Son zamanlarda en sık aldığınız maillerin işiniz ya da okulunuz hakkındaki çalışmalarınız veya sosyal medya bildirimlerinize ilişkin olmadığına eminim. Zira 2018’in ilk aylarından bu yana, 
bankalar ve sosyal medya platformları başta olmak üzere, en ufak bir online alışveriş sitesi bile “Gizlilik politikamızı değiştirdik” şeklinde mailler gönderdi. Zaten kullanadurduğu verileriniz için bu kadar zaman sonra izninizi istedi. Önceden isteyip de gizleyemediğiniz veya erişim amacıyla paylaştığınız birtakım veriler için gizleme seçeneği getirildi. Yahut şifrenizi değiştirmeye, güvenli erişim için hem telefon numarası hem e-posta adresiniz yoluyla doğrulama mekanizmaları oluşturmaya yönlendirildiniz.
Peki madem bunca zamandır verileriniz bu kadar aleni ve güvensiz bir ortamda işleniyordu; ne değişti de sizin için güvenlik kalkanı oluşturmaya karar verdiler?
İşte bu sorunun cevabı, daha önceki yazılarımda pek çok kez bahsettiğim, ancak henüz yürürlüğe girmemiş olduğu için hakkında genel bir yazı yazamadığım Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 25 Mayıs 2018 itibariyle yürürlüğe girmesi.
Her ne kadar tüzüğün adı ‘Avrupa Birliği’ ile başlasa da, GDPR, Avrupa Birliği’ne üye veya tabi olmayıp yine burada hizmet veren şirketleri de etkileyecek nitelikte. 1995 yılında kabul edilmiş ve uygulanagelen yönetmelikten farklı olarak, kişisel veri yönetimi düzenlenmelerin çekirdeğini oluşturuyor. Önceden internette erişim bakımından özgürlüğün sağlanması çok daha ön plandaydı. Ancak şu an, değişen koşulların ve globalleşen dünyanın da etkisiyle, erişimin yanında unutulma hakkı, açık rıza, data portability (şahsa ilişkin verilere ulaşabilme) gibi önemli konular da düzenlendi.
İnternet devlerinin ve şirketlerin nasıl bu kadar kısa zamanda tüzüğe uyum sağlamak amacıyla değişikliğe gittiğine hayret edebilirsiniz. Çünkü tüzüğün müzakereleri noktasından virgülüne uzun bir süreci kapsasa da, metnin son hali bu kadar uzun süredir varlığını göstermiyordu. Buna rağmen şirketler çok çabuk uyum sağladı veya uyum sağlamak için kaydadeğer adımlar attı.
Fakat bu kadar hayret etmeye gerek yok. Tüzük dahilinde korunan kişisel verinin herhangi bir yolla ihlali halinde, şirketin karşı karşıya kalacağı idari para cezası, global konsolide cirosu üzerinden 20 milyon Euro’ya kadar veya hangi miktarın ihlale oranla daha ağır olduğu gözetilmek kaydıyla global konsolide cirosunun yüzde 4’ü olarak öngörülmüş. Takdir edersiniz ki, ucunda böyle bir mali yaptırım olunca, şirketlerin bu kadar hızlı uyum sağlaması veya en azından sağlamaya çalışması kaçınılmaz oluyor.
Peki, GDPR ile gelen değişiklikler nelerdir? Şirketler için getirilmiş zorunluluklar ve biz kullanıcılar için getirilen yeni imkanlar nedir?
Belirli şirketlere veri koruma görevlisi (DPO) atanması zorunlu kılındı. Böylece, çalışanlara verilerin korunması hakkında eğitim vererek ve verilerin işlenmesi sürekli olarak denetlenerek veri kaybının en aza indirgenmesi hedeflendi.
Kullanıcıların verilerinin işlenmesine vereceği onay açık rıza koşuluna bağlandı. Yani sessiz kalmanız veya o hizmeti almaya, programı kullanmaya, siteye girmeye devam etmeniz, verinizin depolanmasına ve işlenmesine izin verdiğiniz anlamına gelmez. Örneğin, çerez kullanımını işlediğim yazımda da açıkladığım üzere, ilgili siteye giriş yapmanız, sitede dolaşmanız, alışveriş yapmanız; çerezlere izin verdiğinizi göstermez. Çerezlere izin verdiğinizi açıkça onaylamanız gerekir. Aksi halde veri güvenliğiniz ihlal edilmiş olacaktır.
Kişisel verilerin işlenmesi verilen rızanın bağlayıcı olabilmesi için, rıza gösteren kimsenin en az 16 yaşında olması icap eder. AB üyesi ülkelerce bu sınır 13 yaşa kadar düşürülebilir. Fakat bu yaş sınırının altında kalan çocuklar bakımından verinin işlenmesine yönelik geçerli rızayı ancak velileri verebilir.
Veri işlemcilerinin işledikleri verilerden yasal sorumlulukları vardır. Dolayısıyla işlenen her verinin usulünce işlendiği belgelendirilmelidir. Doğal olarak her verinin belgelendirilmesi şirketler açısından ekstra zaman ve maliyete neden olacaktır. Mesela Facebook’un GDPR’a uyum kararı almasıyla, Goldman Sachs’in yayınladığı istatistiğe göre bu karar Facebook’a yıllık gelirinin yarısı oranında mal olacak ve 2 milyarı aşan üye sayısının yüzde 70’i bu düzenlemeden etkilenecek.
Veri koruma etki değerlendirmeleri için veri işleme haritası oluşturulmalıdır. Daha açık bir anlatımla, bir şirket verileri işlerken bu verileri nasıl topladığı, nasıl işlediği, nasıl dağıttığı konusunda bir eylem planı dahilinde hareket etmelidir. Veri akışını ortaya koymalıdır. Böylece verileri işlerken ihlal edilme olasılığı en aza indirgenecektir. Dolayısıyla GDPR’da öngörülen koruma modeli, esas itibariyle şirketlerin kendi risklerini gözeterek ve en az riski aldıkları bir plan dahilinde hareket etmeleridir.
Şirketler yalnızca ihtiyacı oranında veri toplamalı ve işlemelidir. Veri azaltımı (data minimization) olarak ifade edilen bu metot, bireylerin verilerinin gerekmedikçe toplanmamasını ve riske atılmamasını amaçlar.
Kullanıcılar kendilerine ait veriye ulaşma ve o veriyi kullanmak üzere başka platformlara taşıyabilme imkanına sahip olmalıdır. Yani sizden alınan bir veri nasıl işleniyor, nerede bulunuyor, kimler tarafından erişilebiliyor – bunların hepsine bir o verinin sahibi sıfatıyla ulaşabilmeli (right to access) ve o veriyi iletebilmelisiniz (data portability).
Eğer verilere yönelik bir ihlal söz konusuysa ve risk teşkil ediyorsa, 72 saat içinde veri sahibine bildirilmesi zorunludur.
Kullanıcıların unutulma hakkı (right to be forgotten) vardır. Unutulma hakkı, kişisel verileri silme, verilerin daha fazla yayılmasını durdurma ve verilerin üçüncü taraflarca işlenmesini durdurmayı kapsar. Kullanıcılar paylaşılan verinin artık güncel ve kamu yararına olmadığını, kaldırılmasında haklı yararı olduğunu ileri sürerek o verinin kaldırılmasını talep edebilir.
Sonuç olarak, Avrupa Birliği Genel Veri Koruma Tüzüğü, 1995 yılından bu yana yürürlükte olan yönetmeliğin aksine, verilerin işlenmesini daha ağır koşullara tabi tutmuştur. Veri sahiplerinin de aktif katılımıyla, verilerin daha sıkı denetlenmesi amaçlanmıştır. Yukarıda kısaca açıkladığım kavramları sonraki yazılarımda teker teker ele almayı hedefliyorum.
*Tüzüğün tamamlanmış ve yürürlükteki metni için: https://gdpr-info.eu/
KAYNAKÇA:
- http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
- https://www.eugdpr.org/key-changes.html
- http://www.tuted.org.tr/tr/haber/ab-veri-koruma-yonergesi-geliyor
- http://izto.org.tr/demo_betanix/uploads/cms/yonetim.ieu.edu.tr/6695_1525260241.pdf
