Anasayfa/ Makale/ Avrupa Birliği Veri Koruma Hukuku ve GDPR İle Gelen İnovasyonlar

Avrupa Birliği Veri Koruma Hukuku ve GDPR İle Gelen İnovasyonlar

Avrupa Birliği veri koruma hukuku, 95/46/AT sayılı Direktif'ten 2016/679 sayılı Genel Veri Koruma Tüzüğü'ne (GDPR) geçişle büyük bir dönüşüm yaşamıştır. Bu makale, GDPR ile hukuk sistemine entegre edilen unutulma hakkı, veri taşınabilirliği, idari para cezaları ve ülkedışılık prensibi gibi devrim niteliğindeki inovasyonları incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
VERİ İHLALİ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK AÇIK RIZA UNUTULMA HAKKI

Avrupa kıtasında yaklaşık yarım asırlık bir geçmişe sahip olan Avrupa veri koruma hukuku, teknolojinin hızla gelişmesiyle birlikte sürekli bir devinim içinde olmuştur. Veri koruma alanındaki yasal gelişmelerin ikinci dalgası olarak anılan 95/46/AT Sayılı Direktif, üye ülkeler arasında kişisel verilerin serbest dolaşımını ve bireylerin temel haklarının korunmasını amaçlamış olsa da, zamanla gelişen bilişim teknolojileri ve ulusal mevzuatlardaki farklı uygulamalar nedeniyle yetersiz kalmıştır. Bu hukuki boşlukları gidermek ve Avrupa'yı dijital çağa uygun hale getirmek amacıyla Veri Koruma Reformu hayata geçirilmiştir. Bu reformun temelini oluşturan ve üçüncü dalga olarak kabul edilen Genel Veri Koruma Tüzüğü, 25 Mayıs 2018 tarihinde doğrudan uygulanmaya başlayarak veri koruma standartlarını baştan aşağı yenilemiştir. GDPR, yalnızca üye devletler içindeki veri işleme faaliyetlerini yeknesaklaştırmakla kalmamış, aynı zamanda getirdiği devrim niteliğindeki inovasyonlarla küresel çapta şirketlerin veri politikalarını yeniden şekillendirmelerine neden olmuştur.

GDPR'ın Uygulama Alanındaki Genişleme ve Ülkedışılık Prensibi

Yürürlüğe giren yeni tüzük ile gelen en çarpıcı inovasyonlardan biri, düzenlemenin coğrafi uygulama alanındaki olağanüstü genişlemedir. Önceki yasal çerçevede veri koruma kuralları temel olarak veri sorumlusunun Avrupa Birliği sınırları içinde yerleşik olması kuralına dayanırken, yeni sistemle birlikte ülkedışılık prensibi hukuk sistemine entegre edilmiştir. Bu ilke uyarınca, veri sorumlusu veya veri işleyicisi AB sınırları dışında yerleşik olsa dahi, eğer Avrupa Birliği'nde ikamet eden veri öznelerine mal veya hizmet sunuyorsa kurallara tabi olacaktır. Aynı şekilde, AB içindeki bireylerin internet üzerindeki hareketlerinin çerezler veya hedefli reklamcılık gibi yöntemlerle gözlemlenmesi faaliyetleri de bu devasa kapsamın içine alınmıştır. Ayrıca, Avrupa Birliği alanında fiziki olarak bulunmayan ancak bu kapsama giren kuruluşların, otoritelerle yasal iletişimi sağlamak üzere mutlak surette bir AB temsilcisi atama zorunluluğu getirilmiştir. Bu stratejik yaklaşım, küresel dijital ekonomide hukuki standartların evrensel bir nitelik kazanmasını sağlamıştır.

Yeni Veri Koruma Hakları ve Veri Öznelerinin Güçlendirilmesi

Veri öznelerinin yasal haklarının güçlendirilmesi, veri koruma reformunun merkezinde yer alan bir diğer önemli meseledir. Avrupa Adalet Divanı'nın meşhur arama motoru kararıyla içtihadi olarak yarattığı ve bireylerin geçmişteki olumsuz veya ilgisiz verilerinin dijital hafızadan silinmesini sağlayan unutulma hakkı, ilk kez yazılı bir hukuki metne derç edilerek güvence altına alınmıştır. Bunun yanı sıra, bireylere sağlanan verilerini bir platformdan diğerine kolayca ve makine tarafından okunabilir bir formatta aktarabilme imkânı sunan veri taşınabilirliği hakkı da yasal bir çerçeveye oturtulmuştur. Öte yandan, kişisel verilerin hukuka uygun işlenebilmesi için aranan rıza şartı çok daha katı kurallara bağlanmıştır. Veri öznesinin rızasının, açık, spesifik, bilgilendirilmiş ve pozitif bir eylemle ortaya konulması zorunlu hale getirilmiştir. Sessiz kalmak veya önceden işaretlenmiş dijital onay kutucukları artık geçerli bir açık rıza olarak kabul edilmemekte; kişinin profillenmesi gibi otomatik sistemler aracılığıyla aleyhe sonuç doğuran işlemlere itiraz etme hakkı en üst düzeyde korunmaktadır.

Kurumsal Sorumluluklar ve Önleyici Veri Koruma Mekanizmaları

Bilişim ve veri koruma hukukundaki bir diğer majör devrim, kurumsal hesap verilebilirlik ve önleyici koruma mekanizmalarında yaşanmıştır. Önceki mevzuatın aksine güncel hukuk sistemi, yalnızca veri sorumlularını değil, aynı zamanda onlar adına hareket eden veri işleyicilerini de doğrudan yasal muhatap kabul ederek müteselsil bir sorumluluk rejimi kurgulamıştır. Teknolojik gelişmelerin getirdiği riskleri olay gerçekleşmeden tespit etmek amacıyla, yüksek risk taşıyan veri işleme faaliyetleri öncesinde Veri Koruma Etki Değerlendirmesi yapılması kesin bir yasal zorunluluk haline getirilmiştir. Ayrıca, hukuki ve teknik süreçlerin en başından itibaren güvenli kurgulanmasını emreden tasarımla veri koruma ve varsayılan ayarlarla veri koruma prensipleri yasal sisteme kodlanmıştır. Bu sağlamlaştırma stratejisi kapsamında, kamu kurumları ile büyük ölçekte hassas veri işleyen organizasyonların bünyelerinde mesleki bağımsızlığa sahip bir Veri Koruma Görevlisi atamaları mecbur kılınarak, uyumluluk süreçlerinin sürekli olarak iç denetimden geçirilmesi hedeflenmiştir.

Ağır İdari Yaptırımlar ve Veri İhlali Bildirimleri

Yeni yasal düzenlemenin uluslararası alanda bu denli büyük bir etki yaratmasını ve caydırıcılığını sağlayan en önemli enstrüman, şüphesiz idari para cezalarının eşi görülmemiş ölçekte artırılmış olmasıdır. Kanun koyucu, küresel teknoloji devlerinin kişisel veri ihlallerini basit bir işletme maliyeti olarak görmesinin önüne geçmek adına çok ciddi mali ve idari yaptırımlar kurgulamıştır. Bu bağlamda caydırıcı yaptırım ve kriz anı bildirim sistemi şu şekilde tasarlanmıştır:

  • İdari yükümlülüklerin veya etki değerlendirmesi gibi usulü kuralların ihlali durumunda, şirketin küresel cirosunun %2'sine veya 10 milyon Euro'ya kadar idari para cezası uygulanabilmektedir.
  • Açık rıza şartının ihmal edilmesi, temel veri işleme ilkelerine aykırılık veya veri öznelerinin temel haklarının ihlali durumunda bu ceza miktarı, şirketin küresel cirosunun %4'üne veya 20 milyon Euro'ya kadar ulaşabilmektedir.
  • Herhangi bir veri ihlali durumunda, veri sorumluları bu sızıntıyı tespit ettikleri andan itibaren en geç 72 saat içinde yetkili bağımsız denetim makamına resmi bildirimde bulunmak zorundadır.
  • Gerçekleşen ihlalin, bireylerin yasal hak ve özgürlükleri için yüksek bir risk teşkil etmesi durumunda, kurumsal itibar kaygısı güdülmeksizin durum gecikmeksizin doğrudan veri öznesine de raporlanmalıdır.
İnternetteki eski ve kötü haberlerimi sildirme hakkım var mı? expand_more
Evet, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile birlikte bu tür talepleriniz hukuki bir zemine kavuşmuştur. Avrupa Adalet Divanı'nın arama motoru kararlarıyla ortaya çıkan ve ilk kez yazılı metne alınan "unutulma hakkı" sayesinde, geçmişte kalan veya artık ilgisiz hale gelen kişisel verilerinizin dijital hafızadan silinmesini isteyebilirsiniz. Bu hak, bireylerin dijital dünyadaki itibarını ve mahremiyetini güvence altına alarak istenmeyen verilerin kalıcı olarak kaldırılmasını sağlamaktadır.
Sitelerdeki hazır işaretli onay kutucukları yasal mı? expand_more
Hayır, güncel veri koruma hukuku standartlarına göre önceden işaretlenmiş dijital onay kutucukları veya sessiz kalmak yasal ve geçerli bir onay olarak kabul edilmemektedir. Yasa koyucu, kişinin verilerinin işlenebilmesi için alınacak açık rızanın kesinlikle aktif ve pozitif bir eylemle ortaya konmasını şart koşmuştur. Ayrıca, kullanıcının spesifik ve bilgilendirilmiş bir rızası olmadan verilerinin otomatik sistemlerle profillenmesi işlemi açık bir ihlal olup, buna karşı hukuken en üst düzeyde itiraz etme hakkınız bulunmaktadır. Bu kurallara uyulmaması şirketler için yüksek idari yaptırımlara yol açabilmektedir.
Şirketim Türkiye'de ama Avrupa'ya satış yapıyorum, GDPR'a uymalı mıyım? expand_more
Kesinlikle uymalısınız, zira GDPR düzenlemesiyle birlikte "ülkedışılık prensibi" devreye girmiş olup coğrafi sınırlar büyük ölçüde aşılmıştır. Veri sorumlusu veya işleyicisi olarak Avrupa Birliği sınırları dışında bulunsanız dahi, eğer AB içerisinde ikamet eden kişilere mal veya hizmet sunuyorsanız bu kanunun kapsamına girersiniz. Aynı şekilde, çerezler veya hedefli reklamlar vasıtasıyla AB içindeki kullanıcıların hareketlerini gözlemliyorsanız yine bu kurallara tabisiniz. Hukuki ve cezai bir yaptırımla karşılaşmamak adına, Avrupa'daki otoritelerle irtibatı sağlayacak bir AB temsilcisi atamanız mutlak bir zorunluluktur.
Şirketimiz hacklendi ve müşteri verileri çalındı, ne yapmalıyım? expand_more
Böylesi bir veri ihlali tespit ettiğiniz andan itibaren en geç 72 saat içerisinde yetkili bağımsız denetim makamına resmi olarak durumu bildirmekle yükümlüsünüz. Eğer gerçekleşen sızıntı, etkilenen müşterilerin yasal hak ve özgürlükleri bakımından yüksek bir risk barındırıyorsa, kurumsal itibarınızı düşünmeden gecikmeksizin doğrudan veri öznelerine de (müşterilerinize) durumu raporlamanız yasal bir emirdir. Bu bildirim prosedürlerine veya veri güvenliği önlemlerine uyulmaması halinde, şirketinizin küresel cirosunun %2'sine veya ihlalin boyutuna göre %4'üne (20 milyon Euro'ya kadar) ulaşabilen ağır idari para cezalarıyla karşı karşıya kalabilirsiniz. Hukuki süreci derhal ve mevzuatın emrettiği şeffaflıkta yönetmeniz gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir