Skip to main content

Avrupa Birliği’nin, Kişisel Verilerin Korunmasına ilişkin güncellediği ve tüm birlik ülkelerinin yasalarının üzerinde olan Genel Veri Koruma Yönetmeliği 24 Mayıs 2018 tarihinde uygulamaya girdi. Yönetmeliğe bu adresten ulaşabilirsiniz.

GDPR, Türkçe adıyla Genel Veri Koruma Yönetmeliği’nin amacı tüm Avrupa Birliği vatandaşlarının kişisel verilerini ve gizliliklerini korumaktır.

Ancak bu koruma yalnızca AB üyesi ülke şirketleri için değil, AB dışındaki bir şirket ya da kurumun AB’deki kişilere yönelik ürün ve hizmetler sunması hâlinde de geçerli.

Yasaya uymayan şirket ve kurumların oldukça yüksek miktarlarda para cezası alması da söz konusu. Bu bağlamda, yıllık küresel cirosunun %4’üne ya da 20 milyon euroya kadar (burada hangi miktar yüksek ise o dikkate alınmakta) para cezası ile karşılaşmak istemeyen Türkiyeli şirket ve kurumların da konuya önem göstermesi gerekiyor.

Buna ek olarak, Türkiye Cumhuriyeti Kalkınma Bakanlığı tarafından hazırlanan “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi” adlı rapor konuya ilgi duyanların detaylı bilgi alabilecekleri en iyi Türkçe kaynaklardan biri olma özelliği taşıyor.

GDPR ile gelen değişiklikler

Uygulama Alanı

Genel Veri Koruma Yönetmeliği’nin diğer kişisel verilerin korunması kanunlarına göre en büyük farkı uygulama alanının genişletilmesi. Kurumunuz AB sınırları içerisinde yer almaksızın bu yasaya tabi olabilirsiniz. Eğer AB vatandaşlarına bir hizmet ya da ürün sunuyorsanız siz de GDPR’a uygun hareket etmek zorundasınız. Bu sebeple AB vatandaşlarının verilerini işleyen AB dışındaki işletmeler de AB’de bir veri koruma görevlisi (data protection officer) atamak zorunda kalacak.

Yüksek Ceza Oranları

Yasaya uymayan şirket ve kurumların oldukça yüksek miktarlarda para cezası alması da söz konusu. Bu para cezası, en aşağı 20 milyon euro olmak şartıyla şirket ve kurumların yıllık küresel cirosunun %4’üne denk gelecek miktarda.

Açık Rıza Alınması

Kişisel verilerin işlenmesiyle ilgili olarak alınacak olan açık rızanın şartları değişti. Artık rıza, kişisel veri işlemenin amacına yönelik olarak daha anlaşılır, daha kolay ve erişilebilir bir şekilde olmak zorunda. Açık rıza sözleşmeleri artık ağır hukuki terimler yerine daha sade bir dilde, diğer konulardan daha anlaşılabilir ve ayırt edilebilir şekilde kullanıcılara sunulmalı. Ayrıca sadece açık rızanın kullanıcı tarafından kabulü değil red aşaması da aynı derecede basit hazırlanmalı.

Veri Koruma Yönetmeliği’ndeki Temel Kavramlar

Veri Koruma Yönetmeliği kendine özgü terminolojisi ile pek çok kavramı içeriyor. Kişisel veri hukuku bakımından da sıklıkla kullanılmakta olan bu kavramları, kavramsal tartışmalara girmeksizin, AB Yönetmeliğindeki karşılıkları ile aşağıda bulabilirsiniz.

Kişisel Veri: Yönetmeliğin 2/a maddesinde “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri” olarak tanımlanıyor. Yönetmelikte belirlenen kişisel veri kapsamı oldukça geniş olmakla birlikte sınırsız değil. Yalnızca isim, adres veya kimlik numarası gibi doğrudan bireyin kimliğine atfedilen bilgiler değil elektronik ticaret sırasında gerçekleştirdiği işlem kayıtları, tıkladığı kısayollar, konumunun belirlenmesine yarayan görüntü kayıtları gibi kişisel tercih belirten ve bireye ulaşılmasını sağlayan hemen her türden veri kişisel veri sayılıyor.

Kişisel verilerin işlenmesi: Kişisel verilerin otomatik ya da otomatik olmayan araçlarla toplanması, saklanması, elde edilmesi, değiştirilmesi, okunması, sorulması, kullanılması, üçüncü taraflara aktarılması, yayılması ya da hazır bulundurulması için yapılan işlemlerle verilerin kombinasyonu, bloke edilmesi, silinmesi ya da yok edilmesi suretiyle gerçekleştirilen her türlü müdahale “işleme” kabul ediliyor. Bu çerçeveden bakıldığında kişisel verilerin işlenmesi tanımı, kişisel verilerin hemen hemen her türlü kullanımını içeren, verinin kayıt altına alınmasından yok edilmesine kadar birçok işlemi ifade ediyor.

Kişisel veri dosyalama sistemi: Merkezileşmiş, merkezileşmemiş yahut fonksiyonel veya coğrafi esasa dayanarak dağılmış ve belirli kriterlere göre erişilebilir her türlü yapılandırılmış kişisel veri dizisine dosyalama sistemi adı veriliyor.

Veri kontrolörü: Yönetmeliğe göre kişisel veri işlemenin amaçlarını ve yöntemini birlikte veya tek başına belirleyen kişi, organ, ajans veya kamu kurumunu ifade ediyor. Veri kontrolörleri gerçek kişiler olabildiği gibi özel ve/veya kamu kurumu tüzel kişiliğine haiz kişiler de olabilir. Müvekkili hakkındaki kayıtları tutan avukat, veri kontrolörünün gerçek kişi olduğu duruma örnek gösterilebilir. Bir tüzel kişi bünyesinde çalışan gerçek kişiye tüzel kişiliğin uhdesinde bulunan kişisel verileri koruma sorumluluğunu yüklese dahi söz konusu somut olay bakımından veri kontrolörü tüzel kişiliğin kendisi olup, gerçek kişi ancak onun adına tasarrufta bulunan konumundadır. Veri kontrolörü kişisel verilerin işlenmesi konusunda Yönetmeliğe uygun davranmakla yükümlü olup ortaya çıkan hukuka aykırılıklardan doğrudan sorumludur.

Veri işleyicisi: Veri kontrolörü adına kişisel verileri işleyen gerçek veya tüzel kişilere “veri işleyicisi” denilmekte. Genellikle veri kontrolörleri, zaman ve maliyet tasarrufu sağlamak amacıyla veri işlemek üzere üçüncü bir taraftan hizmet almayı tercih ediyor. Bu durumda üçüncü taraf veri kontrolörünün emri üzerine hareket etse de veri işlemenin amacını kendisi belirlediği için söz konusu işlem bakımından veri işleyicisi olarak kabul edilmekte. Bir tüzel veya gerçek kişinin, kişisel verilerin işlenmesi bakımından aynı anda hem veri kontrolörü hem de veri işleyicisi olması mümkün. Örneğin bir hukuk şirketi kendi çalışanları hakkındaki veriler bakımından ‘veri kontrolörü’ sayılırken; müvekkil şirketlerinin çalışanlarına ilişkin tutmakta olduğu kişisel veriler bakımından ise ‘veri işleyicisi’ sayılıyor.

Rıza: Veri öznesinin karşı tarafa, kendisine ait kişisel veriyi işlemesini özgür iradesiyle kabul ettiğini onaylayan her türlü davranış, işaret veya ifade ile açıklanan irade beyanı yönetmelikçe rıza olarak tanımlanıyor. Söz konusu irade beyanının, dışa vurulan, muhatap bakımından objektif bir değerlendirmeyle işlemeye onay verilmesi şeklinde anlaşılabilen bir davranış olması gerekmekte olup susma rıza anlamına gelmemekte.

Gazeteciler için GDPR ne anlama geliyor?

Gazeteciler, basın ve medya kuruşları kitleler hakkında çok sayıda kişisel veri toplamakta. Avrupa genelinde bu yeni yönetmeliğin yakın gelecekte verinin ele alınış biçimini büyük bir değişime uğratacağı konuşuluyor.

İngiltere’de Mishcon de Reya adındaki bir hukuk bürosunda veri koruma danışmanı olarak görev yapan Jon Baines, GDPR’nin devrimden ziyade mevcut veri koruma yasalarının bir evrimi olduğunu söylüyor. Baines, “İngiltere’nin şu andaki Veri Koruma Yasası 1998’den kalma ve pek çok açıdan güncelliğini yitirdi. Ancak adalet, şeffaflık, doğruluk, amaç-sınırlama veya güvenlik temel ilkeleri GDPR için değişmez,” diyor.

GDPR, Avrupa Birliği genelinde geçerli olmakla birlikte, her üye devlete, gazetecilik için belirli muafiyetler tanınması için nasıl yasallaştırılacağı kararlaştırılmış durumda. Basın kuruluşları ve haber ajansları gazetecilik faaliyetlerinde, örneğin bir işveren gibi davrandıkları zaman, yükümlülüklerin çoğundan muaf tutulmaya devam edecek; yine de temelde bu şartlardan muaf olmayacak. Herkes veri ihlalini önlemek için uygun önlemleri almış olmak zorunda.

[bctt tweet=”Gazetecilerin her geçen gün siber güvenlik konusunda bir uzman kadar bilgi sahibi olması gerekmekte. Aksi halde başlarına gelebilecek bir veri sızıntısında büyük cezalarla karşılaşmaları kaçınılmaz.” username=”newslabturkey”]

Bu, çok iyi bir siber güvenliği eğitimiyle sağlanabilecek bir durum. Gazetecilerin her geçen gün siber güvenlik konusunda bir uzman kadar bilgi sahibi olması gerekmekte. Aksi halde başlarına gelebilecek bir veri sızıntısında büyük cezalarla karşılaşmaları kaçınılmaz. Sadece cezalarla da bitmiyor; herhangi bir kişisel veri ihlaline karşı gazetecilerin nasıl müdahale etmeleri gerektiğini ve sızıntıyı nasıl en aza indirebileceklerini de bilmesi şart.

Buna ek olarak, basın kuruluşlarının yaptığı yayınların kamu yararı olabileceğine inanılıyorsa yönetmelikten muafiyet talep edilebilir. Elbette gazetecilik gibi bir meslek için bunun gerçekleşme potansiyeli oldukça yüksek.

Serbest gazeteciler de kişisel verilerin neden ve nasıl ele alınacağına karar verecekleri için veri denetleyicileri gibi davranma olasılıkları yüksek. Gazetecilik için geniş muafiyet talep edebilirler. Ancak bu durum yukarıda da sözünü ettiğimiz siber güvenlik önlemlerinin uygulanmasından muaf oldukları anlamına gelmez. Serbest gazeteciler de topladıkları kişisel verilerin saklanmasından sorumludurlar.

Veri Koruma Danışmanı Jon Baines’den gazetecilere GDPR hakkında 3 ipucu:

  1. Gazetecilerin yaptıklarının çoğu muafiyete tabidir, ancak muafiyet sınırları konusunda dikkatli olmanız gerekir.
  2. Kişisel verileri kullanırken gerekli güvenliği sağladığınızdan her zaman emin olun: cihazlarda tam disk şifreleme, kilitli fiziki dolaplar, yanlış kişiye gönderilmediğinden emin olmak için e-postaların özenle kontrol edilmesi gibi önlemler almayı ihmal etmeyin.
  3. GDPR yönetmeliğini iyi okuyun, haklarınızı ve sınırlarınızı bilin.

Kaynaklar

  • kisiselveri.com, Kişisel Verileri Koruma Görevlisi (KVKG)
  • bilgitoplumu.gov.tr, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi Raporu
  • journalism.co.uk, What does GDPR mean for journalists?

 

Bu içerik ilk olarak newslabturkey.org sitesinde yayınlanmıştır.

 


Sivil Toplum Örgütünüz için Dijital İletişim Danışmanlık Hizmeti için bize ulaşabilirsiniz.

    Ad Soyad *

    E-Posta *

    Telefon

    Teklif Almak İstediğiniz Web Sitesi ve /veya STÖ Adı