25 Mayıs 2018 oldukça önemli bir gündü, çünkü Avrupa Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girdi. Tüzük, aslında sadece AB ülkelerini kapsıyor iken, içindeki tek bir maddeden dolayı tüm dünyada uygulanabilir hale geldi.
Önce, GPPR’ın ne olduğundan kısaca bahsetmek gerekir. Daha önce AB ülkelerinde kişisel verilerin korunması için model bir düzenleme olan 95/46/EC direktifi vardı. Direktifler, doğrudan bir konuyu düzenlemiyordu ve üye ülkelere kendi kanunları için yol gösteriyordu. Zamanla hem teknoloji gelişti hem de her üye ülkenin farklı bir uygulaması oluştu, uygulamalarda yeknesaklık ortadan kalktı.
GDPR ise üye ülkeler için model olarak kullanılan bir direktif olmaktan ziyade, tüm üye ülkelerde aynı anda yürürlükte olan ve bağlayıcı hükümler içeren bir düzenleme olarak ortaya çıktı. Avrupa Parlamentosu, 14 Nisan 2016’da kabul ettiği bu düzenlemenin 25 Mayıs 2018’te yürürlüğe girmesini kararlaştırdı ve aradaki süreyi de geçiş süreci olarak kabul etti.
Daha önceki direktiften farklı olarak GDPR bazı konularda daha nitelikli hükümler içeriyor. Örneğin, ihlal halinde 200 milyon Avro veya ilgili firmanın küresel gelirinin yüzde 4’ü gibi çok daha fazla ağır yaptırımlar getirilmiş. Ayrıca, verisi ihlal edilenler için tazminat davaları öngörülmüş.
GDPR,’li ama global firmalar için de yaptırımları var
Kullanıcıların kişisel verilerinin işlenmesi için vermiş olduğu “rıza” kavramı, “sessiz kalma” veya “itiraz etmemiş olma” durumundan çıkıp “açık, bilinçli, özgürce ve belirli bir amaca yönelik” olma durumuna yükselmiştir. Başka bir önemli yenilik ise, silme (unutulma) hakkıdır: Yani bireyler, bazı durumlarda kendisine ait verilerini silinmesini ve bir daha işlenmemesini isteme hakkına sahip olmuştur. GDPR çocuklara ait kişisel veriler hakkında düzenlemeler yapmış, çocuk verisinin işlenmesini velisinin iznine bağlı hale getirmiştir.
AB ülkelerinde yürürlüğe girmiş bir düzenleme, belirli koşullar altında, AB ülkesinde olmayan firmalar için de yaptırımlar içeriyor. Bundan dolayı, başta Facebook, Google, Yahoo vs. olmak üzere, global dev firmalar dahi politikalarını GDPR uyumlu hale getirmiş durumda. Eğer bir firma, merkezi veya şubesi AB sınırları içinde bulunmasa dahi, sunmuş olduğu mal ve hizmetleri AB üyesi ülke vatandaşlarına da sunuyorsa veya doğrudan sunuyor olmasa bile, mal ve hizmetleri AB ülkelerinin dilinde ve AB para biriminde sunuyorsa GDPR kapsamında kabul edilmektedir. Örneğin, Türkiye’de kurulu olmasına rağmen, Almanya’da ikâmet edenlere mal ve hizmet sunuluyorsa veya Euro üzerinden Almanca bir hizmet sunuluyorsa, tüm veri işleme faaliyetleri GDPR kapsamında kabul edilmektedir. Yani, herhangi bir ihlal halinde ise ağır para cezaları uygulanabilmektedir.
En çok merak edilen konu ise, Avrupa Veri Koruma Kurulu’nun keseceği cezaların bir başka ülke firmasına nasıl uygulanacağı. Kural olarak, bir ülke veya topluluk otoritesinin keseceği cezanın başka bir ülkede uygulanması, eğer ikili veya çok taraflı bir uluslararası anlaşma yoksa mümkün değil. Ancak, AB dışındaki bir firmanın malları AB sınırları içine girdiyse bu ürünlere el konulması, o firmanın AB içindeki tüm faaliyetlerinin engellenebilmesi mümkün. Bu sebeple, AB üyesi ülkelere mal ve hizmet sunuluyorsa GDPR hükümlerine tam uyumlu olmak gerekecek.
AB vatandaşı Türkiye’de hizmet aldığında GDPR’a tabi olacak mı?
Diğer merak edilen konu ise şu: Bir AB üyesi ülke vatandaşı, Türkiye’ye gelir ve Türkiye içinde mal ve hizmet satın alırsa ne olacak? Örneğin bir Fransız vatandaşı tatil için Türkiye’ye geldi, araba kiraladı ve otelde konakladı, bunun için de firmalar GDPR’a tâbi olacak mı? GDPR’ın Bölgesel Kapsam tanımına bakıldığında, AB üyesi ülke vatandaşlarına Türkiye’de hizmet veren Türk firmaları bile kapsama alanına girebilmektedir. Bu sebeple, özellikle turizm firmalarımızın ve e-ticaret firmalarının dikkat etmesi gerekecektir. Turizm sektöründe, “reklamasyon” denilen tazminat türünü düşündüğümüzde işler farklı noktalara gidebilecektir.
GDPR, yürürlüğe girmiş de olsa, kuşkusuz, uygulamasının oturması bir iki yılı bulacaktır. Ancak, önemli olan oturmasını beklemek değil, ilk örneklerden birisi olmamak. Bunun için yapılması gereken en önemli şey: Eğer AB üyesi ülke vatandaşlarına hizmet veriyorsanız, her türlü durum için uygun rızaları almak ve işlenen kişisel verilere saygılı olup hiçbir koşulda toplanma ve işlenme amacı dışında kullanmamak. Ayrıca yeteri kadar güvenlik önlemlerini almak da çok önemli. Zaten bu yükümlülükler 6698 sayılı kanunumuzda da var, ancak GDPR çok daha fazla sorumluluk getirmektedir.
Yorumlar