Genel Veri Koruma Yönetmeliği (General Data Protection Regulation)

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) Azra KOR - 21 April 2022 - Comments

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation)

Avrupa Genel Veri Koruma Tüzüğü olan GDPR, AB çerçevesi altındaki kişilerin kişisel verilerini koruma amaçlı 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. GDPR’ın koruma kapsamı yalnızca Avrupa Birliği vatandaşları nezdinde değil Avrupa Birliği’nde ikamet eden bütün vatandaşlar kapsamındadır. Teknolojinin gelişmesi ile akıllı iletişim araçlarının hayatın içerisine daha çok dahil olduğu, kişisel verilerin işlenmesi noktasında mesafelerin artık önem teşkil etmediği bu çağda AB nezdinde kişisel verileri koruma adına yönetmeliğin içine aldığı alan ve kişilerinin genişletilmesi ile çözüm bulunulmaya çalışılmıştır. Türkiyede faaliyet gösteren bir şirketin müşterisi Avrupa Birliği sınırları içerisinde ikamet eden biri olduğu sürece AB sınırları içerisindeki şirket kadar sorumlu tutulacak ya da Amerika Birleşik Devletlerindeki bir kişi AB sınırları içerisindeki bir kişinin kişisel verilerini ihlal ettiği takdirde sorumluluğu kendi vatandaşı olduğu ülke ya da ikamet ettiği ülke nezdinde sınırlı kalmayacak, GDPR gereği sorumlu tutulacaktır. Yönetmelikte kişisel verinin nasıl işlenebileceği açıkça ifade edilmiş olması sebebi ile kişi ve kuruluşlar bu kapsamda veri işleyebilir ya da ilgili kişinin açık rızası ile bu faaliyette bulunabilir aksi takdirde veri ihlali ortaya çıkacak ve GDPR’a göre de sorumlu olacaktır. İlgili kişinin açık rızası her zaman geri alınılabilir bir rızadır, kişi rızasını geri aldığı takdirde geçmişe yönelik açık rızası ile işlenen verileri de silinmek zorundadır. GDPR’ın yükümlülük ve sorumluluklarının kapsamı hem gerçek kişi hem de kurum ve kuruluşlardır. Özellikle kurum ve kuruluşların yükümlülük ve sorumluluklar konusunda herhangi bir yaptırıma maruz kalmaması adına kişisel verilerin işlenmesi ve veri ihlali noktasında bu sürecin nasıl yönetileceğine dair eğitimler düzenlemeli ve tüzüğe uygun prosedür geliştirmelidir. Temel olarak veri işleme faaliyetinde kişilerin açık rızası, veri ihlali durumunda açıkça bu ihlalin bildirilmesi, toplanan verilerin güvenliği için anonimleştirilmesi, GDPR ile uyumlu faaliyet gösterilmesi adına kurum ve kuruluşların veri koruma görevlisi ataması gibi konulara dikkat etmesi gerekir. GDPR’da yapılan güncelleme ile şu an gerçek kişi ya da tüzel kişiliğin konumu dikkate alınmaksızın AB’de ikamet eden kişilerin verilerini işleyenler GDPR hükümlerine tabidir. Burada önemli olan nokta tamamen işlenen veri ve ilgili kişinin ikamet ettiği yerdir. Türkiyede faaliyet gösteren bir şirketin GDPR nezdinde sorumlu olması için şubesinin AB sınırları içerisinde olması, AB sınırları içerisinde bu faaliyeti göstermesi gerekmez sadece ilgili kişinin Avrupa Birliğinde ikamet etmesi yeterlidir. Avrupa Birliği içerisindeki müşteri kitlesi ile çalışan şirketler verileri GDPR ile uyumlu işlemek zorundadır aksi takdirde hem kendi ticari hayatındaki namı zedelenecek hem de ciddi yaptırımlar ile karşılaşacaktır. Türkiyede GDPR ile uyumlu KVKK bu noktada nerededir diyecek olursak faaliyeti gösteren gerçek veya tüzel kişi hem AB sınırları içerisindeki kişilerin verilerini işlediği için GDPR ile hem de Türkiyede kurulan ve faaliyet gösteren bir şirket olması sebebi ile KVKK ile sorumlu tutulacaktır. Günümüz dünyasında kişiler kendi kişisel verilerini gerek bilinçli gerek bilinçsiz birçok geri dönüşü olmayan platformlarda paylaşmaktadır ve bu sebeple kişisel verilerle alakalı ülkelerin kendi çıkardıkları yönetmelik ya da yürürlükteki kanunları veya GDPR gibi etkisi geniş yer ve kişilere uzanan yönetmelikler son derece önemli bir noktadadır. İşlemlerin uygulamalar üzerinden yapıldığı bu çağda eğer uygulamanın kullanıcısı AB sınırları içerisinde ise uygulama geliştiriceleri GDPR ile uyumlu çalışmak zorundadır. Son günlerde gündemde olan WhatsApp’ın yeni gizlilik güncellemesinin Avrupaya değil Türkiye gibi ülkelere dayatılma sebebi de tam olarak buradan gelmektedir çünkü GDPR Avrupa Birliği ülkelerindeki vatandaşlarını kişisel verilerinin daha çok işlenmesine sebep olacak bu güncellemeye karşı korumaktadır. GDPR’ı her gerçek ve tüzel kişi bilmeli ancak AB ile mal ve hizmet akışı sağlayan şirketlerin bilmekten öte uyumlu faaliyetler göstermesi önemlidir. Coğrafi olarak geniş bir alanı kapsamına alan GDPR, günümüz dünyasında kişisel verilerin korunması noktasında hem uygulama alanının genişliği hem şekli olarak hem de ülkelerin kendi ulusal hukukları nezdinde yapacakları düzenlemelere, kanunlara, yönetmeliklere veya uluslarası sözleşmelere temel oluşturmaktadır. Dünya her gün değişiyor, dönüşüyor takiben de değiştiriyor ve dönüştürüyor. Kişisel veri olarak nitelendirilen her verinin 50 yıl önce tekabül ettiği kavramlarla şu anki kavramları aynı değerlendirmek mümkün değil ve bunun en önemli sebebi ise “İnternet Çağı” içinde yaşıyor olmamızdır. Bu çağın en önemli getirisi ve kavramı olan “İnternet Ağı” sadece gerçek kişinin değil tüzel kişiliklerin, devlet kurum ve kuruluşlarının faaliyetlerinin merkezinde yer almaktadır. Her ne kadar gerçek ve tüzel kişiler birlikte ifade edilse de GDPR bu kapsamda kişisel veri tanımı yaparken verilerin korunması noktasında gerçek kişi vurgusu yapmıştır. GDPR madde 4’te kişisel veri belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi ifadesi ile geniş kapsamda bir tanımlama yapılarak kişinin olabildiğince çok kişisel verilerini koruma amacı gütmüştür. Karşımıza çıkan bir veriden kişiye ulaşabilme imkanımızın olması bu verinin bir kişisel veri olduğuna ilişkin en temel faktördür ki GDPR bu faktörü oldukça genişletmiştir. GDPR kapsamında veri sahibi, kişisel verileri işlenen kişi olarak ifade edilmekle beraber buradaki kişinin yalnızca gerçek kişi olduğu da açıkça anlaşılmaktadır GDPR’daki kişisel veri tanımında “gerçek kişiye ilişkin” ifadesi ile yalnızca gerçek kişiyi vurgulaması bunun en büyük dayanağıdır. Temel kavramlar noktasında bir diğer önemli kavram ise anonimleştirmedir. Anonimleştirme aşamasından önce kişisel verilerin işlenmesi ve saklanması belki de dağıtılması söz konusudur. Veri sahibin açık rızası ile işlenen kişisel verilerinin artık saklanmasının gerekli olmadığı takdirde ya silinmeli ya da anonimleştirilmelidir. Silinme işlemi kişisel verinin tamamen yok edilmesi iken anonimleştirme ise kişinin o veriden belirlenebilir olmamasını sağlamadır. Anonimleştirme sonrası artık bu veriden veri sahibini belirlemek mümkün değildir.