İnternet teknolojilerinin tüm dünyada yaygınlaşması ile birlikte online güvenliğin sağlanması adına düzenlemelerin yapılması zorunlu hale gelmiş durumda. Üstelik teknolojik yeniliklerin çok hızlı bir şekilde dönüşüm göstermesi ile söz konusu düzenlemelerin ihtiyaç ve beklentilere en uygun biçimde yeniden tasarlanmaya uygun olması da son derece kritik bir önem taşıyor.
Veri trafiğinin en yoğun olduğu coğrafyalardan biri olan Avrupa’da da veri trafiğinin akışını ve kişisel verilerin güvenliğini sağlamak üzere bir süredir çalışmalar sürdürülüyor. Diğer yandan Avrupa Konseyi ve Avrupa Komisyonu tarafından yürütülen ve General Data Protection Regulation (GDPR), yani Genel Veri Koruma Tüzüğü (GVKT) adı verilen söz konusu çalışmaların 14 Nisan 2016 tarihinde onaylandığı biliniyor. 2016 yılında kabul edilen GVKT’nin yürürlüğe gireceği tarih ise 25 Mayıs 2018 olarak belirlenmişti.
Bu doğrultuda, Türkiye merkezli web sitelerinin özellikle Avrupa ülkelerine bilgi toplama hizmetlerinin sunabilmesi, verilerin sınır ötesi paylaşımının gerçekleştirilebilmesi gibi noktalarda etkinliklerini sürdürebilmeleri açısından Avrupa Parlementosu’nda kabul edilen GVKT’nin yürürlüğe girmesiyle birlikte birtakım noktaları göz önünde bulundurmalarında büyük fayda olduğu görülüyor.
İşte online kullanıcıların web ortamında bıraktıkları ayak izlerini korumaya almak ve kişisel bilgilerinin güvenliğini sağlamayı amaç edinen GVKT ile gündeme gelen düzenlemeler ve Türkiye’deki web siteleri için karşılıkları…
GVKT ile Gelen Önemli Değişiklikler
Tüzükte yapılan değişikliklerin içeriğine bakıldığında, tüm maddelerin aslında kişilerin kendi verileri üzerinde kontrol sahibi olmalarını sağlamaya yönelik olduğu sonucuna ulaşmak mümkün. Öte yandan işlenen verilerin üzerindeki düzenlemeleri de kapsayan çalışmada yer alan bazı önemli değişiklikler şu şekilde sıralanabilir:
Unutulma hakkı: Düzenleme ile veri sahibi olarak tanımlanan kişilere, kendilerine ait hesapların ve verilerinin veri sorumluları (web siteleri gibi online platformlar) tarafından silinmesi, yani unutulma hakkı tanınıyor. Buna göre gerçek kişiler, eğer isterlerse hesapları ve kişisel verilerini sildirebilirler.
Ancak elbette bu hakkın kullanılabilmesi için de birtakım hallerin geçerli olması gerekiyor. Kişisel verilerin elde edildiği ya da işlendiği amacın geçerliliğini yitirmesi, verilerin işlenmesi için bir yasal nedenin olmaması, verilerin işlenmesi sürecinin hukuka aykırı olması gibi gerekçeler sözü edilen hallere örnek olarak verilebilir.
Taşınabilirlik hakkı: Verilerin saklandığı sunucular değiştirildiğinde verilerin yeni bir sunucuya aktarılması durumunu ifade eden bu düzenleme, kişilere ait verilerin veri sorumluları tarafından başka bir veri sorumlusuna aktarılması hakkına işaret ediyor.
Gizlilik politikalarının kişilere aktarılması: Verilerin işlenmesi için veri sahiplerinin kesin rızasının olması gerekiyor. Rıza için gerekli koşulların yerine getirilmesi için ise veri sahibinin kendisine ait verilerin işlenmesini onayladığını gösteren elektronik veya basılı, yazılı ya da sözlü bir bildirimin mevcut olmalı. Buradan yola çıkıldığında, tüm gizlilik politikalarının veri sahibine açık ve anlaşılır bir biçimde aktarılmış olması gerektiği net bir şekilde anlaşılabilir.
Veri ihlallerinin bildirilmesi: Kişisel verilerin güvenliği konusunda herhangi bir tehdit ile karşı karşıya kalındığı durumlarda veri sorumluları, durum öngörüldükten sonra 72 saati geçirmemek koşuluyla kişisel verilerin ihlalini denetleyen kuruma durumu bildirmekle yükümlü.
Tek durak noktası mekanizması: Veri sorumlusu ile veri işleyen farklı ülkelerde bulunsalar bile veri sorumlusu ya da veri işleyenin ana işletmesinin bulunduğu AB üyesi ülkenin denetleme kuruluşu, AB genelindeki veri işleme faaliyetleri için denetleme yapabilir. Buna karşın, kamu ya da özel kuruluşlar tarafından kamu yararına yürütülen veri işleme faaliyetleri için öncü bir denetleyici kuruluş ve tek durak noktası mekanizması uygulanmaz.
Gizlilik etki değerlendirmesi: Veri işleme faaliyetlerinin kapsamı, amaçları ve işlemin yapıldığı ortam, veri sorumlularının hak ve özgürlüklerini riske atacak potansiyel barındırıyorsa, veri sorumlusu işleme sürecinin kişisel verilerin korunması anlamında etkisini belli kriterler odağında değerlendirmek durumundadır.
İdari para cezası ve kanun yolları: Mevzuata aykırı işlemlerin gerçekleştiği tespit edilen firmaların dünya çapındaki yıllık cirolarının yüzde 4’üne varan oranda para cezasına çarptırılması gibi sonuçlar söz konusu olabilir. Bunun yanı sıra, maddi ya da manevi zarara uğrayan herkes bu firmalardan tazminat talep etme hakkına sahip olur.
Hangi Tür Kişisel Veriler GVTK Kapsamına Giriyor?
Sözü edilen Genel Veri Koruma Tüzüğü, veri sahiplerinin konu olduğu kişisel bilgilere düzenleme getiriyor. Ancak kişisel veri kapsamına nelerin girdiği konusunu netleştirmekte büyük fayda var. Buna göre, bir bireyi dolaylı olarak tanımlamak için kullanılabilecek her tür bilgi, kişisel veri olarak tanımlanıyor. Dolayısıyla isim, adres, kimlik numarası gibi bilgileri barındıran kimlik kartları, elektronik ortamda saptanmış konum bilgileri, IP adresleri, cookie’ler, sağlık verileri, biyometrik veriler, ırk ve köken bilgisi, siyasi yaklaşım ve cinsel yönelim gibi bireyler hakkında ayrıntı veren verilerin GVTK kapsamına girdiği söylenebilir.
Web Siteleri GVKT’ye Nasıl Uyumlu Hale Getirilebilir?
Avrupa Birliği tarafından onaylanan ve yakın zamanda yürürlüğe girecek olacak GVKT, temelde kullanıcıları odağına alan düzenlemeler içeriyor. Avrupalı vatandaşların verilerini işleyen Avrupa Birliği merkezli ya da Avrupa Birliği merkezli olmayan firmaların ise bir an önce tüzükte belirtilen koşulları yerine getirmek üzere hazırlıklara başlamaları gerekiyor.
Peki yönetmeliğe uygun olduğunuzdan nasıl emin olabilir/web platformunuzu tüzükte belirtilen kurallara nasıl uyumlu hale getirebilirsiniz?
Öncelikle veri sorumlularının ve veri işleyenlerin tüm kişisel verilerin korunmasından sorumlu veri koruma görevlileri ataması gerekiyor. Ayrıca güvenlik düzeyinin artırılması için siber güvenlik programlarının oluşturulmasında da büyük yarar var. Buna ek olarak, hem veri işleyenler hem de veri sorumluları, veri işleme standartlarının korunduğundan emin olmalı. Bunun için de elbette güvenilirliğin belgelenmiş olması gerekiyor. Tüm kullanıcı verilerinin saklanması ve işlenmesi için verilerin gerçek sahiplerinin onayının alınması ise tüzüğün en önemli maddesi olduğundan tüm firmalar için kritik olan noktayı oluşturuyor.