Anasayfa/ Makale/ Uluslararası Normlar ve AB Hukuku Çerçevesinde GDPR

Uluslararası Normlar ve AB Hukuku Çerçevesinde GDPR

Bu makale, kişisel verilerin uluslararası hukukta ve Avrupa Birliği hukukunda nasıl korunduğunu OECD rehber ilkelerinden Avrupa Konseyi sözleşmelerine ve özellikle GDPR (Genel Veri Koruma Tüzüğü) düzenlemelerine kadar hukuki bir perspektifle detaylı bir şekilde incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
UNUTULMA HAKKI ÖZEL HAYATIN GİZLİLİĞİ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Bilişim teknolojilerinin hızla gelişmesi ve verilerin sınır ötesi aktarımının olağan bir süreç haline gelmesi, kişisel verilerin uluslararası ölçekte korunmasını zorunlu kılmıştır. İkinci Dünya Savaşı sonrası şekillenen insan hakları hukuku, öncelikle özel hayatın gizliliği kavramı üzerinden veri mahremiyetini teminat altına almaya çalışmış; ancak teknolojik ilerlemeler, kişisel verilerin korunması hakkının bağımsız bir hak olarak uluslararası metinlerde yer alması ihtiyacını doğurmuştur. Bu çerçevede uluslararası hukuk arenasında ilk somut adımlar, bağlayıcı olmayan tavsiye metinleri niteliğindeki kılavuzlarla atılmıştır. Sonrasında Avrupa Konseyi ve Avrupa Birliği tarafından üretilen bağlayıcı uluslararası sözleşmeler ve tüzükler, günümüzün modern veri koruma rejiminin temelini oluşturmuştur. Özellikle uluslarüstü bağlamda yürürlüğe giren genel veri koruma tüzüğü, yalnızca üye devletler için değil, küresel boyutta veri işleyen tüm aktörler için yepyeni yükümlülükler ve standartlar getirerek bilişim hukuku pratiklerinde adeta yepyeni bir çağ başlatmıştır.

Avrupa Konseyi ve Uluslararası Metinler

Uluslararası alanda kişisel verilerin korunmasına dair hukuki niteliği haiz ilk bağlayıcı metin, on Avrupa ülkesi tarafından kabul edilen otomatik işleme tabi tutulması karşısında bireylerin korunması hakkındaki sözleşmedir. Bu sözleşme, taraf devletlere kişisel verilerin adil işlenmesi, özel nitelikli verilerin yüksek koruma altına alınması ve sınır ötesi veri aktarımı alanında asgari standartların sağlanması gibi temel hukuki yükümlülükler getirmiştir. Gelişen teknolojik ihtiyaçlar doğrultusunda bu uluslararası metin modernize edilerek güncellenmiştir. Bununla birlikte, sözleşmede yer alan özel ve aile hayatına saygı hakkı düzenlemeleri, mahkeme içtihatlarıyla genişletilerek kişisel verilerin resmi makamlarca toplanması, arşivlenmesi ve gizliliğinin ihlal edilmesine karşı hukuki bir kalkan niteliği kazanmıştır. Bu durum, veri koruma hakkının insan hakları boyutuyla uluslararası normlardaki en güçlü ve sarsılmaz dayanaklarından birini oluşturmuştur.

Avrupa Birliği Hukuku ve Direktiflerden GDPR'a Geçiş

Avrupa Birliği, kişisel verilerin korunması alanında tek iç pazarın kurulabilmesi ve hizmetlerin serbest dolaşımını güvence altına almak için yeknesak bir hukuki altyapıya ihtiyaç duymuştur. Bu bağlamda yürürlüğe giren doksan beş tarihli yönerge, üye devletlerin veri koruma yasalarını uyumlaştırmayı hedeflemiş ve pek çok ulusal veri koruma mevzuatına temel esin kaynağı olmuştur. Aynı zamanda ilgili temel haklar şartı, kişisel verilerin korunmasını özel hayatın gizliliğinden bağımsız, başlı başına bir temel insan hakkı olarak tescil etmiştir. Ancak bulut bilişim sistemleri, sosyal medya platformları ve büyük veri uygulamalarındaki baş döndürücü gelişmeler, eski yönergenin yetersiz kalmasına yol açmıştır. Ayrıca uluslararası yargı mercilerinin verdiği kararlar ile siber gözetim faaliyetlerinin ifşası, verilerin daha sıkı korunmasına ve hesap verebilirlik ilkesinin artırılmasına yönelik ihtiyacı derinleştirmiştir. Tüm bu hukuki ve teknolojik gereksinimlerin kaçınılmaz bir sonucu olarak GDPR doğmuştur.

GDPR'ın Küresel Kapsamı ve Uygulama Alanı

Mevcut veri koruma tüzüğü, yürürlüğe girerek kişisel verilerin korunması hukukunda devrim niteliğinde kurallar bütünü getirmiştir. Bu regülasyonun en sarsıcı ve önemli hukuki özelliklerinden biri, ülke dışı uygulama yetkisine sahip olmasıdır. Veri sorumlusunun veya veri işleyenin Avrupa Birliği sınırları içinde kurulmuş olup olmamasına bakılmaksızın; doğrudan mal ve hizmet sunulması veya kişilerin davranışlarının profilleme yoluyla izlenmesi durumlarında tüzük hükümleri sınır ötesi olarak doğrudan uygulanır. Bu durum, dünyanın herhangi bir yerindeki dijital platformların, teknoloji şirketlerinin veya bulut tabanlı hizmet sağlayıcıların hedef kitleyle temas kurdukları anda küresel kurallara uyum sağlamalarını zorunlu kılmaktadır. Dolayısıyla, uluslararası ticaret yapan veya küresel çapta dijital hizmet sağlayan veri sorumluları, sadece kendi ulusal mevzuatlarına değil, uluslararası normların getirdiği katı denetim ve ağır hukuki yaptırım rejimine de tabi hale gelmiştir.

GDPR ile Getirilen Yenilikler ve Temel Yükümlülükler

GDPR, sadece kapsam açısından değil, aynı zamanda getirdiği yepyeni hukuki kurumlar ve ağır idari yaptırımlarla da bilişim hukukunu yeniden şekillendirmiştir. Veri işleme süreçlerinin şeffaflık ve hesap verebilirlik ilkeleri üzerine inşa edilmesini şart koşan bu tüzük, veri sorumlularına risk temelli bir yaklaşım benimsemelerini emreder. Özel nitelikli verilerin işlenmesi, tasarımdan itibaren veri koruma ilkesi ve ilgili kişi hakları GDPR ile daha güçlü bir yapıya kavuşturulmuştur.

GDPR ile bilişim hukukuna kazandırılan başlıca kavramlar ve yükümlülükler şunlardır:

  • Açık rızanın sessiz kalma yoluyla değil, özgür, spesifik ve aktif bir eylemle alınması şarttır.
  • Bireylerin verilerinin silinmesini isteme hakkı olan unutulma hakkı ve verilerini yapılandırılmış formatta taşıma imkanı veren veri taşınabilirliği hakkı getirilmiştir.
  • Yüksek riskli veri işleme faaliyetlerinde idari bir tedbir olarak veri koruma etki değerlendirmesi zorunludur.
  • Kamu otoriteleri veya büyük çaplı veri işleyen şirketlerin, mevzuata uyumu denetleyecek bağımsız bir veri koruma görevlisi ataması şarttır.
  • Herhangi bir veri sızıntısı durumunda denetim makamlarına en geç yetmiş iki saat içinde veri ihlali bildirimi yapılması yasal bir zorunluluktur.
Şirketim Türkiye'de ama Avrupa'ya ürün satıyorum, Avrupa kurallarına uymak zorunda mıyım? expand_more
Evet, şirketinizin bulunduğu yerin hukuki yükümlülükleri dışında Avrupa Birliği normlarına da uymanız gerekir. Genel Veri Koruma Tüzüğü (GDPR), doğrudan mal ve hizmet sunmanız durumunda veya kullanıcıları profilleme yoluyla izlemeniz halinde sınır ötesi olarak doğrudan uygulanmaktadır. Dolayısıyla hedef kitlenizle temas kurduğunuz andan itibaren, sadece kendi ulusal mevzuatınıza değil uluslararası yaptırım rejimine de tabi olursunuz.
Sitemize giren kullanıcı sessiz kalırsa veri işlemeyi onaylamış sayılır mı? expand_more
Hayır, ilgili kişinin işlem karşısında sadece sessiz kalması geçerli ve hukuka uygun bir rıza beyanı olarak kabul edilmemektedir. Bilişim hukukuna kazandırılan yükümlülüklere göre; açık rızanın sessiz kalma yoluyla değil özgür, spesifik ve aktif bir eylemle alınması yasal bir şarttır. Veri işleme süreçleri şeffaflık ve hesap verebilirlik ilkeleri üzerine inşa edilmeli ve rıza mekanizması buna uygun olarak tasarlanmalıdır.
Siber saldırıya uğradık ve müşteri bilgilerimiz çalındı, derhal ne yapmalıyız? expand_more
Müşteri verilerinizin yetkisiz kişilerin eline geçmesi hukuken bir veri sızıntısı ihlalidir ve idari makamları bilgilendirme zorunluluğunuz bulunmaktadır. Mevzuata göre, herhangi bir veri sızıntısı durumunda denetim makamlarına en geç yetmiş iki saat içinde veri ihlali bildirimi yapılması yasal bir zorunluluktur. Aksi takdirde, katı denetim standartlarına aykırı hareket etmiş sayılır ve kurumunuz olarak ağır idari yaptırımlarla karşı karşıya kalabilirsiniz.
İnternet şirketlerindeki kişisel verilerimin tamamen silinmesini talep edebilir miyim? expand_more
Kesinlikle talep edebilirsiniz; zira verilerin korunması bağımsız ve temel bir insan hakkıdır. Uluslararası ve modern hukuk normlarına göre, bireylerin verilerinin silinmesini isteme yetkisi olan unutulma hakkı yasal olarak güvence altına alınmıştır. Ayrıca dilerseniz, verilerinizi yapılandırılmış formatta taşıma imkanı veren "veri taşınabilirliği" hakkınızı kullanarak bilgilerinizi kontrol edebilir veya başka platformlara taşıyabilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir