Makale

Avrupa kıtasında yaklaşık yarım asırlık bir geçmişe sahip olan Avrupa veri koruma hukuku, teknolojinin hızla gelişmesiyle birlikte sürekli bir devinim içinde olmuştur. Veri koruma alanındaki yasal gelişmelerin ikinci dalgası olarak anılan 95/46/AT Sayılı Direktif, üye ülkeler arasında kişisel verilerin serbest dolaşımını ve bireylerin temel haklarının korunmasını amaçlamış olsa da, zamanla gelişen bilişim teknolojileri ve ulusal mevzuatlardaki farklı uygulamalar nedeniyle yetersiz kalmıştır. Bu hukuki boşlukları gidermek ve Avrupa'yı dijital çağa uygun hale getirmek amacıyla Veri Koruma Reformu hayata geçirilmiştir. Bu reformun temelini oluşturan ve üçüncü dalga olarak kabul edilen Genel Veri Koruma Tüzüğü, 25 Mayıs 2018 tarihinde doğrudan uygulanmaya başlayarak veri koruma standartlarını baştan aşağı yenilemiştir. GDPR, yalnızca üye devletler içindeki veri işleme faaliyetlerini yeknesaklaştırmakla kalmamış, aynı zamanda getirdiği devrim niteliğindeki inovasyonlarla küresel çapta şirketlerin veri politikalarını yeniden şekillendirmelerine neden olmuştur.

GDPR'ın Uygulama Alanındaki Genişleme ve Ülkedışılık Prensibi

Yürürlüğe giren yeni tüzük ile gelen en çarpıcı inovasyonlardan biri, düzenlemenin coğrafi uygulama alanındaki olağanüstü genişlemedir. Önceki yasal çerçevede veri koruma kuralları temel olarak veri sorumlusunun Avrupa Birliği sınırları içinde yerleşik olması kuralına dayanırken, yeni sistemle birlikte ülkedışılık prensibi hukuk sistemine entegre edilmiştir. Bu ilke uyarınca, veri sorumlusu veya veri işleyicisi AB sınırları dışında yerleşik olsa dahi, eğer Avrupa Birliği'nde ikamet eden veri öznelerine mal veya hizmet sunuyorsa kurallara tabi olacaktır. Aynı şekilde, AB içindeki bireylerin internet üzerindeki hareketlerinin çerezler veya hedefli reklamcılık gibi yöntemlerle gözlemlenmesi faaliyetleri de bu devasa kapsamın içine alınmıştır. Ayrıca, Avrupa Birliği alanında fiziki olarak bulunmayan ancak bu kapsama giren kuruluşların, otoritelerle yasal iletişimi sağlamak üzere mutlak surette bir AB temsilcisi atama zorunluluğu getirilmiştir. Bu stratejik yaklaşım, küresel dijital ekonomide hukuki standartların evrensel bir nitelik kazanmasını sağlamıştır.

Yeni Veri Koruma Hakları ve Veri Öznelerinin Güçlendirilmesi

Veri öznelerinin yasal haklarının güçlendirilmesi, veri koruma reformunun merkezinde yer alan bir diğer önemli meseledir. Avrupa Adalet Divanı'nın meşhur arama motoru kararıyla içtihadi olarak yarattığı ve bireylerin geçmişteki olumsuz veya ilgisiz verilerinin dijital hafızadan silinmesini sağlayan AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı, ilk kez yazılı bir hukuki metne derç edilerek güvence altına alınmıştır. Bunun yanı sıra, bireylere sağlanan verilerini bir platformdan diğerine kolayca ve makine tarafından okunabilir bir formatta aktarabilme imkânı sunan veri taşınabilirliği hakkı da yasal bir çerçeveye oturtulmuştur. Öte yandan, kişisel verilerin hukuka uygun işlenebilmesi için aranan rıza şartı çok daha katı kurallara bağlanmıştır. Veri öznesinin rızasının, açık, spesifik, bilgilendirilmiş ve pozitif bir eylemle ortaya konulması zorunlu hale getirilmiştir. Sessiz kalmak veya önceden işaretlenmiş dijital onay kutucukları artık geçerli bir açık rıza olarak kabul edilmemekte; kişinin profillenmesi gibi otomatik sistemler aracılığıyla aleyhe sonuç doğuran işlemlere itiraz etme hakkı en üst düzeyde korunmaktadır.

Kurumsal Sorumluluklar ve Önleyici Veri Koruma Mekanizmaları

Bilişim ve veri koruma hukukundaki bir diğer majör devrim, kurumsal hesap verilebilirlik ve önleyici koruma mekanizmalarında yaşanmıştır. Önceki mevzuatın aksine güncel hukuk sistemi, yalnızca veri sorumlularını değil, aynı zamanda onlar adına hareket eden veri işleyicilerini de doğrudan yasal muhatap kabul ederek müteselsil bir sorumluluk rejimi kurgulamıştır. Teknolojik gelişmelerin getirdiği riskleri olay gerçekleşmeden tespit etmek amacıyla, yüksek risk taşıyan veri işleme faaliyetleri öncesinde Veri Koruma Etki Değerlendirmesi yapılması kesin bir yasal zorunluluk haline getirilmiştir. Ayrıca, hukuki ve teknik süreçlerin en başından itibaren güvenli kurgulanmasını emreden tasarımla veri koruma ve varsayılan ayarlarla veri koruma prensipleri yasal sisteme kodlanmıştır. Bu sağlamlaştırma stratejisi kapsamında, kamu kurumları ile büyük ölçekte hassas veri işleyen organizasyonların bünyelerinde mesleki bağımsızlığa sahip bir Veri Koruma Görevlisi atamaları mecbur kılınarak, uyumluluk süreçlerinin sürekli olarak iç denetimden geçirilmesi hedeflenmiştir.

Ağır İdari Yaptırımlar ve Veri İhlali Bildirimleri

Yeni yasal düzenlemenin uluslararası alanda bu denli büyük bir etki yaratmasını ve caydırıcılığını sağlayan en önemli enstrüman, şüphesiz idari para cezalarının eşi görülmemiş ölçekte artırılmış olmasıdır. Kanun koyucu, küresel teknoloji devlerinin kişisel veri ihlallerini basit bir işletme maliyeti olarak görmesinin önüne geçmek adına çok ciddi mali ve idari yaptırımlar kurgulamıştır. Bu bağlamda caydırıcı yaptırım ve kriz anı bildirim sistemi şu şekilde tasarlanmıştır:

• İdari yükümlülüklerin veya etki değerlendirmesi gibi usulü kuralların ihlali durumunda, şirketin küresel cirosunun %2'sine veya 10 milyon Euro'ya kadar idari para cezası uygulanabilmektedir.
• Açık rıza şartının ihmal edilmesi, temel veri işleme ilkelerine aykırılık veya veri öznelerinin temel haklarının ihlali durumunda bu ceza miktarı, şirketin küresel cirosunun %4'üne veya 20 milyon Euro'ya kadar ulaşabilmektedir.
• Herhangi bir veri ihlali durumunda, veri sorumluları bu sızıntıyı tespit ettikleri andan itibaren en geç 72 saat içinde yetkili bağımsız denetim makamına resmi bildirimde bulunmak zorundadır.
• Gerçekleşen ihlalin, bireylerin yasal hak ve özgürlükleri için yüksek bir risk teşkil etmesi durumunda, kurumsal itibar kaygısı güdülmeksizin durum gecikmeksizin doğrudan veri öznesine de raporlanmalıdır.