İnternetten iş yapacak olanlar için Genel Veri Koruma Tüzüğü
2016 yılında çalışmaları başlayan, 2 yıllık bir geçiş dönemi sonrası 25 Mayıs 2018 tarihinden itibaren Avrupa Birliği üyesi ülkelerde yürürlüğe giren GDPR(General Data Protection Regulation – Genel Veri Koruma Tüzüğü) tanımına göre,kişisel veri; tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel veri ihlali ise; iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir. Bu tüzüğün amacı, son yıllarda teknolojinin gelişmesiyle iyice artan ve etkileri daha yıkıcı bir hale gelen, kişilerin, kişisel verilerini elinde bulunduran tüzel/gerçek kişilere karşı AB vatandaşlarının mahremiyetini korumak ve vatandaşları kişisel verilerini elinde bulunduran firmalara karşı güven içinde tutmak.
Ancak bu düzenleme sadece AB’de bulunan firmaları ilgilendirmiyor, AB vatandaşlarına mal veya hizmet sunan ve bu şekilde verilerini toplayan/bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da ilgilendiriyor. Bu durum da internetten iş yapacak olanlar için GDPR’nin önemini artırıyor.
Tüzük, kişisel verisi herhangi bir şirket tarafından tutulmakta olan herhangi bir insanı data subject(veri öznesi- veri sağlayan kişiler-veri sahibi) olarak adlandırıyor ve tüm kurumları, hakkında veri topladığı, veri öznelerini herhangi bir yanlış anlaşılmaya sebebiyet vermeyecek bir şekilde bilgilendirmekle yükümlü kılıyor.
AB’de ikamet eden veri öznelerinin, kişisel verilerini elinde bulunduran tüm şirketler, şirketin konumuna bakılmaksızın, Genel Veri Koruma Tüzüğü’ne tabidir. Örneğin e-ticaret sitesini Avrupa’da kullanıma açmak isteyen Türkiye’deki işletmeler ve firmalar, 25 mayıs 2018 itibariyle GDPR’ye tabidir. İnternette iş yapmak isteyen gerçek veya tüzel kişilerin sorumlulukları konusunda ise, veri öznelerinin haklarına, GDPR’de düzenlenen işlemenin hukuka uygunluk kıstaslarına ve kişisel verilerin işlenmesine ilişkin ilkelere bakmakta fayda var.
*kontrolör: “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçları ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.”
Veri öznelerinin/sahiplerinin hakları
1- İhlal Bildirimi, GDPR uyarınca, bir veri ihlali bireylerin hak ve hürriyetleri için herhangi bir risk oluşturabilir nitelikteyse, vatandaşların kontrolöre ihlal bildiriminde bulunma hakları var.
2- Erişim Hakkı, veri öznelerinin kendileri ile ilgili kişisel verilerin işlenip işlenmediğine, nerede ve ne amaçla işlendiğine dair bilgilere erişim hakkı vardır. yani veri özneleri kişisel verilerinin ne amaçla depolandığına erişim hakkına sahiptir. Ayrıca talep halinde, kontrol cihazı kişisel verilerin ücretsiz bir kopyasını veri öznelerine elektronik formatta verir.
3- Unutulma Hakkı, unutulma hakkı veri silme olarak da bilinir. Unutulma hakkı, veri öznesinin kişisel verilerini silmesine, verinin daha fazla yayılmasını durdurmasına izin veren bir haktır. Yeni GDPR ile birlikte unutulma hakkı da resmî olarak tanınmış oldu. kişisel verilerinin internetten silinmesini talep eden kişilerin bu isteği artık yerine getirilmek durumunda.
4- Düzeltme hakkı, veri sahibi kendisi ile ilgili doğru olmayan kişisel verilerin, gecikmeye sebep olmadan düzeltilmesini, kişisel verilen eksikse tamamlanmasını kontrolörden talep etme hakkına sahiptir.
5- İşleme faaliyetinin kısıtlanması hakkı, GDPR’de belirtilen hallerden biri mevcutsa veri sahibi işleme faaliyetinin kısıtlanmasını kontrolörden talep edebilir.
GDPR kişisel verilerin işlenmesine ilişkin ilkeleri de düzenlemiştir;
KİŞİSEL VERİLER;
- veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenmelidir. Hukuka uygunluk, adalet ve şeffaflık ilkesi.
- GDPR’de belirtilen, açık ve meşru amaçlara yönelik olarak toplanır ve bu amaçlara uygun olmayan bir şekilde işlenmez; amacın sınırlandırılması ilkesi.
- işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanla sınırlı olarak işlenir; işlenen verilerin en az seviyeye indirilmesi ilkesi
- doğru ve, gereken şekilde, güncel tutulmalıdır; doğruluk ilkesi.
- veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde ve sürede tutulur; saklama süresinin sınırlandırılması ilkesi.
- yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere teknik veya düzenlemeye ilişkin uygun tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenir; bütünlük ve gizlilik ilkesi.
İnternetten iş yapmak isteyen gerçek/tüzel kişilerin, veri öznelerinin bu haklarına ve kişisel verilerin işlenmesine ilişkin ilkelere dikkat etmelerinde fayda var. Çünkü tüzük ihlalleri de sıkı yaptırımlara bağlamış. GDPR’de belirtilen maddelerden herhangi birine uymayan ya da ihlal eden işletmeler hakkında, 27 milyon Euro para cezası ya da şirketin dünya çapındaki yıllık cirosunun yüzde 4’ü kadar ceza kesilmesine imkan veren düzenlemeler mevcut. Bu düzenlemeler, herhangi bir ihlal durumunda büyük çaptaki işletmeler için ağır yaptırımlar olmasına karşın küçük çaptaki işletmelerin ise ticaret hayatını bitirebilir.
GDPR işlemenin hukuka uygunluk kıstaslarını da düzenlemiştir. Şöyle ki;
1- Veri sahibi bilgilerinin işlenmesine onay vermeli.
2- Veri sahibinin tarafı olduğu bir sözleşmenin gereği olarak işleme faaliyeti gerekli olmalı.
3- Veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacıyla işleme faaliyeti gerekli olmalı.
4- Kontrolörün tabi olduğu bir yasal yükümlülük sebebiyle işleme faaliyetinin gerekli olmalı.
5- Kamu yararına gerçekleştirilecek bir görevin yerine getirilmesi amacıyla işleme faaliyeti gerekli olmalı.
7- Şayet veri sahibi çocuk ise, söz konusu menfaatler doğrultusunda işleme faaliyeti gerekli olmalı.
Bu kıstaslardan en az birisi geçerli olmadığı sürece kişisel verilerin işlenmesi hukuka uygun olmayacak ve internet üzerinden Avrupa ülkeleriyle iş yapan kişilerin sorumluluğunu gerektirecektir.
Tüm bu bilgiler ışığında kıyas yaptığımızda; Yerel veri koruma düzenlememiz, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), çoğu konuda . GDPR’la paralel düzenlemeler barındırsa da, GDPR, KVKK’dan çok daha kapsamlı düzenlemeler mevcuttur.