Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation “GDPR”) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Bu yönerge ile Avrupa Birliği üyesi ülkelerin kişisel verilerin korunması hususunda çıkarmış oldukları yerel direktifleri yürürlükten kalkmış ve Avrupa Birliği’nin tüm üye ülkelerinde GDPR yürürlüğe girerek düzenlemede tekilliğe gidilmiştir.
Avrupa Birliği Kişisel Verilerin Korunması kurallarının Türk Hukuku açısından önemi; gerek GDPR ve gerekse Avrupa Birliği Gizlilik Direktifi (European Union Privacy Directive / 95/46/EC “PD”) ile söz konusu kurallara uyum göstermemiş olan birlik harici ülkeler ile veri paylaşımının yasaklanmış olmasıdır. Bir diğer deyişle, kişisel verilerin birlik ülkeleri haricine transfer edilmesi halinde, bu transferin yanı sıra transfer edilen ülkedeki kişisel verilerin korunması hususu da önem kazanmaktadır. Kişisel verilerin güvenliğinin sağlanamadığı ülkeler ise bir “siyah liste”ye (black list) dahil edilecek ve uzun vadede ticari ilişkilerin kurulması engellenecektir. Bu sebepledir ki Türk Hukuku Kişisel Verilerin Korunması Kanunu (“KVKK”), AB mevzuatı ile uyumlu düzenlemeler öngörmekte ve KVKK’a uyum önem kazanmaktadır.
GDPR ile PD, temel esaslar yönüyle aynı amaca hizmet vermekte ise de birtakım farklı düzenlemeler içermektedirler. GDPR ile mülga Avrupa Birliği Gizlilik Direktifi (European Union Privacy Directive / 95/46/EC “PD”) arasında kişisel verilerin korunması hususunda öngörülen farklılıklardan sırasıyla bahsedeceğiz.
PD ile Avrupa Birliği’nde kişisel verilerin alınması, işlenmesi, saklanması ve imha edilmesi belirli usul ve sürelere bağlanmıştır. Mülga Direktif PD’nin uygulandığı dönem boyunca tüzel kişiliklerin, kişisel verilerin korunması politikaları oluşturması ve bu politikaların tüzel kişiliklerin internet sitelerinde ilan etmeleri zorunlu tutulmuştur. Ancak uygulama boyunca AB otoriteleri tarafından yapılan araştırmalar neticesinde oluşturulan bu şirket politikalarının veri sahipleri tarafından anlaşılması zor, uzun ve karmaşık metinler olduğu gözlenmiştir. GDPR ile ise hazırlanan bu politikaların olabildiğince kısa, net ve veri sahipleri tarafından kolaylıkla anlaşılabilen dil ve nitelikte olması kriteri açıkça ifade edilerek netlik kazandırılmış ve bu niteliklere sahip olmayan metinlerin GDPR kapsamında düzenlemeye uyum sağlamamış olacağının varsayılacağı öngörülmüştür.
PD ile, hazırlanacak kişisel verilerin korumasına ilişkin politikaların yanı sıra her bir kişi grubu tarafından onaylanacak veya imzalanacak, kişi grupları ile sağlanan ilişkilere ve alınan kişisel verilere özgü hazırlanması gereken aydınlatma ve onay metinleri de öngörülmüş ancak bu metinlerin de uygulamada yine politikalar gibi anlaşılmaktan uzak derecede karmaşık, sistematiği olmayan, uzun metinler olarak hazırlandığı gözlenmiştir.
PD uygulamalarında gözlenen bir diğer sıkıntı ise; uygulamada veri işleyenlerin, veri sahiplerinin aydınlatma ve onay metinleri reddetmemesi ve ancak onaylamaması halinde sessiz kalma halini onay niteliğinde kabul ederek veri işleme prosedürlerine devam etmeleri olarak tespit edilmiştir. GDPR bu sorunu gidermeyi amaçlamış ve veri sahibinin sessiz kalmasının onay olarak kabul edilemeyeceğini, alınacak onayın/rızanın da “açık rıza” olması gerektiğini şüpheye yer bırakmayacak şekilde açıkça düzenlemiştir.
Açık rızanın ise; ıslak/elle atılan imza, elektronik imza veya on-line ortamlarda kutucuğu işaretleme şeklinde üç tipte olabileceği kabul edilmiştir. Açık rıza alınmadığı durumlarda onay/rıza alınmamış sayılacak ve veri sahibinin verilerinin kişisel veri prosedürlerince alınması, işlenmesi, saklanması, paylaşılması ve benzer faaliyetlere tabii tutulması GDPR’ın ihlali kabul edilecek ve bu doğrultuda sonuç doğuracaktır.
GDPR’ın düzenleme öngördüğü bir diğer husus; işlenen kişisel verilerin üçüncü kişilerle paylaşılması konusudur. PD uyarınca kişisel verilerin işlenmesi esnasında alınan aydınlatma ve onay metinleri üçüncü kişilerle paylaşımı ve aktarımı kapsayabilecek ve bu onay çerçevesinde alınan veriler üçüncü kişilerle paylaşılabilecek, onlara aktarılabilecektir. GDPR ile ise, onay çerçevesinde alınan kişisel verilerin üçüncü kişilerle paylaşılması veya onlara aktarılması halinde veri sahibine, yapılan işleme ilişkin bilgi verilmesi zorunlu tutulmuştur. Veri sahibine yapılacak bilgilendirme açık, anlaşılır ve aydınlatıcı olmalıdır. Bu düzenleme ile veri sahibi, verdiği bir onay ile kişisel verilerini dolaşıma açmış olsa dahi verilerin hangi üçüncü kişiler tarafından elde edildiğini bilme hakkına yani verilerin iletimini takip edebilme hakkına sahip olmuştur.
PD ile amaca bağlılık katı suretle sağlanmamıştır. PD’nin uygulandığı dönem boyunca veri sahibinden bir onay alındıktan sonra, ilk alım amacından haricindeki amaçlar için de söz konusu kişisel verilerin işleme tabii tutulduğu ve bu işlemler hakkında veri sahibinin bilgilendirilmediği gözlenmiştir. GDPR ile ise; veri sahibinden onay alınırken belirli bir amaç veya amaçlar belirlenmesi, bu amacın veri sahibine açık ve anlaşılır şekilde bildirilmesi ve açık rıza alınması öngörülmüş ve bu belirlenen amaçlar haricinde ise kişisel verilerin işleme tabi tutulması açıkça yasaklanmıştır. Bir diğer deyişle, kişisel veri işleme süreçleri için rıza alınmış olsa dahi işlenen kişisel verilerin aydınlatma ve onay metinlerinde belirlenmiş olan amaçlar haricinde üçüncü kişilerle paylaşılması veya aktarılması mümkün olmayacak, aksi halde GDPR’ın ihlali olarak kabul edilmiştir.
GDPR ile PD’ye kıyasla veri sahibine daha çok ve kesin sınırları olan haklar tanınmış ve bu hakların korunması katı suretle korunmak istenmiştir. PD’den farklı olarak GDPR uyarınca, ihlale konu veri sahibine bilgi verilmesi zorunlu tutulmuştur. Bir diğer deyişle, GDPR’ın ihlali söz konusu olduğunda ihlale konu verilerin sahibi ilgili kişiye verilerinin bir ihlale konu olduğu hakkında derhal bilgilendirme yapılmalıdır. Veri sorumlusunun veri sahibini bilgilendirme yükümlülüğe aykırı davranması GDPR’ın ihlali teşkil edecektir.
Ek olarak GDPR ile PD’den farklı olarak veri sahibine, işlenmesine ve işlem yapılmasına verdiği onay doğrultusunda işleme tabi tutulan kişisel verilerinin neler olduğu hakkında bilgi sahibi olmak ve dilediği takdirde söz konusu verileri o veri sorumlusundan alıp başka bir veri sorumlusuna taşıma hakkı tanınmıştır.
Bilgi alma ve veri taşıma hakkının yanı sıra GDPR ile PD’den farklı olarak, veri sahibine tanınmış olan bir diğer hak veri sahibinin işlenen kişisel verilerinin imha edilmesini talep etme hakkıdır. Bu hak uyarınca veri sahibi, dilediği zaman veri sorumlusunun KEP adresine başvuru yaparak işlenen ve işleme tabi tutulan tüm kişisel verilerinin geri döndürülmeyecek şekilde silinmesini ve imha edilmesini talep etme hakkına sahiptir. Bu hakkın tamamlayıcı ögesi olarak da silme ve imha etme işlemine ilişkin log kayıtları tutulması zorunlu kılınmıştır. Bu log kayıtları detaylı olarak kimin imha işlemini, hangi tarihte yaptığına dair bilgi içermelidir. Bu değişiklik de GDPR ile öngörülmüş olan bir düzenlemedir.
PD’nin uygulandığı dönem boyunca veri sahibi kişinin yapacağı verilerin silinmesi talebinin yerine getirilip getirilmediğinin takibinin yapılamadığını ve pek çok zaman talebin yerine getirilmediği tespit edilmiştir. GDPR ile veri sahibinin bu talebini yerine getirme konusunda veri sorumlusuna takdir hakkı tanınmamıştır. Veri sahibinin talebi yerine getirilmek zorundadır. Söz konusu unutulma hakkı çerçevesinde işlenen kişisel verilerin silinmesi değil, geri döndürülemeyecek şekilde yok edilmesi söz konusu olacaktır.
Görülmektedir ki; Avrupa Birliği’nde GDPR’a duyulan ihtiyaç daha çok pratikte karşılaşılan sorunlardan ve PD metninin dilinin netlik ve caydırıcılık hususlarındaki eksiklerinden doğmuştur. GDPR ile PD ile öngörülmüş olan kurallar daha kesin sınırlar ile belirlenmeye ve uygulamada boşluk yaratan hükümlerdeki eksiklerin giderilmesi sağlanmaya çalışılmıştır.
Av. Ayça Güntülü Alkan
Kaynakça:
1. EU Commisson, Questions and Answers – General Data Protection Regulation, 24.01.2018
2. Albrecht, J. P. (2016). How the GDPR will change the world. Eur. Data Prot. L. Rev., 2, 287.
3. Blackmer, W. S. (2016). GDPR: Getting Ready For The New EU General Data Protection Regulation. Information Law Group, InfoLawGroup LLP, Retrieved, 22(08), 2016.
4. https://www.eugdpr.org/key-changes.html
5. https://blog.marketo.com/2018/02/biggest-changes-coming-gdpr.html
