Genel Veri Koruma Tüzüğü (GDPR) Hakkında Bilinmesi Gerekenler
İnternet çağı, online güvenliğin sağlanması gerekliliğini de beraberinde getirmektedir. Her bir ayrıntının gelişen teknolojiye uygun olarak düzenlenmesi ve hukukun bu hıza paralel şekilde bir koruma sağlaması bireyler için büyük önem taşımaktadır. Kişisel verilerin korunmasına dair önceki çalışmaların yanı sıra, veri trafiğinin de yoğun olduğu Avrupa’da bir süredir konuya dair çalışmalar yapılmaktaydı. Avrupa İnsan Hakları Sözleşmesinin 8. maddesiyle koruma altına alınan özel hayatın gizliliği ve ailenin korunması hakkı ile AB Temel Haklar Şartı’nın 7. maddesinde yer alan özel hayat ve aile hayatına saygı hakkı, ayrıca 8. maddede açıkça düzenlenen kişisel verilerin korunması hakkını temel alan 95/46 sayılı eski Direktif bu amaca hizmet etmekteydi.
Ancak verinin kullanımı ve rolünün hızla değişmesi öncelikle düzenleyici çerçevede bir değişimi, yani Direktif’in güncellenmesi ihtiyacını doğurmuştur.[1]

Schrems‘in Facebook’un kişisel verileri koruma taahhütlerine aykırı hareket ettiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne açtığı dava, Gonzalez‘in Google İspanya ve Google'a karşı “unutulma hakkı”na dair hukuksal mücadelesi, kişisel verilerin korunmasındaki yetersizliklere örnek olmuştur. Konuya dair yapılan çalışmalar sonucunda ise, Avrupa Konseyi ve Avrupa Komisyonu’nun hazırladığı Genel Veri Koruma Tüzüğü (General Data Protection Regulation, GDPR) Nisan 2016’da Avrupa Parlamentosu tarafından onaylanarak kabul edilmiş, iki senelik bir uyum süreci sonrası 25 Mayıs 2018’de uygulanmaya başlanmıştır.
Tüzüğün önceki metninde[2] olduğu gibi kişilerin internette kendilerine ait veriler üzerinde tam kontrole sahip olması esası benimsenmiş durumda. Buna karşın bazı yenilikler de karşımıza çıkıyor:
- Gizlilik politikalarının kişilere aktarılması: Verilerin işlenebilmesi veri sahiplerinin buna açık rıza vermiş olmasına bağlıdır. Bu rıza ise kişilerin kendilerine ait verilerin işlenmesine onay verdiğini yazılı, sözlü ya da elektronik bir biçimde ortaya koydukları müddetçe geçerli olacaktır. Özetle, gizlilik politikalarının veri sahiplerine açık ve anlaşılabilir nitelikte aktarılmış ve onaylarının alınmış olması gerekmektedir.[3]
- Taşınabilirlik hakkı: Kişilere ait verilerin saklandığı sunucularda bir değişiklik olduğunda, bu kişilere ait veri sorumlularının da (kontrolör) herhangi bir engellemesi olmaksızın kişilerin bu verileri başka bir kontrolöre iletme hakkı bulunmaktadır.[4]
- Yeni “unutulma hakkı” kavramı: Veri sahiplerinin hem kendilerinin hem de veri sorumlularının aracılığıyla kendi hesaplarını ve verilerini silme veya sildirme hakkı bulunmaktadır. Bu hakkın kullanılması elbet bazı şartlara bağlıdır. Verilerin işlenmesinde bir yasal neden bulunmaması, verilerin işlenme amacının geçerliliğini kaybetmesi veya verilerin işlenme sürecinde hukuka aykırılıklar bulunması gibi sebepler ile unutulma hakkının kullanılması mümkündür.[5]
- Veri ihlallerinin bildirilmesi: Veri sorumluları kişisel verilerin güvenliğini tehlikeye düşürecek bir durumu öngördükten yahut tespit ettikten sonra 72 saati geçirmemek koşulu ile kişisel verilerin ihlalini denetleyen kuruma bildirmekle sorumlu tutulmaktadır.[6]
- Veri Koruma Etki Değerlendirmesi: Veri işleme faaliyetlerimin amaç ve kapsamı bunun yanında işlemenin yapıldığı çevre veri sorumlularının hak ve özgürlükleri için tehlike oluşturacak ise kişisel verilerin korunması adına değerlendirme raporları ile belirli kriterler çizilerek veri işleme süreci gerçekleştirilebilecektir.[7]
- İtiraz hakkı: Veri sahibinin kendi özel durumu ile ilgili gerekçelere dayanarak profil çıkarma da dahil olmak üzere kendi kişisel verilerinin işlenmesine herhangi bir zamanda 6(1)’e dayanarak itiraz etme hakkı bulunmaktadır. Buna karşı olarak kontrolör işleme sürecinin yapılması için zorlayıcı meşru gerekçeler göstermediği sürece bu kişisel verileri işleyemez.[8]
- İdari para cezası ve kanun yolları:Bu mevzuata aykırı olarak işlemlerini gerçekleştiren firmalar tespit edildiğinde yıllık cirolarının %4’üne varan oranda idari para cezasına çarptırılabilir. Buna ek olarak, maddi manevi zarara uğrayan herkes bu firmalardan tazminat talep etme hakkına sahiptir.[9]
- Davranışların İzlenmesi: GDPR hükümleri, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması durumunda uygulanacaktır. Burada dikkat edilmesi gereken bir nokta ise, AB dışında faaliyet gösteren şirketlerin da tüketici/kullanıcı hedefleri AB içinde ise GDPR’de anılan “davranışların izlenmesi” deyimi ile GDPR’ye tabii olacaklardır.


GDPR, 95/46 no’lu Direktif’le kıyaslandığında birçok açıdan daha kapsamlı düzenlemeler getirmiştir. Yeni düzenleme ile getirilen değişikliklerin Türkiye’deki mevcut Kişisel Verilerin Korunmasına Dair 6698 sayılı Kanun’a yansıtılması da gerekli olacaktır. Ayrıca Türkiye’de AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin de yukarıda anılan “davranışların izlenmesi” kavramı sebebi ile bu Tüzüğe uygun hareket etmesi gerekmektedir. Bunun doğal sonucu ise Türkiye’de 6698 sayılı Kanun’un değişen teknoloji ve gerekliliklere uyumlulaştırılmasının kaçınılmazlığıdır.
[1] Ayşe Nur Akıncı, “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi”, T.C. Kalkınma Bakanlığı Çalışma Raporu – 6, s.10
[2]AB 95/46/EC No’lu Direktif
[3] (GDPR) Genel Veri Koruma Tüzüğü, Mad. 7
[4] (GDPR) Genel Veri Koruma Tüzüğü, Mad. 20
[5](GDPR) Genel Veri Koruma Tüzüğü, Mad. 17
[6] (GDPR) Genel Veri Koruma Tüzüğü, Mad. 33
[7] (GDPR) Genel Veri Koruma Tüzüğü, Mad.35
[8] (GDPR) Genel Veri Koruma Tüzüğü, Mad.21, 22
[9] (GDPR) Genel Veri Koruma Tüzüğü, Mad.58, 83
KAYNAKÇA
Ayşe Nur Akıncı, “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi”, T.C. Kalkınma Bakanlığı Çalışma Raporu – 6
Nurullah Tekin, Kişisel Verilerin Korunması ile İlgili Türkiye'deki Kanun Tasarısının AB Veri Koruma Direktifi Işığında Değerlendirilmesi, 2014
http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
https://www.eugdpr.org/key-changes.html
[zombify_post]
0 Yorum