Makale

Hızla gelişen bilgi ve iletişim teknolojileri, kişisel verilerin işlenmesini ve uluslararası dolaşımını sınır tanımayan bir boyuta taşımıştır. Bu denli yoğun bir veri trafiği, kişilerin temel hak ve özgürlüklerini doğrudan tehdit edebilecek riskleri de beraberinde getirmiştir. Hukuk sistemlerinin bu teknolojik dönüşüme ayak uydurması zarureti sonucunda, Avrupa Birliği tarafından hazırlanan ve tüm dünyada etkisini gösteren Avrupa Birliği Genel Veri Koruma Tüzüğü yürürlüğe girmiştir. Önceki yıllarda uygulanan direktif metninin yetersiz kalması üzerine şekillenen bu tüzük, yalnızca Avrupa Birliği üye devletlerini değil, dünyanın dört bir yanındaki şirketleri etkileyen evrensel bir koruma mekanizması sunmaktadır. Bir bilişim hukuku avukatı olarak değerlendirdiğimizde düzenleme; kişisel verilerin tanımını genişleterek güvence altına almış, şeffaflık ve hesap verebilirlik ilkelerini merkeze oturtmuş ve ihlallere karşı daha önce görülmemiş ağırlıkta idari para cezaları öngörmüştür. Makalemizde, bu tarihi düzenlemenin maddi ve bölgesel uygulama alanı, hukuk dünyamıza kazandırdığı temel kavramlar ve veri koruma hukukunda yarattığı köklü yenilikler hukuki bir perspektifle detaylandırılacaktır.

GDPR'ın Maddi ve Bölgesel Kapsamı

GDPR'ın uygulanabilmesi için öncelikle veri işleme faaliyetinin tüzüğün çizdiği hukuki sınırlar içerisinde yer alması gerekir. Maddi kapsam bağlamında Tüzük, kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi ile otomatik olmasa dahi bir dosyalama sisteminin parçası olan işleme faaliyetlerine uygulanmaktadır. Ancak tamamen kişisel veya ev içi faaliyetler ile ulusal güvenliğe veya suçların soruşturulmasına ilişkin kamu makamlarınca yürütülen veri işleme süreçleri bu kapsamın dışında bırakılmıştır. Hukuki açıdan en büyük tartışmaları beraberinde getiren husus ise düzenlemenin bölgesel kapsamı olmuştur. GDPR, yalnızca Avrupa Birliği sınırları içinde kurulu olan veri sorumluları veya işleyenleri için değil; kuruluşu AB dışında olsa dahi AB içindeki kişilere mal veya hizmet sunan ya da onların davranışlarını izleyen şirketler için de doğrudan uygulama alanı bulmaktadır. Bu sınır ötesi uygulama yaklaşımı, uluslararası hukukta meşruiyet tartışmalarına yol açsa da fiiliyatta dünyadaki tüm küresel işletmelerin tüzüğe uyum sağlamasını zorunlu kılan en temel yasal kuraldır.

Tüzük'te Yer Alan Temel Hukuki Kavramlar

Veri koruma hukukunun omurgasını oluşturan hukuki tanımlar, GDPR metniyle dijital çağın teknolojik gelişmelerine entegre edilmiştir. Bu bağlamda en kritik hukuki terim olan kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak en geniş haliyle ifade edilmiştir. Yalnızca bireyin adı veya adresi değil; IP adresleri, çerezler ve lokasyon bilgileri gibi kişiyi dolaylı olarak tanımlanabilir kılan çevrimiçi tanımlayıcılar da kişisel veri statüsüne alınmıştır. Ayrıca Tüzük, tüzel kişileri açıkça koruma çemberinin dışında bırakarak sadece yaşayan gerçek kişilere odaklanmıştır. Bilişim hukuku uygulamalarında şirket uyum süreçlerinde sıkça merkeze alınan veri sorumlusu kavramı, veri işleme amaç ve araçlarını tek başına veya müştereken belirleyen, uyumluluktan nihai olarak sorumlu olan kişiyi ifade ederken; veri işleyen ise sorumlunun hukuki talimatları doğrultusunda kendi adına karar almadan hareket eden tarafı tanımlamaktadır. Bu kavramsal çerçevenin doğru yorumlanması, şirketlerin sözleşmesel sorumluluk paylaşımını hukuka uygun şekilde yapabilmeleri için hayati önem taşımaktadır.

GDPR'ın Veri Koruma Hukukuna Getirdiği Yenilikler

Tüzük, eski direktif döneminden kalan hukuki boşlukları ve uygulama farklılıklarını doldurmak amacıyla çok sayıda reformist düzenleme getirmiştir. Bunlardan ilki, hukuki enstrümanın niteliğiyle ilgilidir. Üye devletlerin inisiyatifine bırakılan direktif yapısından vazgeçilmiş, tüm AB ülkelerinde doğrudan bağlayıcı ve doğrudan uygulanabilir bir yeknesak tüzük modeli benimsenmiştir. Bu birleştirme hamlesi, sınır ötesi işlem yapan çok uluslu şirketler için tek bir otoriteyle muhatap olmayı sağlayan baş denetim makamı mekanizmasını hukuk sistemine kazandırmıştır. Ek olarak idari yaptırım gücü Avrupa Birliği tarihinde eşi görülmemiş seviyelere çekilmiştir; kuralları ihlal eden işletmelere yönelik küresel yıllık cirolarının yüzde dördüne veya yirmi milyon Euro tutarına kadar varabilen idari para cezaları kesilebilmesi kanunlaşmıştır. Bu sarsıcı durum, GDPR uygulamasını basit bir prosedürel mevzuat olmaktan çıkarıp, tüm ticari işletmelerin yönetim kurulları seviyesinde ciddiye alması gereken en yüksek düzeyde bir kurumsal ve finansal risk yönetimi unsuru haline getirmiştir.

Yeni Düzenlemeler ve Kurumsal Yükümlülükler Tablosu

Bilişim hukuku pratiğinde ticari faaliyetlerde adeta bir hukuki paradigma değişikliğine yol açan GDPR, teknolojik risklere karşı proaktif bir koruma kalkanı oluşturmuştur. Özellikle yüksek risk barındıran kompleks veri işleme süreçlerinde, faaliyete başlanmadan önce bir Veri Koruma Etki Değerlendirmesi yapılmasının zorunlu tutulması, Avrupa Birliği mevzuatının önleyici hukuk yaklaşımının en somut örneklerinden biridir. Öte yandan, bilgi toplumu hizmetleri bağlamında çocukların kişisel verilerine dair özel düzenlemelerin ve yaş sınırlarının getirilmesi de dijital çağın getirdiği sosyal zafiyetleri hukuken onarmayı hedeflemektedir. Tüzüğün hukuki sistemimize entegre ettiği, şirketlerin kurumsal uyum süreçlerini doğrudan etkileyen ve avukatlar olarak danışmanlık pratiğimizin merkezinde yer alan öne çıkan başlıca yenilikleri ve kavramsal kurumları aşağıdaki tabloda daha net bir şekilde görebilirsiniz: