AB, 1995 yılından beri uygulanan kişisel verilerin korunmasını düzenleyen Yönergeyi 25 Mayıs itibariyle çöpe attı. Bu tarih itibariyle nur topu gibi bir Genel Veri Koruma Tüzüğü(GVKT) yürürlük kazandı.

1995'ten beri, başta internet olmak üzere bilişim teknolojilerinde yaşanan gelişme elbette ki, bu yeni düzenlemeyi zorunlu kıldı.

Nitekim yalnızca şu veri bile, yeni düzenleme ihtiyacının nedenini açıklamaya yetiyor: 1995 yılında küresel çapta internet kullanıcı sayısı 16 milyon iken, günümüzde dünya üzerinde 4 milyarın üzerinde internet kullanıcısı bulunuyor…

Hızla artan sayılar ise elbette ki birçok sorunu da beraberinde getiriyor…

Kişisel veriler nasıl korunacak?

Tüzük, 1995 tarihli Yönergenin, ihtiyaca hizmet edememesi sonucu, uygulamada oluşan karışıklıkları gidermek amacıyla, 2012'de başlayıp dört yıl süren çalışma sonunda, çağın gereksinimlerini karşılayan veri koruma düzenlemeleri ile 4 Mayıs 2016'da Resmi Gazete'de yayınlandı ve 25 Mayıs 2018 itibariyle de yürürlüğe girdi.

Son haftalarda telefonunuza ve e-posta adreslerinize markalardan gelen, bilgilerinizin işlenmesi için "rıza" isteyen mesaj ve postaların sebebi işte bu Tüzüğe uyum süreci…

Bizim mevzuatımıza kişisel verilerin korunması ile ilgili düzenleme 7 Ekim 2016'da yürürlüğe giren Kişisel Verilerin Korunması Kanunu(KVKK) ile yapıldı. Kanunun ilgili hükmü bilgilendirme mesajları için son tarihi 7 Nisan 2018 olarak öngördüğünden en çok mesajı 6 Nisan günü aldık. Hani o, "Değerli müşterimiz, Kişisel Verilerin Korunması Kanunu kapsamında izninizi güncellemenizi önemle rica ederiz. Aksi halde kişisel bilgileriniz silinecek olup cep telefonunuza gönderilecek olan şifreli kampanyalardan faydalanamayacaksınız." diye başlayıp, onay vermeniz için bir link sunan mesajlardan bahsediyorum… Eğer bu mesajda yer alan linke tıklayıp, onay vermediyseniz, artık ilgili markaların size mesaj gönderme hakları bulunmuyor, haberiniz olsun…

Ancak bizdeki bu Kanun, ne yazık ki, AB Tüzüğündeki kadar kapsamlı düzenlemeler içermiyor… (Kişisel Verileri Koruma Kurumu'nun bu hafta içi yayınladığı, "100 Soruda KVKK" bilgilendirme kitapçığından Kanun içeriği ile ilgili detaylı bilgi edinebilirsiniz.)

GVKT, telefon numaramız, e-posta adresimiz ve daha birçok kişisel verimizin kullanımı için gereken rızanın geçerlilik koşullarını ayrıntılı bir şekilde düzenliyor. Rızanın belli, bilinçli ve açık bir şekilde yapılmasını öngörüyor.

GVKT' nin dikkat çeken birinci özelliği, niteliği… Eski düzenleme Yönerge olması dolayısıyla, üye devletlerde doğrudan uygulanma gücü bulunmuyordu. Ancak yeni düzenlemenin Tüzük olarak yapılması ile içeriğindeki hükümler artık, üye devletlerin hukuk sistemlerinde doğrudan uygulanacak güçteler.

GVKT' nin getirdiği bir yenilik de şu: İçerdiği kurallar, yalnızca AB merkezli şirketleri değil, AB'de yaşayan kişilerin verilerini işleyen tüm şirketleri kapsayan nitelikteler.

Bu açıdan ilgili Tüzük ile yalnız AB'de değil, dünya çapında yeni bir koruma getirildiğini söyleyebiliriz…

Veri koruma görevlisi istihdam etme sorumluluğu, veri sızıntılarını bildirim yükümlülüğü, verilerin korunması amacıyla işletmelerin faaliyetlerinde risk değerlendirmesi yapma zorunluluğu Tüzük ile getirilen korumalardan dikkat çeken diğerleri…

Şüphesiz basın hukukunu da ilgilendiren en temel yenilik: Unutulma hakkı.

Bu hak, ilk olarak, AB Adalet Divanı'nın Google'a karşı verdiği 2014 tarihli bir kararında "listeden çıkartılma hakkı" olarak yer almıştı. İspanya'da Mario Costeja Gonzalez isimli kullanıcının, ismin Google arama motorunda yer alan iki haberde "sosyal güvenlik borçları için mülkünü sattı" şeklinde yer almasından rahatsız olarak, bu haber içeriklerinin silinmesi talebiyle açtığı davayı özel hayatın gizliliği ilkesi gereğince kazanması ile konuşulmaya başlanan bu hak, aynı zamanda Tüzüğün en tartışılan yeniliği. (İsminin iki adet haberde yer almasında yer alan beyefendinin adının artık tüm dünyaca biliniyor ve bilişimle ilgilenen tüm hukukçularca tartışılıyor oluşu da işin trajikomik tarafı aslında…)

Özetle, GVKT, yeni getirdiği birçok düzenlemeyle pek çok kurum ve kuruluş için esaslı bir uyum çalışmasına neden olmuş ve olmaya da devam etmektedir. Aksi halde ise, 20.000.000 Euro kadar veya daha fazla miktar olması durumunda küresel cironun %4'ü tutarı olacak kadar yüksek meblağlarda para cezaları ile karılaşabilmesine neden olacak yaptırımlar içermektedir. Yeni düzenlemeler ve ağır cezalar ile kişisel verilerin daha iyi korunması umulmuştur. Dilerim uygulama, umulanı verir…