General Data Protection Regulation (GDPR) / Genel Veri Koruma Tüzüğü (GVKT) Yürürlüğe Girdi
NM Hukuk Bürosu / 30 Mayıs 2018Son günlerde şirketlerin gönderdiği onay e-postalarının artması, kişisel veri kavramının sürekli kulağımıza çalınması ve hakkında haberlerin, seminerlerin artması tesadüf değil. GDPR (General Data Protection Regulation) 25 Mayıs 2018 itibari ile yürürlüğe girdi.
Türkçe karşılığı ile Genel Veri Koruma Tüzüğü (GVKT) olan, ancak GDPR olarak ezberlediğimiz bu kavrama yazımızda İngilizce kısaltması ile değineceğiz. AB Hukuku’nda bilindiği üzere ‘Tüzük’ler üye devletelerin tamamında hukuken doğrudan uygulama gücüne sahiptir. Dolayısı ile öncesinde yürürlükte olan 95/46/AT sayılı Direktif gibi, genel çerçeveyi belirleyip uygulamayı üye devletlerin iç hukuk sistemlerine bırakan düzenlemeden farklı ve etkilidir. Tüzük’te açıkça üye devletin iç hukukuna bırakılmayan hususlar (örn; çocuk yaşı nedir vb.) dışında yeknesak bir uygulama olacaktır ve tahminen gereksiz bürokrasiyi önleyici bir rol oynayacaktır.
GDPR, sadece AB üye ülkelerini değil AB üye ülkelerinde ikamet eden bir kişi ile kişisel veri alışverişi yapan tüm ülkeleri ilgilendiriyor. Nitekim GDPR aşağıdaki durumlarda uygulanır (European Rules on European Soil):
- Bir Avrupa Birliği ülkesi içerisinde var olma,
- Avrupa Birliği içerisinde bulunulmasa da Avrupa’ da yaşayan (European Resident) kişilerin kişisel verilerini işleme,
Genel olarak yeniliklerden bazıları ise aşağıdaki gibidir:
- One-stop shop: Bu ifadeyi sıklıkla kullanacak olmamız sebebi ile ana dilinde muhafaza ediyorum. Tüzük’ün asli amaçlarından biri de tek bir veri koruma otoritesinin oluşturulmasıdır. Farklı AB üye devletleri ile etkileşimde olan şirketlerin artık tek bir otorite ile muhatap olacakları düzenlemenin adı dilimize ‘tek noktada hizmet sunumu’ şeklinde yerleşecektir.
- Avrupa Birliği Veri Koruması Kurulu: Kurul, halihazırda mevcut olan ve 29. Çalışma Grubu olarak bilinen danışma kurulunun yerini alacaktır.
- Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Tutulması: 6698 sayılı Kişisel Verilerin Korunması Kanun’undan farklı olarak sadece veri sorumlusunun kişisel verilerin işlenmesinden sorumlu olmayacağı; aksine tüm veri işleyenlerin de sorumlu tutulacağı bir düzenleme getirilmiştir.
- Unutulma Hakkı Kavramı: GDPR ile getirilen düzenleme kapsamında kullanıcılar kendilerine ait kişisel verilerin silinmesini talep edebilme hakkını haizdir. Ancak unutulma hakkı veri sorumlularının etkileşimde olduğu ve verileri paylaştığı tüm sistemlerden silmesini gerektirdiğinden göründüğü kadar basit olmayacaktır ve uygulamada nasıl olacağı hala tartışmalıdır.
- Tasarımla Veri Koruma ve Varsayılan Ayarlarla Veri Koruma: ‘Privacy by Design’ ilkesine göre, yeni uygulamaya geçirilecek sistemlerin oluşturulma sürecinden başlayarak veri koruma ilkelerine (şeffaflık, veri minimizasyonu, ölçülülük vb.) uygun şekilde tasarlanması amaçlanmaktadır. İlgili ilkelere uygunluk, sistemlere sonradan eklenmemelidir. Privacy by default ise uygulamadaki kullanıcılarının gizliliğinin korunması için her türlü seçeneğin varsayılan olarak aktif edilmesi anlamına gelmektedir.
- Rıza: Kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca matuf, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın aynı amaç̧ veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir.
- Veri Taşınabilirliği Hakkı: GDPR’ın en çok tartışılan yeniliklerinden biri olan veri taşıma hakkı, veri sahibinin, kişisel verisini tutmaya yetkili bir veri kontrolöründen diğerine taşıyabilme yetkisine sahip olmasını sağlamaya yöneliktir.
Ek olarak; GDPR’ı ihlal eden veri sorumluları için öngörülen cezalar da oldukça ağır. Kural ihlali halinde, şirketin yıllık global cirosunun %4’üne kadar ya da 20 Milyon Euro (hangisi büyükse) bir ceza alması öngörülmektedir.
Uygulamada ne gibi sorun ve/veya zorluklarla karşılaşacağımız henüz merak konusu olmakla birlikte; GDPR’ın getirdiği ağır yaptırımlar, para cezaları, kapsam genişliği göz önüne alındığında uzun bir süre daha hayatımızda tartışma ve hatta mizah konusu olmaya devam edecek görünüyor.
Av. İrem ÜNAL NİZAMOĞLU
Kaynakça:
- Kalkınma Bakanlığı İktisadi Sektörler ve Koordinasyon Genel Müdürlüğü, Çalışma Raporu-6., 2017.
- Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri, Yrd. Doç. Dr. Nilgün BAŞALP (http://dergipark.gov.tr/download/article-file/271091).