Avrupa Birliği’nin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi) internetin yaygınlaşması ve yeni iletişim teknolojilerinin devrimsel değişikliklere uğramasıyla artık işlevini yerine getiremez duruma gelmişti.
Özellikle son yıllarda kişisel verilerimizin gittikçe daha kötü amaçlarla kullanılması ve bu kullanımlara yönelik yaptırımların zayıf kalması nedeniyle uzun yıllardır yeni bir düzenleme ihtiyacı gittikte artmıştı. Devasa uluslararası şirketlerin karşısında tekil internet kullanıcıları çok güçsüz bir durumdaydı ve bu asimetrik güç dengesi internette insan hakları ve ilkeleri açısından kullanıcıların lehine müdahale gerekiyordu.
Tüm dünyada kişisel verilerin korunması üzerine çeşitli kişi ve kurumlar siyasal baskı oluştururken, özellikle Edward Snowden’ın NSA’in mahremiyet ihlalleri ortaya çıkarması, Maximillian Schrems’in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne dava açma süreci, Mario Costeja Gonzalez’in Google İspanya ve Google Inc.’e karşı “unutulma hakkı”na dair hukuksal mücadeleleri ‘Veri Koruma Direktifi’nin artık işlevsizleştiğini gösteriyordu.
Bu gelişmeler sayesinde kişisel verilerin korunmasında daha sağlıklı, bugün ile daha uyumlu, etkin, dinamik, bireysel hakları daha koruyucu bir düzenleme olan GDPR, 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edilmişti. Ve sonunda bugün, 2 senelik uyum sürecinden sonra yürürlülüğe girdi.
Daha geniş bir yetki alanı ve şirketlere yönelik daha sert yaptırımlar
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeyle uyumlu olmasını gerektiriyor. Yönetmelik aksi takdirde firmaların yasal sonuçlara katlanmak durumunda olduklarını ifade ediyor.
Uyumsuzluk durumunda 20 milyon Euro ve üzerine ulaşabilen karışık kuralları ve cezalarıyla birlikte GDPR, tüm küçük ve orta ölçekli firmalar için karşılanması hiç de kolay olmayacak maddi yükümlülükleri de beraberinde getiriyor. Çalışan sayısı 10 ila 250 arası olan ve yıllık cirosu 2 ila 50 milyon Euro arasında değişen firmalar için bunun gelir anlamında felakete varan sonuçları olabilir.
Ayrıca, GDPR yönetmeliği ile Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacak.
GDPR Kapsamındaki Kişisel Veriler
İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, tarayıcıların topladığı çerezler (cookie), GPDR ile kişisel veri kapsamına giriyor. Özellikle 3. parti veri işleyenler ve müşteri verilerini 3. parti firmalarla paylaşanlar ciddi sıkıntı yaşayacaklar.
Neler değişiyor
- Yeni bir unvan: Data Protection Officer IP adresi, cookie gibi direkt “kişisel veri” olmayan “kişisel veriler” de artık kişisel veridir.
- Web üzerinden hizmet aldığınız ya da kullandığınız şirketten, talep edilmesi halinde hangi verleri depolandığına dair 20 gün içinde cevap vermesi gerekiyor.
- Şirketler, kullanıcı verilerinin “hacklenmesi” durumunda 72 saat içinde açıklama yapmak zorunda kalıyor.
- Veriyi kontrol edenin sorumluluğu: Onay toplama, onay yönetimi, silme ve unutulma hakkında sorumluluk sahibi.
- Siteye ilk defa gelen bir ziyaretçinin hangi bilgisini otomatik olma durumu tamamen ortadan kalkmış durumda. Yani, web sitesi ya da uygulama sahipleri/yetkilileri ziyaretçi istatistiklerini toplamak için bile ziyaretçinin onayını alması gerekecek.
Umuyoruz ki, 25 Mayıs 2018 internettte insan hakları için, kişisel mahremiyetimiz ve demokratik bir toplum için önemli basamaklardan birisi olacak.
Avrupa Birliği Genel Veri Koruma Yönetmeliği’nin (GDPR), Kişisel Verilerin Korunması Platformu (KVKP) tarafından yapılan Türkçe çevirisini okumak için tıklayınız.