GDPR Notları # 1

Edward Snowden, Maximillian Schrems, Mario Costeja Gonzalez…

Soru: Bu üç kişinin ortak noktası nedir?

Şu şekilde yanıtlarsak yanlış cevap vermiş olmayacağız:

Kendilerinin; Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur. Zira;

  • Snowden‘in ortaya çıkardığı NSA’in Facebook, Google, Apple, vb mahremiyet ihlalleri,
  • Schrems‘in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne açtığı dava,
  • Gonzalez‘in Google İspanya ve Google Inc.’e karşı “unutulma hakkı”na dair hukuksal mücadelesi,

hepsi bir şekilde Avrupa Birliği Adalet Divanında, dava dosyalarında konu olarak geçmiş ve yaşlı DPD’nin artık yetersiz ve günümüze ayak uyduramadığı kanılarını pekiştirmiştir.

Neticede bu değişime ayak uyduramayan direktifin yerine; kişisel verilerin korunmasında daha sağlıklıuyumluetkintek pazar stratejisini besleyecek şekilde serbest akışa izin verecek dinamiklikte, tüm üye ülkelerin hukuki olarak aynı dili ve kuralları ortak paydada buluşturacağı, bireysel hakları daha koruyucu bir regülasyon olan General Data Protection Regulation (GDPR), 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi. Mayıs 2016’da tüm Avrupa Birliği resmi dillerinde ve Avrupa Birliği Resmi Gazetesi’nde yayınlandı. GDPR, 24 Mayıs 2016 tarihinde yürürlüğe girse de iki senelik bir uyum termini sonrası 25 Mayıs 2018’de uygulanmaya başlanacaktır.

Şimdi; 25 Mayıs 2018’de hayata geçecek ve tüm Avrupa’nın (ve ilgili diğer ülkelerin) harıl harıl hazırlandığı bu regülasyonu genel manada tanımaya çalışalım. (Alttaki başlıklar norm değildir, eklemeler yapılabilir)

1.GDPR Kapsamı

GDPR Düzenlemesi; veri sorumlusu (AB sakinlerinden veri toplayan kuruluş) veya veri işleyen (veri sorumlusu adına veri işleyen kuruluş) veya verisi işlenen ilgili kişi AB’de bulunuyorsa geçerlidir. Ayrıca düzenleme; Avrupa Birliği dışında konuşlanmış fakat AB sakinlerinin kişisel verilerini toplayan veya işleyenler organizasyonlar için de geçerlidir. Avrupa Komisyonu’na göre “kişisel veriler, bir kişiye ait özel, mesleki ya da kamu yaşamıyla ilgili olsun olmasın herhangi bir bilgi olarak tanımlanmaktadır. Bir ad, ev adresi, fotoğraf, e-posta adresi, banka ayrıntıları, sosyal ağ sitelerindeki mesajlar, tıbbi bilgiler veya bir bilgisayarın IP adresi gibi herhangi bir bilgi olabilir.

2. Tekli Kural Seti ve Tek Yetkili Mercii

Regülasyona göre bütün AB üyesi ülkelere, tek bir kural seti uygulanacaktır. Her üye devlet; şikayetlerin iletilmesi ve soruşturulması, idari suçların cezalandırılması vb. için bağımsız bir Denetim Otoritesi (SA) kuracaktır. Her bir üye devletin SA’ları, karşılıklı destek sağlayarak ve ortak operasyonlar düzenleyerek diğer SA’larla işbirliği yapacaklardır. Bir işletmenin AB’de birden fazla kuruluş bulunduğu yerlerde (ülkelerde) “ana kuruluşunun” bulunduğu yere (diğer bir deyişle ana işleme faaliyetlerinin gerçekleştiği yere) dayalı “Baş Otorite (Lead Authority)” olarak tek bir SA’ya sahip olacaktır. Baş Otorite , söz konusu işletmenin AB genelindeki tüm işleme faaliyetlerini denetlemek için bir “tek yetkili mercii (one-stop shop)” (GDPR 46-55. maddeleri) olarak hareket edecektir. Bir Avrupa Veri Koruma Kurulu (EDPB) SA’ları koordine edecektir. Working Party 29 Çalışma Grubu’nun yerini EDPB alacaktır.

3. Sorumluluklar ve Yükümlülükler

Bildirim/aydınlatma gereksinimleri yine mevcut ama genişletilmiş şekilde hayata geçirilmekte. Bu gereksinimler; kişisel verilerin saklama süresini, veri sorumlusu ve veri koruma görevlilerinin iletişim bilgilerini de ihtiva etmektedir.

Profil oluşturma (Madde 22) da dahil olmak üzere otomatize edilmiş bireysel karar verme mekanizmalarına itiraz edilebilir hale gelinmiştir. Artık birey; kendisini etkileyen, tamamen algoritmik temellere dayanan kararları sorgulayabilir ve bunlara karşı mücadele edebilir.

Veri sorumlusu; GDPR’a uyumluluk çerçevesinde, “standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun önlemleri yerine getirmelidir. Standart Gizlilik ve Mahremiyete Göre Tasarım (Madde 25); veri koruma önlemlerinin, ürün ve hizmetler için iş süreçlerinin geliştirilmesi esnasında tasarlanmasını gerektirmektedir. Kişisel veriler için bulanıklaştırma veya diğer kullanımı ile takma ad/rumuz kullanımının (pseudonymity) da dahil olduğu bu gibi önlemler, veri sorumlusu tarafından sürece mümkün olduğunca çabuk dahil edilmelidir. (Mütalaa /Recital 78).

Etkin önlemleri uygulamak ve veri işleme faaliyetlerinin regülasyona uyumluluğunu sağlamak; işlemenin, veri sorumlusu adına bir işleyen tarafından gerçekleştirildiği durumlarda dahi, veri sorumlusunun yükümlülüğü ve sorumluluğundadır. (Mütalaa/Recital 74).

İlgili kişinin hak ve özgürlüklerinde belirli riskler ortaya çıktığı zaman, Veri Koruma Etki Değerlendirmeleri – DPIA (Madde 35) yapılmalıdır. Eğer yüksek riskler mevcut ise risk değerlendirmesi ile azaltımı ve Veri Koruma Otoritesinin (DPA) ön onayı gerekmektedir. Veri Koruma Görevlileri (DPO); (Madde 37-39) organizasyonlarda regülasyona uyumun güvencesi için yer almaktadır.

Veri Koruma Görevlileri (DPO) atanması aşağıdakiler durumlarda elzemdir:

* Tüm kamu otoriteleri için, (kendi adli görevini ifa eden mahkemeler hariç)

* Veri sorumlusu veya işlemcisinin temel faaliyetleri aşağıdakilerden oluşuyorsa:

* Doğası gereği, kapsamları ve / veya amaçları gereği, ilgili kişinin geniş çapta düzenli ve sistematik olarak izlenmesini gerektiren işleme faaliyetleri

 * Madde 9’a istinaden, özel kategorilerdeki kişisel verilerinin büyük bir kısmının işlenmesi ve Madde 10 ‘de belirtilen mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenmesi,

4. Rıza

Toplanan veriler ve kullanılan verilerin amaçları için; geçerli rıza açık ve net olmalıdır (Madde 7, Madde 4’te de tanımlanmıştır). Çocuklar için onay, çocuğun ebeveyni veya velisi tarafından verilmelidir ve doğrulanabilir olmalıdır (Madde 8). Veri sorumluluları, “rıza”yı (opt-in) kanıtlayabilmelidir ve rıza geri çekilebilir.

5. Veri Koruma Görevlisi (DPO)

Mahkemeler veya adli yetkiler ile hareket eden bağımsız yargı otoriteleri hariç olmak üzere, veri işlemenin bir kamu otoritesi tarafından gerçekleştirildiği hallerde veya özel sektör için; ana faaliyet alanı, verisi işlenen kişilerin düzenli ve sistematik olarak izlenmesini gerektiren operasyonları yürütmek olan bir veri sorumlusu tarafından gerçekleştirildiği durumlarda, veri koruma kanunu ve uygulamaları konusunda uzman bilgisi olan bir kişi, veri sorumlusuna veya işleyene bu Regülasyona uyumun denetlemesinde yardımcı olmalıdır.

DPO (Veri Koruma Görevlisi) rolü Uyum Görevlisi rolüne benzemekle beraber, hatta her ikisinin de BT süreçlerinin yönetilmesi, veri güvenliği (siber saldırılarla iştigal de dahil olmak üzere) ve diğer kritik iş sürekliliği gibi kişisel ve özel nitelikli (hassas) verileri kontrol altında tutma ve işleme konularında yetkin olması beklense de, aynı şapka ve pozisyon değildir. Gerekli olan beceri seti, veri koruma kanunları ve yönetmeliklerine yasal uyumun anlaşılmasının ötesinde bir alan gerektirmektedir.

Bir DPO’nun büyük bir organizasyonda atanması, Kurul ve bunun yanı sıra ilgili kişiler için bir zorluk teşkil edecektir. Kurum ve organizasyonların atamanın kapsamı ve niteliği göz önüne alındığında ele alması gereken sayısız yönetişim ve insan faktörü sorunları vardır. Buna ek olarak, makam sahibi görevlendirme sonrası kendi destek ekibini oluşturması gerekecek ve kendi mesleki gelişimlerinden sorumlu olarak etkin bir “mini regülatör” olarak kendisini çalıştıran kuruluştan bağımsız olması gerekmektedir.

6. Bulanıklaştırma (Pseudonymisation)

GDPR, bulanıklaştırmayı (bazı durumlarda takma ad veya rumuz kullanımı olarak da geçebiliryor); ilgili kişinin kişisel verilerini, işlem sonrası ortaya çıkacak veri için, ek bilgi kullanılmadan o ilgili kişi ile ilişkilendirilemeyecek şekilde dönüştüren bir süreç, olarak ifade etmektedir. Bulanıklaştırmaya örnek olarak; orijinal veriyi anlaşılmaz hale getiren ve işlemi, doğru şifre çözme anahtarına erişmeksizin, tersine çeviremeyecek bir yöntem olan şifreleme (encryption) verilebilir. GDPR, bu ek bilgilerin (şifre çözme anahtarı gibi) bulanıklaştırılmış verilerden ayrı olarak muhafaza edilmesini gerektirir. Söz konusu ilgili kişi verilerinin, risklerini azaltmak ve veri sorumluları ile veri işleyenlerin veri koruma yükümlülüklerini yerine getirmelerinde yardımcı olması için bulanıklaştırma önerilmektedir (Mütalaa /Recital 28).

Kişisel veri, veri sorumlusu tarafından yeterli iç politika ve önlemler ile bulanıklaştırılıyorsa, etkin bir şekilde anonimleştirilmiş olarak kabul edilir ve GDPR’ın kontrol ve cezalarına tabi değildir. “Standart gizlilik ve mahremiyete göre tasarım” ilkelerine uygun politika ve önlemler, bu amaç için yeterli kabul edilmelidir. Tedbirlere örnek olarak; verileri mümkün olan en kısa sürede bulanıklaştırmak (Mütalaa /Recital 78), verileri bulundukları lokasyonda şifrelemek, şifre çözme anahtarlarını şifrelenmiş verilerden ayrı olarak muhafaza etmek, verilebilir.

Regülasyon, istatistiksel veya araştırma amaçları da dahil olmak üzere, anonim olarak kabul edilen bilgilerin işlenişi ile ilgili değildir.

7. İhlaller

GDPR kapsamında, Veri Sorumlusunun gecikme olmaksızın Denetim Otoritesi‘ne bilgi vermesi yasal yükümlülüğü altında olacaktır. Bir veri ihlalinin raporlanması herhangi bir ayrıntılı standarda tabi değildir ve veri ihlalinden sonra 72 saat içinde Denetleme Kurumuna bildirilmelidir (Madde 33). Olumsuz etki tespit edilirse bireylerin bilgilendirilmesi gerekir (Madde 34). Buna ek olarak veri işleyen, kişisel bir veri ihlalinden haberdar olduktan sonra veri sorumlusunu gecikmeden bilgilendirmek zorundadır (Madde 33).

Bununla birlikte, veri işleyen veya sorumlusu, anonim verilerinin ihlal edilmesi durumunda ilgili kişiyi bilgilendirmesi gerekmez. Veri sorumlusu; veri ihlalinden etkilenen kişisel verilere, şifreleme gibi bulanıklaştırma tekniklerinin yanı sıra yeterli teknik ve kurumsal koruma önlemleri uyguladıysa, ilgili kişiye duyuru yapılması gerekli değildir (Madde 34).

8.Yaptırımlar

Aşağıdaki yaptırımlar uygulanabilir:

* İlk ve kasıtsız uygunsuzluk durumlarında yazılı bir uyarı

* Düzenli periyodik veri koruma denetimleri

* Organizasyona göre, 10.000.000 EUR veya bir önceki mali yıla ait yıllık dünya cirosunun %2’sine kadar olan ceza, hangisi daha büyük miktar ise (Madde 83, Parag 4)

* Bir grubun bir iştiraki olmasına göre, hangisi daha büyük miktar ise, ihlal veya uygunsuzluk ve verileri sahiplerinin kayıp veya hasar sonuçlarının büyüklüğü dahilinde, önceki mali yılın yıllık dünya çapında konsolide cirosunun% 20’sine veya 20.000.000 EUR’ye kadar bir para cezası (Madde 83, Paragraf 5)

9. Silinme Hakkı

Unutulma Hakkı, Mart 2014’te Avrupa Parlamentosu tarafından kabul edilen GDPR’e göre daha sınırlı bir silinme hakkı ile değiştirildi. (Madde 17) İlgili Kişinin kendi kişisel verilerinin; kişisel verilerinin korunmasını gerektiren ilgili kişinin menfaatleri veya temel hak ve özgürlükleri tarafından veri sorumlusunun meşru çıkarlarını geçersiz kılan bir durumu da (6.1.f) ihtiva eden 6. maddeye (meşruiyet) uyumsuzluk gibi birtakım gerekçelerin herhangi biri yüzünden, silinmesini talep etme hakkına sahiptir

10. Veri Taşınabilirliği

Bir kişi; kişisel verilerini, veri sorumlusu tarafından bunu yapmaktan alıkoyulmaksızın, bir elektronik işleme sisteminden başka bir elektronik işleme sistemine aktarabilir. Buna ek olarak veri, veri sorumlusu tarafından yapılandırılmış ve yaygın olarak kullanılan Açık Standart (Open Standard) elektronik formatta sağlanmalıdır. Veri taşınabilirliği hakkı, GDPR’ın 20. maddesinde yer verilmektedir. Hukuk uzmanları, bu kontrolün final halinde, “Madde 18’in (düzenlemede 20 olarak güncellenmiştir) şart koşulan, iki veri sorumlusunun veri taşınabilirliği, kapsamının dışına taşan” yaratılmış bir “yeni hak” görmektedirler.

11. Mahremiyete Göre Tasarım ve Standart Gizlilik

Mahremiyete Göre Tasarım ve Standart Gizlilik (Madde 25); ürün ve hizmetler için veri korumasının, iş süreçlerinin geliştirilmesi safhasında tasarlanmasını gerektirir. Bu; gizlilik (mahremiyet) ayarlarının varsayılan olarak yüksek bir seviyede düzenlenmesini ve veri sorumlusu tarafından, bütün veri işleme yaşam döngüsü boyunca regülasyona uygun olarak işlendiğinden emin olunması için, teknik ve prosedürel önlemlere dikkat edilmesini gerektirir. Veri sorumlusu kişisel verilerin, yalnızca belirli bir amaç için gerekli olduğunda işlenmesini sağlamak için, mekanizmalar da uygulamalıdır. ENISA (Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı) tarafından hazırlanan bir raporda, standart gizlilik (mahremiyet) ve veri koruması elde etmek için, neler yapılması gerektiğine dair klavuz bilgilere yer verilmiştir.

GDPR Notları # 2

Bu yazımızda GDPR’ın (Tüzük) getirdiklerini, Data Protection Directive’den (DPD) gelen yaklaşımları da dikkate alarak incelemeye devam edeceğiz.

Tüzük’ün getirdiği ve Veri Koruma Direktifi ile kıyaslandığında AB içinde faaliyet gösteren ya da AB içindeki bireylerin verilerini işleyen AB dışı firmaları etkileyecek değişiklikleri, aşağıdaki şekilde özetleyebiliriz:

Yasanın uygulanması

Direktifin aksine Tüzük, tüm AB üyesi ülkelerde, ulusal parlamentoların herhangi bir müdahalesi olmaksızın, doğrudan geçerli hale geliyor.

AB içinde kurulu firmalar için geçerli olması nedeniyle Direktifle benzeşse de Tüzük, yeni düzenlemenin muhataplarının sadece veri sorumluları ile sınırlı olmamasıyla önemli oranda ayrışıyor, yeni gerekliliklerin pek çoğu veri işleyenler için de aynı düzeyde geçerli kılınıyor ki bu durum bilginin yaşam döngüsündeki her bir fonksiyon ve uğradığı durağın uyumluluğuna verilen öneme ışık tutuyor.

AB dışında kurulu işletmeler

Tüzük’ün AB dışında kurulu işletmeler için geçerliliği konusunda, kanun koyucular, Direktif’te bulunan AB tabanlı işleme ‘ekipmanlar’ına yönelik referansları ortadan kaldırıyor.

Bunun yerine Tüzük’ün AB dışında kurulu işletmeler için geçerlilik durumu, ilgili kişinin lokasyonuna bağlı olarak belirleniyor.

Tüzük, bir işletmenin kişisel veri kullanımının AB içindeki bireylere ürün ya da hizmet sunulmasıyla ya da söz konusu bireylerin AB içindeki davranışlarının incelenmesiyle bağlantılı olduğu her durumda geçerliyken, bu işlemlerin ödeme gerektirmesi ya da gerektirmemesi herhangi bir kriter olarak kabul edilmiyor.

Tüzük’ün 24 sayılı Gerekçesinde (Recital), ilgili kişilerin internette, özellikle kişisel tercihlerini analiz ya da tahmin etme amaçlı olarak izlenmesinin Tüzük’ün geçerliliğini tetikleyeceği konusunda detaylı bilgiler verilmiştir. Takip çerezleri ya da kullanım bilgisi toplayan uygulamaların kullanıldığı hemen her web sitesini Tüzük’e tabi kılan bu tedbir, kuralların uygulama alanının ne kadar geniş bir ölçekte arttığının göstergesidir.

Bireylere, kendi verilerini yönetme olanağı

Bu konu tüm Tüzük metninde genel bir tema olarak göze çarpıyor ve verinin kullanımına yönelik ‘rıza’ güçlendirmesi ile Direktif’e kıyasla daha da vurgulanıyor. Rızanın, verinin kullanımı için dayanak olarak gösterilebilmesi için çok yüksek standartları karşılaması ve belirli şartların üstesinden gelmesi gerekiyor. Bu doğrultuda bazı çok kesin noktalardan söz edilebilir:

o           Rıza, kişisel verilerin kullanımı ile sözleşme/anlaşma koşulları kapsamındaki diğer konular arasındaki ayrım açıkça belirtilmedikçe süreç ve koşullar kapsamına dahil edilemez, bunlarla birleştirilemez.

o           Rıza, herhangi bir anda geri çekilebileceği gibi bu konu rızanın alınmasından önce bireylere kolay ve anlaşılır biçimde açıklanmalıdır.

o           Ürün ya da hizmet karşılığı bir zorunluluk olarak talep edilen Rıza, özgürce verilmiş olarak kabul edilmeyebilir.

o           16 yaşından küçük kişilerin kişisel bilgilerinin kullanımı için vasi rızası gerekliliği her bir üye devletin kendi takdirine bırakılmış olup bu durum, çocukların verileri söz konusu olduğunda uyumluluğun ülke bazında incelenmesini gerektirecektir.

Bireyler için yeni ve daha güçlü haklar

Yeni Tüzük kapsamında bireyler, daha güçlü haklarla kendi verileri üzerinde daha fazla kontrole sahip oluyorlar. Bireylere sağlanan bu yeni hakların bazıları aşağıdaki gibidir:

o           Daha ayrıntılı şeffaflık yükümlülükleri – Tüzük, verilerin toplandığı esnada ya da makul bir süre içinde bireylere sağlanması zorunlu olan bilgi kategorilerini çoğaltıyor. Ayrıca bu bilgilerin açıklanması esnasında ilgili kişinin şahsına uygun olarak açık ve sade bir dil kullanılması, hatta verilerin bir çocuktan alınıyor olması halinde bildirimin bir çocuk tarafından anlaşılacak şekilde düzenlenmesi gerekiyor.

o           Verinin taşınabilirliğine, işlemenin sınırlanmasına, unutulmaya ve profil oluşturulmasına yönelik yeni haklar.

Taşınabilirlik hakkı, kişilere, bilgilerin bir sözleşme kapsamında ya da rızaya dayanarak bireyin kendisinden temin edildiği hallerde, işletmeye sağladıkları bilgileri ‘yapılandırılmış, genel olarak kullanılan ve makine tarafından okunabilir’ biçimde alma hakkı getiriyor. Bundan başka, verilerin, belirli durumlarda ve teknik olarak mümkün olması halinde bir işletmeden diğerine aktarılmasına yönelik genel bir hak da sağlanıyor.

o           Erişim, düzeltme, silme (unutulma), itiraz hakları gibi Mevcut direktifte de bulunan halihazırdaki hakların elde tutulması. İlgili kişilerin erişim talepleri karşılığında ücret talep etme hakkı ‘açıkça aşırı’ olduğu haller dışında kaldırılmıştır.

Yeni bir hesap verebilirlik düzeni

İşletmeleri veri uygulamalarıyla ilgili olarak daha fazla hesap verebilir hale getiren çeşitli bazı gereklilikler ise Tüzükte göze çarpan yenilikler arasında yer alıyor. Uyumluluğun gösterilebilmesi ve bu konuda şeffaf olmakla ilişkili olan hesap verebilirlikle gelen yeni sorumluluklar arasında aşağıdakiler sayılabilir:

o           Kuruluşun veri işleme faaliyetlerinin Tüzük ile uyumluluğunu temin etmek üzere veri koruma politikaları ve tedbirlerinin uygulanması.

o           Tasarımda ve varsayılan olarak veri koruma.

o           Veri sorumluları ve veri işleyenlerin kayıt tutma yükümlülükleri

o           Veri sorumluları ve işleyenlerin denetleyici kurumlarla iş birliği yapması

o           Doğası ve kapsamı gereği bireyler için belirli riskler teşkil eden operasyonlara ilişkin veri koruma etki değerlendirmelerinin (DPIA) gerçekleştirilmesi.

o           Yüksek risk taşıyan durumlarda veri koruma kurul/otoritelerine danışılması

o           Kamu sektörü ve büyük veri işleme faaliyetleri için veri sorumluları ve veri işleyenlere yönelik zorunlu veri koruma sorumlularının (DPO) görevlendirilmesi.

Veri işleyenlerin yeni yükümlülükleri

Yukarıda da anlatıldığı gibi Direktif kapsamında yalnızca veri sorumluları için geçerli mevcut kurallara ilişkin önemli bir değişikliğin göstergesi olarak Tüzük, doğrudan hizmet sağlayıcılara (ör: veri işleyen) birçok uyumluluk yükümlülüğü ve muhtemel yaptırımlar getiriyor. En köklü değişikliklerden biri ise bir veri işleyenin, veri sorumlusu onayı olmadan herhangi bir hizmeti alt sözleşmeyle devredemeyecek olması. Tüzük, veri sorumluları ile yapılan sözleşmeler için kurala ilişkin koşullar eklenmesini gerektirirken birçok veri işleyen, işleme faaliyetlerinin kayıtlarını tutmak, uygun güvenlik önlemlerini uygulamak, belirli durumlarda bir DPO atamak, uluslararası veri aktarımı gereklilikleri ile uyumluluk sağlamak ve gerektiğinde denetleyici kurumlarla iş birliği yapmak durumunda kalıyor.

Uluslararası veri aktarımları

Direktif’te uluslararası veri aktarımını etkileyen mevcut sınırlamalar, Tüzük kapsamında da varlıklarını sürdürüyor. Komisyon tarafından resmen yeterli olduğu kabul edilen yasama bölgelerine aktarımların dışında gerek veri sorumluları gerekse veri işleyenler, AB dışına kişisel veri aktarımlarını yalnız uygun güvenlik önlemlerini aldıkları ve bireyler için uygulanabilir hakların yanı sıra, etkin yasal tazminatları sağladıkları takdirde gerçekleştirebiliyor.

Tüzük, bu tür aktarımları yasallaştırmak için kullanılan tedbirleri faydalı biçimde genişletirken, bu kapsama Bağlayıcı Kurumsal Kurallar (BCR) ve bir veri koruma kurumu tarafından benimsenmiş standart sözleşme maddelerinin yanı sıra, onaylı etik kurallar, onaylı bir sertifikasyon mekanizması ve ‘tutarlılık mekanizması’ olarak da bilinen, bir veri koruma kurumu tarafından onaylı ‘diğer sözleşme maddeleri’ni açıkça dahil ediyor.

Güvenlik

Tüzük kapsamında gerek veri sorumluları gerekse veri işleyenler, işlemekte oldukları kişisel verileri korumak üzere uygun teknik ve idari önlemleri uygulama yükümlülüğü altına giriyor.

Tüzük ayrıca, veri ihlallerinin, ‘gerçek kişilerin hak ve özgürlüklerine karşı risk teşkil etme olasılığının düşük olduğu’ haller dışında, fark edildikten sonraki 72 saat içinde ilgili veri koruma kurumuna bildirim gerekliliği getiriyor. Bireylerin zarar görme olasılığı yüksek olduğunda ise ayrıca kişilere bildirim yapılması da zorunlu tutuluyor.

Yürütme ve uyumsuzluk riskleri

Tüzük, bireylere, ihlal sonucu oluşacak maddi ve manevi hasarlar için tazminat alma hakkı veriyor. Bireylere ayrıca, kendilerini ilgilendiren veri koruma kurumu kararları karşısında yasal tazminat alma ve haklarını ihlal ederek Tüzük’le uyumsuzluğa düşen veri sorumluları ve veri işleyenlere karşı şikayette bulunma ve veri koruma kurumunun işlem yapmasını sağlama hakları tanınıyor. Bu haklar, bireyler adına tüketici taraflarca kullanılabiliyor.

Olası yaptırımların ciddiyet derecesinde önemli bir artış gözleniyor, şöyle ki söz konusu cezalar 20 milyon Euro’ya veya firmanın global gelirinin %4’üne kadar (hangisi daha yüksekse) çıkabiliyor. Bu durum aşağıdaki hükümlerin ihlalini içerebiliyor:

o           Rıza koşulları dahil, işlemenin temel ilkeleri;

o           İlgili kişi hakları;

o           Yasal uluslararası veri aktarımı koşulları;

o           Tüzük’ün izin verdiği durumlar için ulusal yasalar kapsamındaki belirli yükümlülükler;

o           Veri akışının durdurulması dahil olmak üzere veri koruma kurumları tarafından verilen emirler.