Yayım tarihi

Veri Koruma Otoritelerinin Biyometrik Veriye Bakış Açılarına Dair Değerlendirme

Günümüzde ICO (İngiliz Veri Koruma Otoritesi), CNIL (Fransız Veri Koruma Otoritesi) gibi birçok Veri Koruma Otoritesi, biyometrik erişim kontrollerinin kullanımını düzenleyen model yönetmelikler yayınlıyor. GDPR tanımına göz atacak olur isek, ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir; tanımı ile karşılaşırız.

Birçok kişisel veri öğesinin aksine, biyometrik veriler (bir kişinin, parmak, avuçiçi izleri ve el geometrisi, retina, iris, yüz taraması,  DNA bilgisi gibi) benzersizdir ve çalınması veya başka bir şekilde ele geçirilmesi durumunda kötüye kullanımdan kaçınmak için değiştirilemez özellikere sahiptir. Daha da ötesi; GDPR tanımındaki ‘davranışsal özellikler’ için, ICO’nun verdiği, davranışsal biyometrik tanımlama teknikleri örnekleri arasında; klavye vb tuş vuruşu analizi; el yazısı imza analizi; yürüyüş analizi; ve bakış analizi (göz izleme) gibi uç örnekler de yer almaktadır.

NŞA’da, tüm biyometrik veriler, bir bireyin kimliğinin tanımlanmasına izin verdiği veya bunu teyit ettiği için kişisel veridir. Biyometrik veri, özellikle “gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla” işlendiğinde de özel nitelikli kişisel (özel kategori) veriler sınıfına girer. Bir kişinin biyometrik  verisini;  kişinin hakkında bir şeyler öğrenmek, kimliğini doğrulamak, erişimini kontrol etmek, hakkında bir karar vermek veya herhangi bir şekilde farklı muamele etmek için kullanıyorsanız, GDPR 9.Maddeye (Özel kategorilerdeki kişisel verilerin işlenmesi maddesi) uymanız gerekir. Mamafih, tabii ki öncesinde bu tip veri kullanımlarının hukuki zemine oturtulması gerekliliği, veri koruma yasalarının doğası gereğidir.

Organizasyonların erişim kontrolü için kişilerin biyometrik verilerinin toplanmasının ve kullanımının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceği bir gerçektir. Bunun ışığında, genel kabul, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA/VKED) yapılmalı ve mesela CNIL’e göre bu değerlendirme az üç yılda bir güncellenmelidir.

Bu bağlamda organizasyonlar, biyometrik veri işlerken bazı hususları göz ardı etmemesi gerekmektedir.

Biyometri kullanımının gerekçelendirilmesi:

CNIL Model Yönetmeliğini incelediğimizde, işverenlerin biyometri kullanım gerekçelerini; işyerinin spesifik ve özel durumlarına (örneğin, tehlikeli makinelerin/malzemelerin, yüksek değerli şeylerin, gizliği yüksek malzemelerin veya katı regülasyona tabi ürünlerin varlığı) dayalı ise bunları kanıtlamlarını ve neden diğer geleneksel kimlik doğrulama cihazlarının (örneğin, giriş kartları veya şifreler) kullanımlarının, ekosistemlerinde güvenlik açısından yeterli olmadığını gerekçelendirmelerini istiyor. Bu tür bir gerekçede; kimlik doğrulama için bir biyometrik özelliğin neden diğer opsiyonlara göre seçilme gerekliliği de dahil olmak üzere işveren tarafından açıkça belgelenmesi istenmektedir.

Bu tip yönetmelikler aynı zamanda, veri aktarımı ve depolama yöntemlerine bağlı olarak çeşitli biyometrik erişim kontrol sistem tiplerinin ve beraberinde gelen, biyometrik şablonların merkezi bir veri tabanında saklanmasına yönelik, veri güvenliği risklerinin genel hatlarını belirler. Yalnızca biyometrik şablon verilerin saklandığı merkezi veri tabanları içeren kritik ortamların, daha güçlü koruma gerektireceğinin altı çizilmektedir. Bunun sağlanamadığı aksi hallerde biyometrik veriler, bireyin münhasır mülkiyetinde bulunan bir ortamda (ör: kişiye tahsisli giriş kartı veya akıllı kartlar) tutulmalı; herhangi bir kalıcı kopyası, işveren ya da servis sağlayıcı tarafından saklanmamalıdır.

Güçlü veri güvenliğinin sağlanması:

Düzenlemeler, işverenlerin sağlam kurumsal ve teknolojik veri güvenliği prosedürlerini sürdürmelerinin birçok yolunu detaylandırmaktadır. Belirtilen güvenlik önlemleri; veri, organizasyon, donanım, yazılım ve bilgisayar kanalları ile ilgilidir ve işveren bu önlemlerin uygulanmasını, en az yılda bir kez denetle(t)melidir. CNIL Model Yönetmeliği aynı zamanda biyometrik veriler için maksimum saklama sürelerini de öngörmektedir. Örneğin, ham biyometrik veriler (fotoğraf veya ses kaydı gibi), ilgili sistemin yazılımı tarafından analiz edilebilecek bir biyometrik şablon oluşturabilmesine karşı, gerekenden daha uzun süre saklanamaz. Ayrıca, sonuçta ortaya çıkan biyometrik şablonlar şifrelenmeli ve bir çalışan artık o kuruluşta çalışmadığında nihai olarak silinmelidir. Model Yönetmeliği ayrıca, bir biyometrik kontrol cihazında bulunabilecek bireysel kişisel veri türlerini ve toplanabilecek log verisi türlerini de ana hatlarıyla belirtmektedir. ICO rehberlerinde, kişinin biyometrik verisinin sistemdeki kayıtlı verisi ile herhangi bir nedenden dolayı şablonlarla eşleşmeyen deneme veya hatalara ait verinin dahi, en kısa sürede imha edilmesi gerektiği ayrıntısına kadar yer verdiğini görürüz.

Veri Koruma Yasaları yükümlülüklerinin göz ardı edilmemesi:

Model Düzenlemenin ötesinde, GDPR kapsamına giren işverenler, hala herhangi bir biyometrik erişim kontrol sistemi ile ilgili olarak GDPR’nin ilgili hükümlerine uymak zorundadır. Bu uyumluluk, veri ihlali bildirim yükümlülüklerini, kayıt (loglar da dahil olmak üzere) tutma gereksinimlerini ve ilgili kişinin veri koruma haklarına uyumunu içerebilir. CNIL ve ICO özellikle, erişim kontrolü için biyometrik verilerin toplanmasının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceğini kaydetmiştir. Bu yüksek risk ile orantılı olarak da bu tip verileri işlemenin yüksek seviyede koruma ve tedbir gerektirdiğini belirtir. Bunun ışığında, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA / VKED) yapılmalı ve en az üç yılda bir güncellenmelidir.

Bu çerçevede KVKK’nın da yukarda özetlediğimiz denetleyici otoriteler gibi biyometrik veriler ile ilgili daha ayrıntılı rehber, yönetmelikler yayınlayacağını ve kanun veya ikincil mevzuatında veri koruma etki değerlendirmesi (DPIA / VKED) yaklaşımının ilgili süreçlerde şart koşmasını öngörüyoruz.

Yayım tarihi

GDPR, Avrupa Birliği Dışındaki Şirketlerin Tabiiyeti ve Cloud

Bu yazımızda; varlığı da yokluğu da sorun olmaya başlayan Bulut hizmetlerini, AB dışında bulut ve diğer hizmet veren şirketleri ve GDPR ile ilişkisini inceleyeceğiz.

Aslında fark etmediğimiz ve belki de kendilerinin de fark etmediği kadar Türk şirketi internet, mobil uygulama vb üzerinden Avrupa Birliği üye vatandaşlarına mal ve hizmet sunumu yapmaktadır hatta bazen yurt dışına verilen hizmet yerel profile verilen hizmetten daha değerli hale bile gelebilmektedir. Mayıs ayında aşil tendonu ameliyatım sonrası istirahatte iken şehir dışından gelen telefon, benim de açıkçası pek duymadığım ve bilmediğim bir organizasyondan idi. Son derece iyi niyetli ve saygılı yöneticilerinden birisi bir GDPR ve danışmanlığı ile ilgili bilgi edinmek istiyordu. Şirketin ekosistemini öğrenmek için sorduğum bazı sorular sonucunda hiç de bilmediğim duymadığım şirket ve hizmet alanları olduğunu, çoktan Viyana kapılarını geçtiğimizi anladım girişimci kafalarımız ile… Şirket bir online dating şirketi idi, yurt dışına ve yurt içine hizmet veriyordu. Ve aynı Mayıs ayı GDPR’ın hayata geçme termini nedeni ile yöneticiler tarafından da doğal olarak uyum çalışmaları yapmak istiyorlardı. Bu yönleri ile takdire şayanlardı ama yerel veri koruma kanununa uyum ile ilgili çalışmalarının ne aşamada olduğunu ve öncelikle bu kanunumuza uyum sağlanması gerektiğini söylediğim zaman, domestic profillerini feda edebileceklerini ve yerel hizmet yelpazelerini sonlandırma düşünceleri ile şaşırtmışlardı beni… Konuşmanın ileri safhaları, Veri Sorumlusu ve İşleyen yükümlülüklerinin sadece hizmet alanları ile sınırlı olmadığı, çalışanların, adayların, tedarikçi çalışanları vb. profillerin de kanunumuza uyum mükellefiyeti doğurduğunu anlatarak ilerledi ve değerlendireceklerini söyleyerek görüşme sonlandı. Kim bilir bu gibi kaç tane şirketimiz var, acaba diğer şirketlerimizde de bu kadar farkındalık var mıdır bilmiyorum ama Avrupa Birliği gayet farkında ve birlik vatandaşlarına ait kişisel verileri koruma adına GDPR’da aşağıda belirtilen maddeler ve Weltimmo tipi davalar bu işi ne kadar ciddiye aldıklarının göstergesidir.

Bulut bilişime döner ve tanımından başlayacak olur isek;

Bulut Bilişim”i bilgi teknolojileri servislerinin internet üzerinden alındığı durumlar olarak özetleyebiliriz. Bu servisler, organizasyonun kendi “özel bulut”u ya da üçüncü taraf tedarikçiler aracılığı ile temin edilebilir. Servisler arasında, yazılım, altyapı (ör: grup sunucu yapıları), hosting ve platformlar (ör: işletim sistemleri) sayılabilir. Günümüzde nerelerde kullanmıyoruz ki bulutu? web ortamındaki mail’lerden kurumsal veri depolama çözümlerine kadar birçok uygulama olarak karşımıza çıkıyor. Bunlar aşağıdakiler ile sınırlı olmamak üzere farklı tiplerde servis modelleri olarak hayatımıza girdi:

·      Servis olarak altyapı (IaaS – Infrastructure as a Service ): Bu yapı, hizmet sağlayıcının yalnız uzaktan erişim ve kullanım olanağı sağladığı fiziksel bilişim kaynaklarıdır. İşletim platformu ve tüm uygulamaların hem sağlanması hem de kurulumu servis edinen sorumluluğundadır.

·      Servis olarak platform (PaaS – Platform as a Service): Bu hizmet yapısında tedarikçi, işletim sistemlerine uzaktan erişim ve kullanım olanağının yanı sıra temel donanımı da sağlar, ancak, uygulamaların sağlanması ve kurulumundan hizmet alıcı sorumludur.

·      Servis olarak yazılım (SaaS – Software as a Service): Bu yapıda ise, hizmet sağlayıcının tümüyle altyapı, platform ve uygulamayı sağladığı durumlardır.

Bu servisler genellikle aşağıda sayılan genel özelliklere sahiptir:

·     Güvenlik önlemleri, lokasyon ve işleme için uygulanabilir servis standartlarını tedarikçi belirler.

·      Müşteri verileri, kapasiteye bağlı olarak servis sağlayıcının altyapısı içinde dağıtıktır.

·      Servis altyapısı ve kaynakları, tedarikçinin müşterileri arasında paylaşılır ve birden fazla ülkede konumlandırılmış olabilir.

Geleneksel yaklaşımda bir kuruluşun işletim sistemi, programları ve verileri ya bilgisayarlarında ya da kuruluşun kendi sunucularında bulunur. Bulut sistemleri bu modeli önemli ölçüde değiştirmiştir. Söz konusu sistem, program ve/veya veriler, dünyanın herhangi bir noktasında, kendi kullanıcılarına özel olarak kuruluşun kendisi tarafından ya da bir servis sağlayıcı tarafından yönetilebiliyor.

Bulut bilişim konusunda an itibarı ile AB’e yönelik düzenleyici herhangi bir yasama aracı bulunmasa da (devam eden süreçler mevcut, ör. CISP ve EDPB görüşmeleri) teknolojik açıdan tarafsız olan Genel Veri Koruma Tüzüğü (GDPR), veri sorumluları için yükümlülükler tesis ediyor.

İlişkili Regülasyon Hükümleri ve Yaklaşımlar

Şimdi GDPR’a göz atalım ve bulut ile ilişkisine değinelim:

Madde 3.1: Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi için uygulanır.

Madde 3.2: Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyici tarafından işlenmesi için uygulanır:

Madde 3.2.a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya

Madde 3.2.b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

Bu hükümlerin Madde 3.1’i için, GDPR’nin yerini aldığı Veri Koruma Direktifi 95/46/EC içeriğinde de kapsamda idi. Ancak, Avrupa Birliği Adalet Divanının yakın tarihli davalarında bu koşulu çok geniş olarak yorumladı. Divan; Weltimmo Davasında, söz konusu ‘kurulmuş’luğu (establishment) nelerin oluşturduğu konusunda önemli bir yön belirledi ve bu durumun kuruluş düzenlemelerinin istikrarlılık derecesine ve faaliyetlerinin etkin biçimde uygulanıp uygulanmadığına dayalı olarak yorumlanacağını ifade etti. Weltimmo şirketi, Macaristan‘da bir web sitesi üzerinden emlak komisyonculuğu hizmeti veren bir Slovak şirketiydi. Avrupa Birliği Adalet Divanı, aşağıdaki koşullara sahipliği ışığında Weltimmo’nun Direktif bağlamında Macaristan’da bir ‘kuruluş’ olduğunu tayin etti:

·      Macaristan’da bir banka hesabının bulunması.

·      Macaristan’da bir posta kutusunun bulunması;

·      Macaristan’a yönelik ve Macar dilinde oluşturulmuş bir web sitesinin bulunması;

·      Mahkeme işlemlerinde temsil ve borç tahsilatı amaçları için Macaristan’da bir temsilcisinin bulunması;

Dolayısı ile bu dava, bir Avrupa Birliği üye ülkesindeki minimal faaliyetlerin bile Avrupa veri koruma yasaları bağlamında bir kuruluş, tesis olarak değerlendirilmesi için yeterli olabileceğini teyit etmiştir.

Yine başka bir Avrupa Birliği Adalet Divanı davasında AB dışındaki şirketin muallak ve AB vatandaşlarını hedeflemediğini öne sürdüğü faaliyetleri ile ilgili olarak verdiği kararda (ki bence şirketi yakaladığı muazzam nokta atışları var); AB müşterilerini hedefleme niyetinin aşağıdaki indikatörler ile belirli olduğunu karara bağlamıştır.

  • ‘patent’ kanıtı: bir AB üye devlet içindeki kişilerin erişimini kolaylaştırmak amacıyla bir arama motoruna para ödenmesi
  • (muhtemelen birbirleriyle kombinasyon halinde) aşağıdakileri içeren diğer faktörler: İlgili faaliyetin “uluslararası niteliği” (örneğin, turistik faaliyetler); uluslararası kodlu telefon numaralarının tahsisi; tüccarın kurulu olduğu ülke dışında başka bir üst alan adının (domain) kullanılması ve alınması (örneğin, .de veya .eu alan bir ABD kuruluşu); AB üye devlet dillerinde kullanım kılavuzu ve rehberler; “çeşitli Üye Devletlerde yerleşik müşterilerden oluşan uluslararası müşteri” tanımlarının geçtiği sözleşmeler

Ayrıca son içtihat kanunları, kişisel veri işleyen AB dışından bir veri sorumlusu ile AB merkezli bir kuruluş arasındaki bir ekonomik bağlantının, veri sorumlusunun faaliyetlerinin Tüzük’e tabi olacağı anlamına geldiğini de gösteriyor.

Madde 3 koşullarının Direktif’e dahil edilmemiş olan ikinci kolu, Avrupa veri koruma yasalarının uygulanabilirliğinde önemli bir gelişmeyi temsil ediyor. Bu sayede veri işleyen ya da veri sorumlusu, işlediği kişisel verilerin, AB’de bulunan bireylerin davranışlarının izlenmesi ya da bu kişilere hizmet veya ürün sunulmasına ilişkin olması halinde, bir AB kuruluşu olsun ya da olmasın, Tüzük kapsamında değerlendiriliyor.

Bu bağlamda bulut servis sağlayıcıları; bu koşullardan herhangi birinin, tüm veri işleme faaliyetlerini ya da bir kısmını Avrupa veri koruma yasaları kapsamına getirip getirmediği konusunu dikkate almak durumundalar. Bu işleme faaliyetleri, doğrudan Tüzük’e tabi olmasa bile müşterilerinin Tüzük’e tabi olması halinde, müşterilerin bulut servis sağlayıcısına, kişisel verilerin kullanımı için aynı şartları içeren sıkı veri işleme sözleşmeleri imzalatmaları zorunluluğu geliyor.

Nihayetinde düşünelim; biz veya bir AB vatandaşı kişileri verilerimizi bir organizasyona belirli hukuki zeminlere oturması gereken işleme süreçleri için emanet ediyoruz. Organizasyon da; gerek kendi gerek İlgili Kişi’lerin menfaati için teknolojiyi kullanarak, tarafların hayatını kolaylaştıran “bulut hizmetleri”ni sunan bulut servis sağlayıcılarına emaneti emanet ediyor. Bu bağlamda kullanılan teknolojinin karmaşıklığını, işleyişini (fail over, load balance, disaster restorations, security concerned infrastructures,vb) ve devimine ait kontrollerini, TAM MANASI ile ne bizim ne de emanet ettiğimiz ve hesap sorulacak (veri sorumlusu) olan ilk şirketin bilmesine olanak görünmüyor. Eee zaten oturmuş bir standart da henüz yok, bu durumda elleri kuvvetlendirecek, kontrol bağlamında elimizde sahip olabildiğimiz son ipin ucu ve yükümlülük paratoneri olabilecek yegane geriye kalan bağlayıcı şey, Veri Sorumlusunun bulut hizmet sağlayıcısı ile yaptığı sözleşmelerdir kanaatindeyim.

Bir sonraki yazımızda GDPR yaklaşımı ile Bulut Bilişim hizmeti alımında en önemli nüanslardan olan;

  • Bulut bilişim firmaları ile yapılan sözleşmelerde nelere dikkat edildiği ve
  • Bulut bilişim kullanımı ile uluslararası veri transferlerinde regülasyonlar ile uyum sağlamak için hangi hukuka uygun yolların kullanıldığına

değinmeye çalışacağım.

Sağlıcak ve Esenlikle…

DRUCKER KÖŞESİ


İnsanlarla İlgili Doğru Yargıda Bulunma:

“İnsanlarla ilgili kararlarınızı önceliğiniz haline getirin.
Bu kararlar için daha çok zaman ayırın, böylece vaktinizi pişman olmakla harcamazsınız.”
Yayım tarihi

GDPR Notları # 2

Bu yazımızda GDPR’ın (Tüzük) getirdiklerini, Data Protection Directive’den (DPD) gelen yaklaşımları da dikkate alarak incelemeye devam edeceğiz.

Tüzük’ün getirdiği ve Veri Koruma Direktifi ile kıyaslandığında AB içinde faaliyet gösteren ya da AB içindeki bireylerin verilerini işleyen AB dışı firmaları etkileyecek değişiklikleri, aşağıdaki şekilde özetleyebiliriz:

Yasanın uygulanması

Direktifin aksine Tüzük, tüm AB üyesi ülkelerde, ulusal parlamentoların herhangi bir müdahalesi olmaksızın, doğrudan geçerli hale geliyor.

AB içinde kurulu firmalar için geçerli olması nedeniyle Direktifle benzeşse de Tüzük, yeni düzenlemenin muhataplarının sadece veri sorumluları ile sınırlı olmamasıyla önemli oranda ayrışıyor, yeni gerekliliklerin pek çoğu veri işleyenler için de aynı düzeyde geçerli kılınıyor ki bu durum bilginin yaşam döngüsündeki her bir fonksiyon ve uğradığı durağın uyumluluğuna verilen öneme ışık tutuyor.

AB dışında kurulu işletmeler

Tüzük’ün AB dışında kurulu işletmeler için geçerliliği konusunda, kanun koyucular, Direktif’te bulunan AB tabanlı işleme ‘ekipmanlar’ına yönelik referansları ortadan kaldırıyor.

Bunun yerine Tüzük’ün AB dışında kurulu işletmeler için geçerlilik durumu, ilgili kişinin lokasyonuna bağlı olarak belirleniyor.

Tüzük, bir işletmenin kişisel veri kullanımının AB içindeki bireylere ürün ya da hizmet sunulmasıyla ya da söz konusu bireylerin AB içindeki davranışlarının incelenmesiyle bağlantılı olduğu her durumda geçerliyken, bu işlemlerin ödeme gerektirmesi ya da gerektirmemesi herhangi bir kriter olarak kabul edilmiyor.

Tüzük’ün 24 sayılı Gerekçesinde (Recital), ilgili kişilerin internette, özellikle kişisel tercihlerini analiz ya da tahmin etme amaçlı olarak izlenmesinin Tüzük’ün geçerliliğini tetikleyeceği konusunda detaylı bilgiler verilmiştir. Takip çerezleri ya da kullanım bilgisi toplayan uygulamaların kullanıldığı hemen her web sitesini Tüzük’e tabi kılan bu tedbir, kuralların uygulama alanının ne kadar geniş bir ölçekte arttığının göstergesidir.

Bireylere, kendi verilerini yönetme olanağı

Bu konu tüm Tüzük metninde genel bir tema olarak göze çarpıyor ve verinin kullanımına yönelik ‘rıza’ güçlendirmesi ile Direktif’e kıyasla daha da vurgulanıyor. Rızanın, verinin kullanımı için dayanak olarak gösterilebilmesi için çok yüksek standartları karşılaması ve belirli şartların üstesinden gelmesi gerekiyor. Bu doğrultuda bazı çok kesin noktalardan söz edilebilir:

o           Rıza, kişisel verilerin kullanımı ile sözleşme/anlaşma koşulları kapsamındaki diğer konular arasındaki ayrım açıkça belirtilmedikçe süreç ve koşullar kapsamına dahil edilemez, bunlarla birleştirilemez.

o           Rıza, herhangi bir anda geri çekilebileceği gibi bu konu rızanın alınmasından önce bireylere kolay ve anlaşılır biçimde açıklanmalıdır.

o           Ürün ya da hizmet karşılığı bir zorunluluk olarak talep edilen Rıza, özgürce verilmiş olarak kabul edilmeyebilir.

o           16 yaşından küçük kişilerin kişisel bilgilerinin kullanımı için vasi rızası gerekliliği her bir üye devletin kendi takdirine bırakılmış olup bu durum, çocukların verileri söz konusu olduğunda uyumluluğun ülke bazında incelenmesini gerektirecektir.

Bireyler için yeni ve daha güçlü haklar

Yeni Tüzük kapsamında bireyler, daha güçlü haklarla kendi verileri üzerinde daha fazla kontrole sahip oluyorlar. Bireylere sağlanan bu yeni hakların bazıları aşağıdaki gibidir:

o           Daha ayrıntılı şeffaflık yükümlülükleri – Tüzük, verilerin toplandığı esnada ya da makul bir süre içinde bireylere sağlanması zorunlu olan bilgi kategorilerini çoğaltıyor. Ayrıca bu bilgilerin açıklanması esnasında ilgili kişinin şahsına uygun olarak açık ve sade bir dil kullanılması, hatta verilerin bir çocuktan alınıyor olması halinde bildirimin bir çocuk tarafından anlaşılacak şekilde düzenlenmesi gerekiyor.

o           Verinin taşınabilirliğine, işlemenin sınırlanmasına, unutulmaya ve profil oluşturulmasına yönelik yeni haklar.

Taşınabilirlik hakkı, kişilere, bilgilerin bir sözleşme kapsamında ya da rızaya dayanarak bireyin kendisinden temin edildiği hallerde, işletmeye sağladıkları bilgileri ‘yapılandırılmış, genel olarak kullanılan ve makine tarafından okunabilir’ biçimde alma hakkı getiriyor. Bundan başka, verilerin, belirli durumlarda ve teknik olarak mümkün olması halinde bir işletmeden diğerine aktarılmasına yönelik genel bir hak da sağlanıyor.

o           Erişim, düzeltme, silme (unutulma), itiraz hakları gibi Mevcut direktifte de bulunan halihazırdaki hakların elde tutulması. İlgili kişilerin erişim talepleri karşılığında ücret talep etme hakkı ‘açıkça aşırı’ olduğu haller dışında kaldırılmıştır.

Yeni bir hesap verebilirlik düzeni

İşletmeleri veri uygulamalarıyla ilgili olarak daha fazla hesap verebilir hale getiren çeşitli bazı gereklilikler ise Tüzükte göze çarpan yenilikler arasında yer alıyor. Uyumluluğun gösterilebilmesi ve bu konuda şeffaf olmakla ilişkili olan hesap verebilirlikle gelen yeni sorumluluklar arasında aşağıdakiler sayılabilir:

o           Kuruluşun veri işleme faaliyetlerinin Tüzük ile uyumluluğunu temin etmek üzere veri koruma politikaları ve tedbirlerinin uygulanması.

o           Tasarımda ve varsayılan olarak veri koruma.

o           Veri sorumluları ve veri işleyenlerin kayıt tutma yükümlülükleri

o           Veri sorumluları ve işleyenlerin denetleyici kurumlarla iş birliği yapması

o           Doğası ve kapsamı gereği bireyler için belirli riskler teşkil eden operasyonlara ilişkin veri koruma etki değerlendirmelerinin (DPIA) gerçekleştirilmesi.

o           Yüksek risk taşıyan durumlarda veri koruma kurul/otoritelerine danışılması

o           Kamu sektörü ve büyük veri işleme faaliyetleri için veri sorumluları ve veri işleyenlere yönelik zorunlu veri koruma sorumlularının (DPO) görevlendirilmesi.

Veri işleyenlerin yeni yükümlülükleri

Yukarıda da anlatıldığı gibi Direktif kapsamında yalnızca veri sorumluları için geçerli mevcut kurallara ilişkin önemli bir değişikliğin göstergesi olarak Tüzük, doğrudan hizmet sağlayıcılara (ör: veri işleyen) birçok uyumluluk yükümlülüğü ve muhtemel yaptırımlar getiriyor. En köklü değişikliklerden biri ise bir veri işleyenin, veri sorumlusu onayı olmadan herhangi bir hizmeti alt sözleşmeyle devredemeyecek olması. Tüzük, veri sorumluları ile yapılan sözleşmeler için kurala ilişkin koşullar eklenmesini gerektirirken birçok veri işleyen, işleme faaliyetlerinin kayıtlarını tutmak, uygun güvenlik önlemlerini uygulamak, belirli durumlarda bir DPO atamak, uluslararası veri aktarımı gereklilikleri ile uyumluluk sağlamak ve gerektiğinde denetleyici kurumlarla iş birliği yapmak durumunda kalıyor.

Uluslararası veri aktarımları

Direktif’te uluslararası veri aktarımını etkileyen mevcut sınırlamalar, Tüzük kapsamında da varlıklarını sürdürüyor. Komisyon tarafından resmen yeterli olduğu kabul edilen yasama bölgelerine aktarımların dışında gerek veri sorumluları gerekse veri işleyenler, AB dışına kişisel veri aktarımlarını yalnız uygun güvenlik önlemlerini aldıkları ve bireyler için uygulanabilir hakların yanı sıra, etkin yasal tazminatları sağladıkları takdirde gerçekleştirebiliyor.

Tüzük, bu tür aktarımları yasallaştırmak için kullanılan tedbirleri faydalı biçimde genişletirken, bu kapsama Bağlayıcı Kurumsal Kurallar (BCR) ve bir veri koruma kurumu tarafından benimsenmiş standart sözleşme maddelerinin yanı sıra, onaylı etik kurallar, onaylı bir sertifikasyon mekanizması ve ‘tutarlılık mekanizması’ olarak da bilinen, bir veri koruma kurumu tarafından onaylı ‘diğer sözleşme maddeleri’ni açıkça dahil ediyor.

Güvenlik

Tüzük kapsamında gerek veri sorumluları gerekse veri işleyenler, işlemekte oldukları kişisel verileri korumak üzere uygun teknik ve idari önlemleri uygulama yükümlülüğü altına giriyor.

Tüzük ayrıca, veri ihlallerinin, ‘gerçek kişilerin hak ve özgürlüklerine karşı risk teşkil etme olasılığının düşük olduğu’ haller dışında, fark edildikten sonraki 72 saat içinde ilgili veri koruma kurumuna bildirim gerekliliği getiriyor. Bireylerin zarar görme olasılığı yüksek olduğunda ise ayrıca kişilere bildirim yapılması da zorunlu tutuluyor.

Yürütme ve uyumsuzluk riskleri

Tüzük, bireylere, ihlal sonucu oluşacak maddi ve manevi hasarlar için tazminat alma hakkı veriyor. Bireylere ayrıca, kendilerini ilgilendiren veri koruma kurumu kararları karşısında yasal tazminat alma ve haklarını ihlal ederek Tüzük’le uyumsuzluğa düşen veri sorumluları ve veri işleyenlere karşı şikayette bulunma ve veri koruma kurumunun işlem yapmasını sağlama hakları tanınıyor. Bu haklar, bireyler adına tüketici taraflarca kullanılabiliyor.

Olası yaptırımların ciddiyet derecesinde önemli bir artış gözleniyor, şöyle ki söz konusu cezalar 20 milyon Euro’ya veya firmanın global gelirinin %4’üne kadar (hangisi daha yüksekse) çıkabiliyor. Bu durum aşağıdaki hükümlerin ihlalini içerebiliyor:

o           Rıza koşulları dahil, işlemenin temel ilkeleri;

o           İlgili kişi hakları;

o           Yasal uluslararası veri aktarımı koşulları;

o           Tüzük’ün izin verdiği durumlar için ulusal yasalar kapsamındaki belirli yükümlülükler;

o           Veri akışının durdurulması dahil olmak üzere veri koruma kurumları tarafından verilen emirler.