Avrupa Birliği Genel Veri Koruma Yönetmeliği (EU-GDPR) 25 Mayıs 2018’den itibaren yürürlüğe girdi. Son günlerde posta kutunuzu işgal eden GDPR başlıklı e-postaların sebebi işte bu yönetmelik. Yönetmeliğe göre Avrupa Birliği sınırları içerisindeki internet son kullanıcılarının her türlü kişisel verisi koruma altına alındı. Yönetmeliğe uymayan şirketleri ise 20 milyon euroya varan ağır cezalar bekliyor. Yönetmelik her ne kadar Avrupa Birliği etiketi taşısa da muhatabı sadece Avrupa merkezli şirketler değil. Avrupa’ya hizmet sağlayan tüm şirketlerde yaptırıma tabi.
Bilindiği üzere şirketler, ortada hiçbir geçerli sebep olmadan kullanıcıların verilerini topluyor. Hatta kullanıcıdan izin almadan bu verileri satıyor. Veri satma/kaptırma skandallarına dair en yeni iki örnek; Yahoo’nun hacklenmesi ve Facebook – The Cambridge Analytica skandalı. Tabi bunlar sadece bilinenler. İşte Avrupa Birliği bu gidişe bir dur demek için, son kullanıcıyı koruma kalkanı altına alan bir sistem geliştirdi. O sistemin adı GDPR (General Data Protection Regulation) oldu.
GDPR NE YAPACAK?
GDPR, internet kullanıcılarının kişisel verileri yasal koruma altına alıyor ve internet kullanıcılarına genel olarak sekiz hak sunuyor.
1) Bilgilendirilme hakkı: Eğer bir şirket verilerinizi topluyorsa, net bir şekilde hangi verilerinizi topladığını bu verileri hangi amaçla kullanacağını, ne süre ve hangi koşullarda saklayacağını, paylaşılacaksa bilgilerin hangi üçüncü parti taraflarla paylaşılacağını bildirmek zorunda. Bu bilgiler toplanıyorsa, kullanım şartnamesi sayfanın görülebilir bir yerinde ve kullanıcıların anlayabileceği yalın dilde olmak zorunda.
2) Erişim hakkı: Bir kişi, şirket veya organizasyonun topladığı kişisel verilerin neler olduğunu görmek istiyorsa bu veriler kendisine bir ay içinde sunulacak.
3) Düzeltme hakkı: Bir kişi, şirketin elindeki verilerin geçersiz olduğunu beyan ediyorsa bu verilerin şirket tarafından düzeltilmesini talep edebilecek. Şirketler ve organizasyonlar bu isteği bir ay içinde uygulayacak.
4) Silinme hakkı: Bir kişi, şirketin elinde tuttuğu verilerin bazı şartlar altında silinmesini talep edebilecek. Örneğin bir son kullanıcı verilerinin artık kullanılmamasını istiyorsa veya ihtiyaç duyulmadığını düşünüyorsa verilerinin silinmesini talep edebilecek.
5) İşlem sınırlama hakkı: Eğer şirket ya da organizasyon ilgili kişiye ait verileri silemiyorsa silemediği bu verilerin kullanım hakkını sınırlayabilecek. Yani şirket silemediği kişisel verileri kafasına göre paylaşamayacak.
6) Veri taşınabilirliği hakkı: Kullanıcılar, kişisel verilerini bir servisten başka bir serviste kullanmak için alabilecek.
7) Objektif gerekçeler: Veriler hangi amaçla kullanılıyor olursa olsun, verilerin ne amaçla kullanıldığı bildirilmek zorunda. Eğer yasal nedenler veya toplumun faydası için toplanıyorsa bu durumda yasal nedenler açık ve net bir şekilde belirtilecek.
8) Otomatikleştirilmiş karar vermeye özne olmama hakkı: GDPR kapsamında bireylerin kendilerini ve verilerini etkileyen otomatik kararlar konusunda bir itirazda bulunabilmeleri veya açıklama yapabilmeleri için güvenlik önlemleri koyulacak.
GDPR’NİN MUHATABI KİM?
GDPR, Avrupa Birliği sakinlerini ilgilendiriyor ancak AB dışında kurulmuş olan (örneğin Türkiye) şirketlerin de AB vatandaşları ve kullanıcıları için GDPR’a uyum sağlamış olması bekleniyor.
Dijital reklamcılıkla alakalı olarak reklam verenler, ajanslar, reklam ağları, veri/teknoloji şirketleri ve birçok yayıncıyı ilgilendiriyor. Bu sektörde hizmet veren kuruluşların kendilerini GDPR’a uyumlu hale getirmesi gerekiyor.
Uyum sağlamayan kuruluşları ciddi yasal yaptırımlar bekliyor. GDPR’ı ihlal eden şirketler 20 milyon euro veya yıllık gelirlerinin yüzde 4’ü kadar (hangisi daha çoksa) para cezasına çarptırılabiliyor. Amazon ve Google gibi şirketleri göz önüne aldığımızda, yasanın ihlali konusunda milyarlarca dolarlık yasal tazminatlar caydırıcı olabiliyor.
GDPR TÜRKİYE VE TÜRK VATANDAŞLARI İÇİN NE ANLAMA GELİYOR?
GDPR yasal korunma hakkını Avrupa Birliği sakinleri ve vatandaşlarına (illa vatandaşı olması gerekmiyor) sunuyor. Türkiye de Amerika gibi bu yasal kapsama girmeyen ülkelerden biri fakat yönetmelik her ne kadar Avrupa Birliği etiketi taşısa da, yönetmeliğin muhatabı sadece Avrupa orijinli şirketler değil. Yönetmelik, vatandaş olsun ya da olmasın Avrupa’da ikamet eden tüm bireyleri koruma altına alıyor.
Örneğin, Almanya’da oturan, THY’nin internet sitesinden uçak bileti alan Suriyeli bir mültecinin hakları da bu yönetmelik kapsamında değerlendirilecek. Yönetmeliğe uymayan şirketlere 20 milyon euroya varan ağır cezalar kapıda. Yani GPDR Avrupa’ya hizmet sunan tüm şirketlerin başında Demokles’in kılıcı gibi sallanacak.
GDPR KÜRESEL STANDART HALİNE GELİYOR
Birçok şirket şimdiden GDPR’ı bir veri standardı olarak kabul etti. Şirketler, Avrupa Birliği sınırları dışında yaşayan kullanıcıları için de yönetmeliği uygulamaya başladı. Apple daha şimdiden tüm müşterilerini önümüzdeki birkaç ay içinde yönetmelik kapsamına alacağını bildirdi. Facebook ise ilk adım olarak GDPR korumasını AB dışındaki bazı kullanıcılar için de uygulayacağını açıkladı.
GDPR’A GÖRE KİŞİSEL VERİ NEDİR?
GDPR’da kişisel veri “tanımlanmış veya tanımlanabilir doğal kişiyle alakalı tüm veriler” olarak tanımlanıyor. Yani bir son kullanıcının adı, adresi, telefon numarası, sosyal güvenlik numarası, biyografisi, saç ve göz rengi, beden ölçüleri gibi tüm fiziksel özellik bilgilerinin tümü kişisel veri kapsamında yer alıyor. Öte yandan son kullanıcının eğitim, kariyer, aile, vergi, maddi bilgileri de kişisel veri kapsamında. Son kullanıcının arama motorlarındaki arama geçmişi, özel mesajları, konum bilgileri de tamamen kişisel veri olarak değerlendiriliyor. (İPA)
