Makale
Bu makale, kişisel verilerin uluslararası hukukta ve Avrupa Birliği hukukunda nasıl korunduğunu OECD rehber ilkelerinden Avrupa Konseyi sözleşmelerine ve özellikle GDPR (Genel Veri Koruma Tüzüğü) düzenlemelerine kadar hukuki bir perspektifle detaylı bir şekilde incelemektedir.
Uluslararası Normlar ve AB Hukuku Çerçevesinde GDPR
Bilişim teknolojilerinin hızla gelişmesi ve verilerin sınır ötesi aktarımının olağan bir süreç haline gelmesi, kişisel verilerin uluslararası ölçekte korunmasını zorunlu kılmıştır. İkinci Dünya Savaşı sonrası şekillenen insan hakları hukuku, öncelikle özel hayatın gizliliği kavramı üzerinden veri mahremiyetini teminat altına almaya çalışmış; ancak teknolojik ilerlemeler, kişisel verilerin korunması hakkının bağımsız bir hak olarak uluslararası metinlerde yer alması ihtiyacını doğurmuştur. Bu çerçevede uluslararası hukuk arenasında ilk somut adımlar, bağlayıcı olmayan tavsiye metinleri niteliğindeki kılavuzlarla atılmıştır. Sonrasında Avrupa Konseyi ve Avrupa Birliği tarafından üretilen bağlayıcı uluslararası sözleşmeler ve tüzükler, günümüzün modern veri koruma rejiminin temelini oluşturmuştur. Özellikle uluslarüstü bağlamda yürürlüğe giren genel veri koruma tüzüğü, yalnızca üye devletler için değil, küresel boyutta veri işleyen tüm aktörler için yepyeni yükümlülükler ve standartlar getirerek bilişim hukuku pratiklerinde adeta yepyeni bir çağ başlatmıştır.
Avrupa Konseyi ve Uluslararası Metinler
Uluslararası alanda kişisel verilerin korunmasına dair hukuki niteliği haiz ilk bağlayıcı metin, on Avrupa ülkesi tarafından kabul edilen otomatik işleme tabi tutulması karşısında bireylerin korunması hakkındaki sözleşmedir. Bu sözleşme, taraf devletlere kişisel verilerin adil işlenmesi, özel nitelikli verilerin yüksek koruma altına alınması ve sınır ötesi veri aktarımı alanında asgari standartların sağlanması gibi temel hukuki yükümlülükler getirmiştir. Gelişen teknolojik ihtiyaçlar doğrultusunda bu uluslararası metin modernize edilerek güncellenmiştir. Bununla birlikte, sözleşmede yer alan özel ve aile hayatına saygı hakkı düzenlemeleri, mahkeme içtihatlarıyla genişletilerek kişisel verilerin resmi makamlarca toplanması, arşivlenmesi ve gizliliğinin ihlal edilmesine karşı hukuki bir kalkan niteliği kazanmıştır. Bu durum, veri koruma hakkının insan hakları boyutuyla uluslararası normlardaki en güçlü ve sarsılmaz dayanaklarından birini oluşturmuştur.
Avrupa Birliği Hukuku ve Direktiflerden GDPR'a Geçiş
Avrupa Birliği, kişisel verilerin korunması alanında tek iç pazarın kurulabilmesi ve hizmetlerin serbest dolaşımını güvence altına almak için yeknesak bir hukuki altyapıya ihtiyaç duymuştur. Bu bağlamda yürürlüğe giren doksan beş tarihli yönerge, üye devletlerin veri koruma yasalarını uyumlaştırmayı hedeflemiş ve pek çok ulusal veri koruma mevzuatına temel esin kaynağı olmuştur. Aynı zamanda ilgili temel haklar şartı, kişisel verilerin korunmasını özel hayatın gizliliğinden bağımsız, başlı başına bir temel insan hakkı olarak tescil etmiştir. Ancak bulut bilişim sistemleri, sosyal medya platformları ve büyük veri uygulamalarındaki baş döndürücü gelişmeler, eski yönergenin yetersiz kalmasına yol açmıştır. Ayrıca uluslararası yargı mercilerinin verdiği kararlar ile siber gözetim faaliyetlerinin ifşası, verilerin daha sıkı korunmasına ve hesap verebilirlik ilkesinin artırılmasına yönelik ihtiyacı derinleştirmiştir. Tüm bu hukuki ve teknolojik gereksinimlerin kaçınılmaz bir sonucu olarak GDPR doğmuştur.
GDPR'ın Küresel Kapsamı ve Uygulama Alanı
Mevcut veri koruma tüzüğü, yürürlüğe girerek kişisel verilerin korunması hukukunda devrim niteliğinde kurallar bütünü getirmiştir. Bu regülasyonun en sarsıcı ve önemli hukuki özelliklerinden biri, ülke dışı uygulama yetkisine sahip olmasıdır. Veri sorumlusunun veya veri işleyenin Avrupa Birliği sınırları içinde kurulmuş olup olmamasına bakılmaksızın; doğrudan mal ve hizmet sunulması veya kişilerin davranışlarının profilleme yoluyla izlenmesi durumlarında tüzük hükümleri sınır ötesi olarak doğrudan uygulanır. Bu durum, dünyanın herhangi bir yerindeki dijital platformların, teknoloji şirketlerinin veya bulut tabanlı hizmet sağlayıcıların hedef kitleyle temas kurdukları anda küresel kurallara uyum sağlamalarını zorunlu kılmaktadır. Dolayısıyla, uluslararası ticaret yapan veya küresel çapta dijital hizmet sağlayan veri sorumluları, sadece kendi ulusal mevzuatlarına değil, uluslararası normların getirdiği katı denetim ve ağır hukuki yaptırım rejimine de tabi hale gelmiştir.
GDPR ile Getirilen Yenilikler ve Temel Yükümlülükler
GDPR, sadece kapsam açısından değil, aynı zamanda getirdiği yepyeni hukuki kurumlar ve ağır idari yaptırımlarla da bilişim hukukunu yeniden şekillendirmiştir. Veri işleme süreçlerinin şeffaflık ve hesap verebilirlik ilkeleri üzerine inşa edilmesini şart koşan bu tüzük, veri sorumlularına risk temelli bir yaklaşım benimsemelerini emreder. Özel nitelikli verilerin işlenmesi, tasarımdan itibaren veri koruma ilkesi ve ilgili kişi hakları GDPR ile daha güçlü bir yapıya kavuşturulmuştur.
GDPR ile bilişim hukukuna kazandırılan başlıca kavramlar ve yükümlülükler şunlardır:
- Açık rızanın sessiz kalma yoluyla değil, özgür, spesifik ve aktif bir eylemle alınması şarttır.
- Bireylerin verilerinin silinmesini isteme hakkı olan AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı ve verilerini yapılandırılmış formatta taşıma imkanı veren veri taşınabilirliği hakkı getirilmiştir.
- Yüksek riskli veri işleme faaliyetlerinde idari bir tedbir olarak veri koruma etki değerlendirmesi zorunludur.
- Kamu otoriteleri veya büyük çaplı veri işleyen şirketlerin, mevzuata uyumu denetleyecek bağımsız bir veri koruma görevlisi ataması şarttır.
- Herhangi bir veri sızıntısı durumunda denetim makamlarına en geç yetmiş iki saat içinde veri ihlali bildirimi yapılması yasal bir zorunluluktur.