin Birlik dışına aktarımı daha sıkı kurallara bağlanmıştır: Özellikle Amerikan merkezli
Google-Apple-Facebook gibi şirketlerin kullanıcı bilgilerini Amerika’da Ulusal
Güvenlik Ajansı (NSA) ile paylaşmaları ve 2013 yılında Edward Snowden
tarafından ortaya çıkarılan mahremiyet ihlalleri neticesinde verilerin Birlik
dışına aktarımı konusunda yaptırımlar arttırılmıştır.
-Tazminat Talebi: GDPR zarara uğrayanlara tazminat
talebi hakkı tanımaktadır.
-Kullanıcı Haklarına İlişkin
Bilgilendirme Yükümlülüğünün Veri Kontrolöründe Olması ve Açık Rızanın Alanı
Genişlemiştir: Buna
göre önceden kullanıcı aksini ileri sürmedikçe rızası vardır mantığı
terkedilerek açıkça rıza alınmadan hiçbir verinin işlenmeyeceği kabul
edilmiştir. Zira kişisel verilerin işlenmesine ilişkin rızanın özgürce,
belirli, aydınlatılmış/bir amaca matuf, bilinçli ve açıkça verilmiş olması
gerekmektedir. Söz konusu rızanın aynı amaç veya amaçlar için yürütülen tüm
işleme faaliyetleri bakımından alınması gerekmektedir. Ayrıca rızanın
elektronik araçlarla istendiği durumlarda bu istek, açık, özlü ve uğruna
kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır. Bu da
açık rıza kavramının (bazı kitaplarda güçlendirilmiş rıza) uygulama alanının
genişlemesi sonucunu doğurmaktadır.
-GDPR ile cezalar artmış, kontroller
sıkılaştırılmıştır: GDPR
ile verilecek ceza tutarı 200 milyon Avro veya hizmet sağlayıcının küresel
gelirinin yüzde dördü (iki değerden yüksek olan) gibi önemli miktarlara
arttırılmıştır. Buna göre veri işleyenler ve Bilgi Teknolojileri üreticileri
için ürün ve hizmetlerini veri koruması yönünden kullanıcı dostu düzeyde
oluşturma yükümlülüğü getirilmektedir.[5]
-Veri İhlali Riskinin Yüksek Olması
Durumunda Hem Veri Koruma Otoritesine Hem de Veri Sahibine Bildirimde Bulunma
Zorunluluğu Getirilmiştir: Düzenlemenin
hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden
itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi
verilmesi gerekmektedir.
-Unutulma Hakkı: GDPR ın getirdiği en büyük
yeniliklerden birisidir. GDPR ile getirilen düzenleme kapsamında kullanıcılar
kendilerine ait kişisel verilerin silinmesini talep edebilmektedirler.
Kişilerin geçmişte yaşadıkları olayların toplum hafızasından silinmesini
istemek olarak nitelendirilecek bu hak ile ilgili en bilinen dava İspanya
vatandaşı Mario Costeja Gonzalez tarafından Google İspanya ve Google Inc.
şirketine karşı açılmış olan davaadır. Davanın konusu 1998 yılında bir gazetede
davacı Gonzalez hakkında yapılan habere ilişkin kısayolun arama motorundan
kaldırılması talebidir. Davacı uzun süre önce kendisi hakkında yapılan bu
haberin artık “alakasız” bir mahiyette olması gerekçesiyle habere ilişkin
linkin kaldırılması gerektiğini savunmuştur. Bu kararda arama motorlarının ve
internet aracı hizmet sağlayıcılarının veri kontrolörü sayılması gerektiği
ifade edilmiştir. Hukukumuzda Unutulma hakkı ile ilgili olarak Yargıtay Hukuk
Genel Kurulunun 17.06.2015 tarihli 2014/4-56E. 2015/1679K. sayılı ilamı
önemlidir.
[1] http://ec.europa.eu/justice/data-protection/reform/index_en.htm,
[2] http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en,
[3] http://europa.eu/rapid/press-release_IP-15-5176_en.htm;
[4] Avrupa Birliği
Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuk Bakımından Değerlendirilmesi
T.C. Kalkınma Bakanlığı - Ayşe Nur AKINCI Çalışma Raporu – 6 s.14,
[5]
Bert-Jaap Koops/ Ronald Leenes, Privacy Regulation cannot Be Hardcoded. A
critical Comment on the "privacy by design" provision in
data-protection law, International Review of Law, Computers & Technology,
2014, Vol. 28, No:2, syf. 159-171, 159
Danışmanlık hizmeti için bağlantı adresimiz.
Av.Onur Özdiker
onur.ozdiker@bg-tek.net
Hiç yorum yok:
Yorum Gönder