Bu yazımızda GDPR’ın (Tüzük) getirdiklerini, Data Protection Directive’den (DPD) gelen yaklaşımları da dikkate alarak incelemeye devam edeceğiz.
Tüzük’ün getirdiği ve Veri Koruma Direktifi ile kıyaslandığında AB içinde faaliyet gösteren ya da AB içindeki bireylerin verilerini işleyen AB dışı firmaları etkileyecek değişiklikleri, aşağıdaki şekilde özetleyebiliriz:
Yasanın uygulanması
Direktifin aksine Tüzük, tüm AB üyesi ülkelerde, ulusal parlamentoların herhangi bir müdahalesi olmaksızın, doğrudan geçerli hale geliyor.
AB içinde kurulu firmalar için geçerli olması nedeniyle Direktifle benzeşse de Tüzük, yeni düzenlemenin muhataplarının sadece veri sorumluları ile sınırlı olmamasıyla önemli oranda ayrışıyor, yeni gerekliliklerin pek çoğu veri işleyenler için de aynı düzeyde geçerli kılınıyor ki bu durum bilginin yaşam döngüsündeki her bir fonksiyon ve uğradığı durağın uyumluluğuna verilen öneme ışık tutuyor.
AB dışında kurulu işletmeler
Tüzük’ün AB dışında kurulu işletmeler için geçerliliği konusunda, kanun koyucular, Direktif’te bulunan AB tabanlı işleme ‘ekipmanlar’ına yönelik referansları ortadan kaldırıyor.
Bunun yerine Tüzük’ün AB dışında kurulu işletmeler için geçerlilik durumu, ilgili kişinin lokasyonuna bağlı olarak belirleniyor.
Tüzük, bir işletmenin kişisel veri kullanımının AB içindeki bireylere ürün ya da hizmet sunulmasıyla ya da söz konusu bireylerin AB içindeki davranışlarının incelenmesiyle bağlantılı olduğu her durumda geçerliyken, bu işlemlerin ödeme gerektirmesi ya da gerektirmemesi herhangi bir kriter olarak kabul edilmiyor.
Tüzük’ün 24 sayılı Gerekçesinde (Recital), ilgili kişilerin internette, özellikle kişisel tercihlerini analiz ya da tahmin etme amaçlı olarak izlenmesinin Tüzük’ün geçerliliğini tetikleyeceği konusunda detaylı bilgiler verilmiştir. Takip çerezleri ya da kullanım bilgisi toplayan uygulamaların kullanıldığı hemen her web sitesini Tüzük’e tabi kılan bu tedbir, kuralların uygulama alanının ne kadar geniş bir ölçekte arttığının göstergesidir.
Bireylere, kendi verilerini yönetme olanağı
Bu konu tüm Tüzük metninde genel bir tema olarak göze çarpıyor ve verinin kullanımına yönelik ‘rıza’ güçlendirmesi ile Direktif’e kıyasla daha da vurgulanıyor. Rızanın, verinin kullanımı için dayanak olarak gösterilebilmesi için çok yüksek standartları karşılaması ve belirli şartların üstesinden gelmesi gerekiyor. Bu doğrultuda bazı çok kesin noktalardan söz edilebilir:
o Rıza, kişisel verilerin kullanımı ile sözleşme/anlaşma koşulları kapsamındaki diğer konular arasındaki ayrım açıkça belirtilmedikçe süreç ve koşullar kapsamına dahil edilemez, bunlarla birleştirilemez.
o Rıza, herhangi bir anda geri çekilebileceği gibi bu konu rızanın alınmasından önce bireylere kolay ve anlaşılır biçimde açıklanmalıdır.
o Ürün ya da hizmet karşılığı bir zorunluluk olarak talep edilen Rıza, özgürce verilmiş olarak kabul edilmeyebilir.
o 16 yaşından küçük kişilerin kişisel bilgilerinin kullanımı için vasi rızası gerekliliği her bir üye devletin kendi takdirine bırakılmış olup bu durum, çocukların verileri söz konusu olduğunda uyumluluğun ülke bazında incelenmesini gerektirecektir.
Bireyler için yeni ve daha güçlü haklar
Yeni Tüzük kapsamında bireyler, daha güçlü haklarla kendi verileri üzerinde daha fazla kontrole sahip oluyorlar. Bireylere sağlanan bu yeni hakların bazıları aşağıdaki gibidir:
o Daha ayrıntılı şeffaflık yükümlülükleri – Tüzük, verilerin toplandığı esnada ya da makul bir süre içinde bireylere sağlanması zorunlu olan bilgi kategorilerini çoğaltıyor. Ayrıca bu bilgilerin açıklanması esnasında ilgili kişinin şahsına uygun olarak açık ve sade bir dil kullanılması, hatta verilerin bir çocuktan alınıyor olması halinde bildirimin bir çocuk tarafından anlaşılacak şekilde düzenlenmesi gerekiyor.
o Verinin taşınabilirliğine, işlemenin sınırlanmasına, unutulmaya ve profil oluşturulmasına yönelik yeni haklar.
Taşınabilirlik hakkı, kişilere, bilgilerin bir sözleşme kapsamında ya da rızaya dayanarak bireyin kendisinden temin edildiği hallerde, işletmeye sağladıkları bilgileri ‘yapılandırılmış, genel olarak kullanılan ve makine tarafından okunabilir’ biçimde alma hakkı getiriyor. Bundan başka, verilerin, belirli durumlarda ve teknik olarak mümkün olması halinde bir işletmeden diğerine aktarılmasına yönelik genel bir hak da sağlanıyor.
o Erişim, düzeltme, silme (unutulma), itiraz hakları gibi Mevcut direktifte de bulunan halihazırdaki hakların elde tutulması. İlgili kişilerin erişim talepleri karşılığında ücret talep etme hakkı ‘açıkça aşırı’ olduğu haller dışında kaldırılmıştır.
Yeni bir hesap verebilirlik düzeni
İşletmeleri veri uygulamalarıyla ilgili olarak daha fazla hesap verebilir hale getiren çeşitli bazı gereklilikler ise Tüzükte göze çarpan yenilikler arasında yer alıyor. Uyumluluğun gösterilebilmesi ve bu konuda şeffaf olmakla ilişkili olan hesap verebilirlikle gelen yeni sorumluluklar arasında aşağıdakiler sayılabilir:
o Kuruluşun veri işleme faaliyetlerinin Tüzük ile uyumluluğunu temin etmek üzere veri koruma politikaları ve tedbirlerinin uygulanması.
o Tasarımda ve varsayılan olarak veri koruma.
o Veri sorumluları ve veri işleyenlerin kayıt tutma yükümlülükleri
o Veri sorumluları ve işleyenlerin denetleyici kurumlarla iş birliği yapması
o Doğası ve kapsamı gereği bireyler için belirli riskler teşkil eden operasyonlara ilişkin veri koruma etki değerlendirmelerinin (DPIA) gerçekleştirilmesi.
o Yüksek risk taşıyan durumlarda veri koruma kurul/otoritelerine danışılması
o Kamu sektörü ve büyük veri işleme faaliyetleri için veri sorumluları ve veri işleyenlere yönelik zorunlu veri koruma sorumlularının (DPO) görevlendirilmesi.
Veri işleyenlerin yeni yükümlülükleri
Yukarıda da anlatıldığı gibi Direktif kapsamında yalnızca veri sorumluları için geçerli mevcut kurallara ilişkin önemli bir değişikliğin göstergesi olarak Tüzük, doğrudan hizmet sağlayıcılara (ör: veri işleyen) birçok uyumluluk yükümlülüğü ve muhtemel yaptırımlar getiriyor. En köklü değişikliklerden biri ise bir veri işleyenin, veri sorumlusu onayı olmadan herhangi bir hizmeti alt sözleşmeyle devredemeyecek olması. Tüzük, veri sorumluları ile yapılan sözleşmeler için kurala ilişkin koşullar eklenmesini gerektirirken birçok veri işleyen, işleme faaliyetlerinin kayıtlarını tutmak, uygun güvenlik önlemlerini uygulamak, belirli durumlarda bir DPO atamak, uluslararası veri aktarımı gereklilikleri ile uyumluluk sağlamak ve gerektiğinde denetleyici kurumlarla iş birliği yapmak durumunda kalıyor.
Uluslararası veri aktarımları
Direktif’te uluslararası veri aktarımını etkileyen mevcut sınırlamalar, Tüzük kapsamında da varlıklarını sürdürüyor. Komisyon tarafından resmen yeterli olduğu kabul edilen yasama bölgelerine aktarımların dışında gerek veri sorumluları gerekse veri işleyenler, AB dışına kişisel veri aktarımlarını yalnız uygun güvenlik önlemlerini aldıkları ve bireyler için uygulanabilir hakların yanı sıra, etkin yasal tazminatları sağladıkları takdirde gerçekleştirebiliyor.
Tüzük, bu tür aktarımları yasallaştırmak için kullanılan tedbirleri faydalı biçimde genişletirken, bu kapsama Bağlayıcı Kurumsal Kurallar (BCR) ve bir veri koruma kurumu tarafından benimsenmiş standart sözleşme maddelerinin yanı sıra, onaylı etik kurallar, onaylı bir sertifikasyon mekanizması ve ‘tutarlılık mekanizması’ olarak da bilinen, bir veri koruma kurumu tarafından onaylı ‘diğer sözleşme maddeleri’ni açıkça dahil ediyor.
Güvenlik
Tüzük kapsamında gerek veri sorumluları gerekse veri işleyenler, işlemekte oldukları kişisel verileri korumak üzere uygun teknik ve idari önlemleri uygulama yükümlülüğü altına giriyor.
Tüzük ayrıca, veri ihlallerinin, ‘gerçek kişilerin hak ve özgürlüklerine karşı risk teşkil etme olasılığının düşük olduğu’ haller dışında, fark edildikten sonraki 72 saat içinde ilgili veri koruma kurumuna bildirim gerekliliği getiriyor. Bireylerin zarar görme olasılığı yüksek olduğunda ise ayrıca kişilere bildirim yapılması da zorunlu tutuluyor.
Yürütme ve uyumsuzluk riskleri
Tüzük, bireylere, ihlal sonucu oluşacak maddi ve manevi hasarlar için tazminat alma hakkı veriyor. Bireylere ayrıca, kendilerini ilgilendiren veri koruma kurumu kararları karşısında yasal tazminat alma ve haklarını ihlal ederek Tüzük’le uyumsuzluğa düşen veri sorumluları ve veri işleyenlere karşı şikayette bulunma ve veri koruma kurumunun işlem yapmasını sağlama hakları tanınıyor. Bu haklar, bireyler adına tüketici taraflarca kullanılabiliyor.
Olası yaptırımların ciddiyet derecesinde önemli bir artış gözleniyor, şöyle ki söz konusu cezalar 20 milyon Euro’ya veya firmanın global gelirinin %4’üne kadar (hangisi daha yüksekse) çıkabiliyor. Bu durum aşağıdaki hükümlerin ihlalini içerebiliyor:
o Rıza koşulları dahil, işlemenin temel ilkeleri;
o İlgili kişi hakları;
o Yasal uluslararası veri aktarımı koşulları;
o Tüzük’ün izin verdiği durumlar için ulusal yasalar kapsamındaki belirli yükümlülükler;
o Veri akışının durdurulması dahil olmak üzere veri koruma kurumları tarafından verilen emirler.