Avrupa Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girdi. Aslında 2 yıl evvel yayınlanan bu tüzükte veri sorumlularına verilen uyum süreci bu tarihte sona ermiş oldu. Her ne kadar tüzük, AB içerisindeki veri sorumlularını kapsıyor ise de yükümlülükler bakımından tüm dünyanın yakından ilgilenmesi gereken bir düzenleme haline geldi.
Düzenlemelerin kesinliği bir yana, kişisel verilerin korunması bakımından tüzüğe aykırı şekilde faaliyet gösteren firmalara yıllık cironun yüzde 4’üne veya 20 milyon Euro’ya varan ağır cezalar da düzenlenmiş durumda. Ayrıca, verisi ihlal edilenler için tazminat davası açma hakkı tanınıyor.
Peki bu düzenlemeler ne içeriyor?
Kişisel verisi işlenecek kullanıcılardan alınacak rızanın eskideki itiraz etmemiş olmanın kabul sayılacağı karinesinin aksine rızanın açık ve belli bir amaca yönelik olma durumu bu tüzükle düzenlenmiştir. Ayrıca daha önce unutulma hakkı konusunda mahkeme kararları esas alınırken, artık bu hak yasa ile korunur hale gelmiş ve kişilere haklarında edinilmiş kişisel verilerin silinmesini isteme hakkı tanınmıştır. Bir diğer önemli gelişme de çocukların verisinin işlenmesi velilerinin iznine bağlanmıştır.
Kim için bu düzenlemeler? GDPR bizim için neden anlam ifade ediyor?
AB ülkelerini kapsayan bu düzenleme, AB içerisinde yer alan veri sorumlularını veya veri işleyenlerin kuruluşları tarafından yürütülen tüm işleme faaliyetlerini kapsıyor. Ancak aynı zamanda veri işleme faaliyetini AB dışında yapan ve AB içindeki veri sahiplerine mal veya hizmet sunan kişi ve firmaları da kapsıyor. Hatta doğrudan sunmuyorsa dahi, mal ve hizmetleri AB ülkelerinin dilinde ve AB para biriminde sunuyorsa GDPR kapsamında kabul ediliyor. Bu düzenleme AB ülkesinde olmayan firmalar için de yaptırımlar içerdiğinden, Facebook, Google, Twitter gibi global dev firmalar da politikalarını GDPR’a uyumlu hale getiriyor.
Dolayısıyla e-ihracat bakımından AB’de ikamet edenlere mal ve hizmet sunan veya Euro üzerinden AB üye ülke dillerinde hizmet sunan Türk firmaların da tüm veri işleme faaliyetlerinin bu tüzüğe uyumlu olması önem taşıyor. Herhangi bir ihlal halinde ise idari para cezaları oldukça ağır. Ayrıca ülkeye giren ürünlere el konması, AB’deki faaliyetlerin engellenmesi de söz konusu.
Ne yapmalı, nasıl yapmalı?
Eğer tüzük doğrultusunda yukarıda bahsettiğim şartlarda faaliyet gösteren bir kişi veya firma iseniz, öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) ve GDPR’a uyumunuz analiz edilmeli ve hukuki uyum sürecinde GDPR politikasını yazılı hazırlamanız gerekir. Veri işlemeye konu kişisel veriler bakımından uygun açık rızaları almak ve bu verilere saygılı olmak olmazsa olmazdır. Veri sorumlusu ve çalışanları, bu verileri hiçbir koşulda toplanma ve işlenme amacı dışında kullanmamalıdır. Ayrıca gerekli güvenlik önlemleri de alınmış olmalıdır. Her ne kadar bu yükümlülükler KVKK kapsamında yer alsa da, GDPR’ın çok daha fazla sorumluluk getirdiğini ve uyum için daha fazla gecikilmemesi gerektiğini hatırlatmakta fayda var.
‘ Bu yazı ilk olarak E-ticaret Çağı dergisinin Temmuz 2018 sayısında yayınlanmıştır.’