Avrupa Birliği’nde yaklaşık 4 yıl süre gelen müzakereler neticesinde 14 Nisan 2016’da onaylanan Avrupa Birliği Veri Koruması Genel Regülasyonu ‘nun yürürlüğe girmesine bugün itibari ile yaklaşık 3 ay kalmış bulunmakta. 25 Mayıs 2018’de uygulanması ve kontrollerinin yasal olarak da yapılması beklenen Veri Koruma Avrupa Birliği Veri Koruması Genel Regülasyonu’nun kabulünden beri geçen yaklaşık iki senede, düzenlemeye tabii olan işletmelerin kendi işlev, operasyon ve veri tabanlı varlıklarını Avrupa Birliği Veri Koruması Genel Regülasyonu ‘na  uygun hale getirmeleri beklenmekteydi. Avrupa Birliği Veri Koruması Genel Regülâsyonu’ndaki maddelere uyum sağlamayan işletmeler en ağırı €20 Milyon olmak üzere ortalama olarak da yıllık cirolarının yüzde 2’sini ödemekle yükümlü olacaklar. Son 20 yılda yapılan değişikliklere oranla hem kesinliği ve radikalliği hem de ticari çıkardan çok kişisel veri mahremiyetine verdiği önem yeni Avrupa Birliği Veri Koruması Genel Regülâsyonu’nu dikkat çekici ve önemli kılmakta.

Avrupa Birliği Veri Koruması Genel Regülâsyon’un hem işletmelerin hem de kişilerin hayatlarında ticari, yasal ve sosyal bağlamda neler değiştireceğini anlayabilmek için, kişisel veri kavramının anlaşılması bu noktada önem arz ediyor: Kişisel veri, toplumda tabii herhangi bir kişiye bağlı herhangi bir bilgiye bağlanabiliyorsa, o kişi yasanın gözünde bir veri tebaasıdır. Bu ilişkili bilgi, bir isim bir fotoğraf veya bir IP adresi dahi olabilir. Bu da Avrupa Birliği Veri Koruması Genel Regülasyonu’nun etki alanını oldukça genişletmektedir. Eğer ki eldeki bilgi GDPR altında kişisel veri olarak değerlendiriliyorsa, eldeki verinin belli bir kişiyi tespit etme kabiliyeti olmalıdır.

GDPR’ın en dikkat çeken özelliklerinden biri de, hassas ve bir kişinin teşhis edilebilmesine imkan veren herhangi bir bilgi veya veriyi elinde tutan ve işleyen bir kuruluşun, bir Veri Koruma Görevlisi ataması gerektiğidir. Bu görevli, bir veri ihlali durumunda haberdar edilecektir ki veri ihlalleri son yıllarda aynı Yahoo tabanında bulunan 3 milyar kimliğin çalınması gibi birçok örneğine tanık olduğumuz tehditler oluşturmuştur. Eğer ki gerçekleşen veri ihlali saldırısı platformda kişisel verileri bulunan bireylerin hak ve özgürlüklerini herhangi şekilde riske atıyorsa, Veri Koruma Görevlisi bu veri ihlalinden işletme yetkilileri tarafından 72 saat içinde haberdar edilmelidir. Bu GDPR tarafından öngörülen ilk veri tebaası hakkıdır.

Öngörülen başka bir hak ise erişim hakkıdır. Bu hak, veri tebaasını kendisine ait olan verinin nerede, nasıl, ne zaman ve ne şekilde işlendiği ve tutulduğu hakkında bilgilendirme talebini iletme imkanı verir ve işletme kişiyi bu konuda bilgilendirmek durumundadır. Kişi aynı zamanda işlenen verinin işlenme sürecinin elektronik format halinde bir kopyasını talep etme hakkını saklı tutar. Bu düzenleme, doğal olarak veriyi işleyen ve kontrol eden işletmeleri daha şeffaf olmaya itmesi de, kişilerin bireysel verilerinin kullanımına dair hissettikleri güven duygusunun güçlenmesine yöneliktir.

Diğerlerine göre daha ilginç fakat daha muallak olan bir hak da ‘unutulma hakkıdır. Bu hak verinin asıl sahibine, veriyi işleyen tutan ve kontrol eden kuruluşun elindeki veriyi sildirme hakkı verir, sonuçta da verinin üçüncü veya diğer bir tarafça kullanımını engeller ve yasaklar. Bu hak aynı zamanda verinin en başta kullanımı için verilen muvafakatin geri çekilmesi talebi ile de kullanılabilir. Unutulma hakkının muallak yanı ise veri tebaasının ilettiği unutulma talebi durumunda veriyi elinde tutan işletmeye tanınan kanaat düzeyi hakkındadır. Böylesi bir durumda, veriyi elinde tutan ve kontrol eden kurum, unutulma talebini ‘verinin halka açık mevcudiyetindeki kamu çıkarı’ ile birlikte değerlendirmek durumundadır.

GDPR son 20 yıl içinde veri düzenlemeleri arasında yapılan en köklü ve önemli değişiklik olması ile göze çarpıyor. GDPR, eskiden daha yaygın bir zihniyet olan ticari etkinlik ve kabiliyetlere odaklı ve herhangi bir veri ihlalinde belirli zararlara ve risklere yol açabilecek olan kişisel aidiyetin özen ve değeri aleyhine yapılan kar odaklı uygulamalarda tercihsel bir kaymaya işaret etmesi ile dikkat çekmektedir.  Türkiye’deki kurumlar için ise önemi hiç şüphesiz ki AB uyum sürecinde yakın zamanda benzer uygulamaların ülkemizde de yürürlüğe girebileceği ve yine hali hazırda özellikle AB üyesi ülkelerde kayıtlı kişilere yönelik mal ve hizmet sağlayan şirketlerin GDPR’a uyum gerekliliklerinin sağlanması noktasında odaklanmaktadır.

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone