Avrupa Parlamento’su Nisan 2016 tarihinde Avrupa Birliği veri koruma yasasını kabul etmişti. Avrupa Birliğine üye olan tüm ülkelerin yasayı yürürlüğe koyması için 2 yıl süre tanınmıştı.
25 Mayıs 2018 tarihinde bu süre dolacak ve tüm ülkelerde yasa yürürlüğe girmiş olacak. Yani yasanın uygulanması zorunlu hâle gelecek.
2013 yılında Amerikan Ulusal Güvenlik Dairesi’nde (NSA) çalışan bilgisayar uzmanı Edward Snowden ABD’li internet şirketlerinin kullanıcılarının tüm kişisel verilerini NSA kurumuna ilettiğini açıklamıştı.
Bu gelişme üzerine Avrupa Parlamentosu, Avrupa Birliği Komisyonu ve Avrupa Birliği Bakanlar Konseyi ortak çalışma yaparak bu yasayı 3 yıl içinde hazırlamışlardı.
Yasa ile verilerin toplanması nasıl gerçekleşecek?
Yasa Avrupa Birliği içinde yaşayanlar için geçerli olacak.
Kişinin kendisinin onayı olmadıkça veya bilgilerin alınmasını zorunlu kılacak yasal düzenlemeler bulunmadığı haller haricinde hiçbir şirket ya da resmi kurum kişisel verileri toplamayacak. Şirketler ya da internet siteleri ve hizmetleri için veri toplanması kişinin net onayıyla mümkün olacak.
Kişisel verilerin toplanması için istenilen izinler açık ve net şekilde ifade edilecek. Ek olarak kutucuk şeklinde onay verilerek yapılan izin alınma işlemleri geçersiz sayılacak.
Verilen hizmet ve alınan izin ile alakalı kişisel veriler haricinde kişisel veriler kullanıcıdan istenemeyecek.
Unutulma hakkı nedir?
Yasa ile birlikte kullanıcı isterse kendisi hakkında toplanmış tüm verilerin tamamen silinmesini isteyebilecek. Kullanıcı başvurduğu takdirde şirketlerin bu verileri silmesi zorunlu olacak.
Şirketler kişisel verileri üçüncü taraflara iletemeyecek. Yani şirketin kendisi haricinde kimse bu verilere ulaşamayacak.
Ayrıca kullanıcıların kendisi hakkında tutulan kişisel verileri öğrenme hakkı bulunacak. Kişi başvurması halinde şirket o kişi hakkında tuttuğu tüm kişisel verileri kullanıcıya ücretsiz şekilde vermesi zorunlu olacak.
Şirketler ve resmi kurumlar veri büyüklüğü belli bir boyutu aştığında veri koruma temsilcisi çalıştırmak zorunda olacaklar. Veri koruma temsilcisi verilerin toplanması, taşınması, iletilmesi vb işlemlerde yasaya uygunluğu sürekli kontrol edecek.
Çocukların kişisel verilerinin kullanılma hakkını verme yaşı 13’ten 16’ya çıkarılmış oldu. Birçok uygulama ve siteye üye olma yaşı da böylece 16 yaşına yükselmiş olacak. Uygulama ya da site sahipleri yaş kontrolünü gerçekleştirmek zorunda olacaklar.
Tüm kişisel veriler Avrupa Birliği dışına aktarılmak istendiğinde bilgilerin aktarılacağı ülkede benzer bir veri koruma yasası varsa aktarım mümkün olabilecek. Ayrıca Avrupa Birliği ile veri aktarım anlaşmaları olmayan ülkelere de veri aktarımı mümkün olmayacak. ABD ile Avrupa Birliği arasındaki veri aktarım anlaşması 2015 yılında iptal edilmişti. Şu an için Avrupa Birliği ülkelerinden ABD’ye kişisel verileri aktarmak yasal olarak mümkün değil.
Tüm üye ülkelerde ulusal Veri Koruma Komisyonu kurulacak. Tüm ulusal komisyonlar Avrupa Veri Koruma Komisyonu’na bağlı olacak. Herhangi bir ihlal olduğunu düşünen kullanıcılar bu komisyonlardan herhangi birisine başvurabilecek.
Yasaya aykırı davrandığı tespit edilen şirketler dünya çapındaki yıllık cirolarının %4’üne kadar ya da 20 milyon Euro’ya kadar para cezasına çarptırılabilecek. Bu iki rakamdan hangisi büyükse ceza olarak o rakam uygulanacak.
Devlet kurumları ve yasal merciler mahkeme kararı alınmak şartıyla kişilerin kişisel verilerine ulaşabilecek. Ayrıca tanıklar ile suç mağdurlarının kişisel verilerinin daha iyi korunması yasal olarak zorunlu olacak.
25 Mayıs 2018 tarihinde yürürlüğe girecek olan yasa nedeniyle bugünlerde girilen e-mail hesapları ya da herhangi bir internet sitesi üyeliğinize girişte veri koruma sözleşmemizi yeniledik tarzında çok sık uyarılar görülüyor. Bu uyarıların görülme sebebi yasanın 25 Mayıs tarihinde uygulanmaya başlayacak olmasıdır.
Birçok site Avrupa Birliği üyesi dışındaki diğer ülkelerde de üyelerinin kişisel verileri koruma sözleşmesinde iyileştirmeler ya da değişiklikler yaptığı görülüyor. Bu yasa ile sadece Avrupa ülkeleri değil birçok ülkenin etkilendiği görülüyor.
Ülkemiz Avrupa Birliği üyesi olmadığı için bu yasa ülkemizi kapsamıyor. Fakat ülkemizdeki şirketlerin ya da site veya uygulamaların dikkat etmesi gereken bazı durumlar var. Örneğin siteniz üzerinden Almanya’da veya herhangi bir Avrupa Birliği üyesi ülkede yaşayan birisi işlem yaparsa bu yasaya göre o kişinin kişisel verilerine dikkat etmeniz gerekiyor. Yasa gereği şirket merkezi başka ülkede olsa da Avrupa Birliği içinde yaşayan birisiyle yapılan veri alışverişi yasa kapsamına alınıyor. Avrupa ülkelerine mal ya da hizmet satan veya iş yapan tüm Türk şirketleri de yasadan etkilenmiş olacaklar.
Notlar:
EU GDPR
Avrupa Birliği Genel Veri Koruma Yönetmeliği
European Union General Data Protection Regulation