25 Mayıs 2018’de reel olarak hayata geçecek Genel Veri Koruma Tüzüğü uyarınca, AB mahremiyet yasasındaki en çarpıcı değişikliklerden biri, AB’nin kullanıcı rızalarına olan çok katı yaklaşımdır. Uzun yıllardır AB’de faaliyet gösteren şirketler, ilgili veri koruma, mahremiyet ve doğrudan pazarlama yasalarına uyumu; yoğun şekilde kullanıcı onayı (açık rıza) üzerine dayandırarak sağlamaktaydı. GDPR ilk kez yayımlandığında ise, AB’nin, açık rıza izin kullanımlarında fertlere adil davranılmadığının, sömürüldüğünün hissedildiği alanlarda çok sert yaptırımlar uygulayacağı ortaya çıktı.
Önümüzdeki dönem yeni adı European Data Protection Board (EDPB) olacak olan (Working Party) WP29, diğer bir deyişle AB’nin ulusal veri koruma makamlarını temsil eden kilit danışma organı olan WP29, tarafından 18 Aralık’ta yayımlanan taslak açık rıza rehberi, regülatörlerin açık rıza yaklaşımlarının kati ve sert olacağını bir kez daha doğrulamıştır. Okumaya değer olan rehbere dair, zamanı olmayanlar için bazı önemli noktaları burada yer veriyoruz.
- Açık rızalar paket-le-ne-mez. Aksine, rızalar ayrıntılı olarak sunulmalıdır. Verilerin işleneceği her bir amaç için ayrı bir onay gerekecektir. WP29 bunun da bireylere uzun checkboxlar listesi ile rutin olarak sunulması durumunda kolayca tıklama yorgunluğuna (gönüllü onayın geçerliliği hakkında şüphe uyandırmaya) yol açabileceğini kaydediyor, ve bunun veri sorumluları için bir problem olacağını öngörüyor.
- Kişisel verilerin kullanımlarına “gereğinden fazla” açık rıza verilmesi, bir hizmete erişim için bedel olarak kullanılamaz. Bu, GDPR’nin, davranışsal reklamcılık veya diğer pazarlama amaçları için kullanılan, kişisel verilere erişim karşılığında ücretsiz hizmetler (ücretsiz bir uygulama gibi) sağlamaktaki yaygın ticari modeli geçersiz kıldığına dair önemli bir işaret olarak görülmektedir.
- GDPR kapsamında; artık özel nitelikli kişisel verilerin işlenmesi için gereken “açık” rıza, “normal” rıza için zaten sıkı olan standarttan daha güçlü bir şey gerektiriyor. Rehber, bir opt-in kutusunu tıklamak ve daha sonra rızanızı onaylamak için bir metne veya e-postaya olumlu yanıt vermek gibi kullanıcı tarafından ilave bir doğrulama adımı içeren çeşitli mekanizmalar önermektedir. Kullanıcıların, fazladan atılması gereken bu adımları ve ekstradan oyalanmalarını memnuniyetle karşılayıp karşılamayacakları belli olmasa da WP29 gerçekten “açık rıza” düzeyine erişebilmek için “daha fazla” bir şeyler olması gerektiğini savunuyor.
- Veri sorumluları, kişisel veriyi işlemek için hukuki dayanaklarını önceden belirlemelidir ve işleme için ilk dayanak kusurluysa, dayanaklar arası “geçiş yapılamaz“. Başka bir deyişle veri sorumluları; belirlenmiş bir veri işleme prosesi için, “yedek” dayanaklara sahip olamaz, bu veri işleme faaliyetleri sözleşme performansı, meşru menfaat veya rızanın gerekliliği gibi birden fazla dayanakla yapılmış olsa bile…
Her zamanki gibi yazımızın son kısmı bildiğiniz üzere Peter Drucker’dan geliyor:
“Geleceğin Toplumu’ndaki kuruluşlarda şirket, üst yönetimden ibaret olacaktır. Diğer her şey dışarıdan temin edilebilir. Kuruluşunuzun değerlerine, misyonuna ve vizyonuna odaklanın. Diğer her şeyi dışarıdan temin etmeyi düşünün.”
Yani “Do what you do best and outsource the rest.”