İşletmeler Bakımından 25 Mayıs’ta Yürürlüğe Girecek Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GVKT-GDPR-DSGVO) Önemi

I. Giriş

AB’de 1995 yılında yürürlüğe giren 95/46/AT sayılı AB Veri Koruma Direktifi kişisel verilerin korunması alanında tüm dünyada kabul gören bir çerçeve sunuyordu. Söz konusu Direktif kişisel verilerin kazara kaybını, yetkisiz kişilerin eline geçmesini ve bu kişilerce yasadışı bir biçimde imha edilmesini önlemek amacıyla uygun teknik ve kurumsal önlemlerin alınmasına yönelik hükümler içermektedir. Bununla birlikte, başta sosyal ağlar, bulut bilişim, lokasyon bazlı hizmetler ve akıllı kart gibi teknolojik gelişmeler ve küreselleşmenin getirdiği zorunluluklar olmak üzere pek çok etken kişisel verilere erişim, verilerin toplanması ve kullanımı yöntemlerini derinden etkilemiş ve değiştirmiştir. Buna ek olarak 1995 yılında yürürlüğe giren AB Veri Koruma Direktifi’nin 27 AB ülkesinde birbirinden farklı uygulanma biçimleri ortaya çıkmıştır. 

Bu gelişmeler sonucunda, Avrupa Komisyonu tarafından üye ülkelerde uygulanmakta olan AB veri koruma kurallarında, Veri Koruma Direktifi’nde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla, kapsamlı bir reforma gidilmesi ihtiyacı ortaya çıkmıştır. Bu kapsamda, AB veri koruma kurallarında köklü bir reformu ihtiva eden “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDP; Datenschutzgrunhdverordnung- DSGVO)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. 

Tüzüğün uygulanma alanı AB’nin coğrafi sınırları ile kısıtlı değildir. GDPR hükümleri, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması durumunda veya söz konusu davranışların AB içerisinde gerçekleşmesi kadar davranışların gözlemlenmesi durumunda uygulanır. Yani GDPR, Birlik içerisindeki veri sahiplerine (ücretsiz olsa dahi) mal veya hizmet sunan yahut (AB içerisinde) söz konusu veri sahiplerinin davranışlarını gözlemleyen veri kontrolörleri ve işleyiciler bakımından uygulama alanı bulmaktadır. Bir veri kontrolörü veya işleyicisinin AB içerisinde mal veya hizmet sunup sunmadığının nasıl belirleneceğine ilişkin detaylar GDPR‘nin 23 numaralı dibacesinde belirlenmektedir. AB içerisinde mal veya hizmet sunmak yalnızca bir internet sitesine veya e-posta kutusuna erişimi ifade etmez, ayrıca birden çok AB üyesinde faaliyette bulunulduğunu ortaya koyan dil ve ödeme cinsi/para birimi seçimi ve/veya AB'deki kullanıcı ya da müşterilerin izlenmesini de ifade eder. Bu maddeye göre bir veri kontrolörü veya işleyicisinin bir veya daha fazla AB üyesi ülkede bireylere veri hizmeti sunması durumunda GDPR’nin uygulanacağı kabul edilir. 

Söz konusu düzenlemenin AB tarafından hayata geçirilmiş olması bu hükümlerin yalnızca AB içerisinde yerleşik faaliyet gösteren veri işleyicileri/sorumluları bakımından bağlayıcı olduğu anlamına gelmemektedir. Bilakis küresel anlamda nerede hizmet verdiğine bakılmaksızın AB vatandaşlarına ve GDPR’nin uygulama alanındaki herkese ilişkin verilerin hukuki güvencesi sağlanmış bulunmaktadır. 

II. Tüzüğün Getirdiği Yenilikler

GDPR düzenlemesinde kişisel veri tanımında esaslı bir değişikliğe gidilmemekle birlikte söz konusu tanımın oldukça detaylı kaleme alındığı ve somut örneklemelerin çeşitlendiği görülmektedir. Tüzük kapsamında kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veriyi ifade etmekte olup, doğrudan veya dolaylı olarak, bir gerçek kişinin tanımlanmasına elverişli başta isim, kimlik numarası, konum/yer bilgisi, bir çevrimiçi tanımlayıcı yahut kişinin fizikî, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla hususa işaret eden her türlü veri kişisel veri olarak kabul edilmektedir. 

1. Bütün üye ülkelerde doğrudan uygulanması

Bilindiği üzere AB mevzuatında tüzükler, üye ülkelerde doğrudan uygulanma kabiliyetini haiz olup herhangi bir iç hukuk düzenlemesi yapılmasını gerektirmezken direktifler, o hukuki düzenlemeyle elde edilmesi beklenen temel hedefleri ortaya koyar ancak söz konusu hedeflere ulaşılmasına ilişkin araçların seçimini üye devletlerin kendi iç hukuklarına bırakırlar. Ayrıca tüzükler doğrudan ulusal hukuk sistemlerinin parçası haline gelirler ve ulusal kanunlardan bağımsız olarak uygulanma kabiliyetini haiz olup söz konusu tüzüğe aykırı bir ulusal kanun karşısında bağlayıcı olan düzenleme tüzüktür. 

2. Veri İşleyenlerin (data-proccesors) Tamamının Veri İşlemeden Sorumlu Tutulması 


GDPR ile getirilen düzenleme kapsamında, veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu hüküm veri işleme sayılan fiillerin sayıldığı madde hükmüyle birlikte değerlendirildiğinde; kişisel veriye ilişkin gerçekleştirilen her türlü işleme faaliyetinin tüm faillerinin söz konusu işlemeden kaynaklı her türlü veri ihlali ve hukuka aykırılıktan sorumlu olduğu görülmektedir. 


3. Daha Sert Yaptırımlar ve Tazminat İmkanı


GDPR ile getirilen en önemli düzenlemelerin başında veri ihlalleri karşısında öngörülen yaptırımlara ilişkin hükümler gelmektedir. Zira veri koruma kurallarına ilişkin ihlaller karşısında çok daha ağır tazmin yaptırımları ve elverişli sorun çözme mekanizmaları öngörülmektedir. Hâlihazırda örneğin İngiltere’de veri ihlalleri neticesinde verilebilecek en yüksek para cezası 500 bin Pound iken GDPR ile bu rakam 200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü gibi önemli miktarlara ulaşabilmektedir. 

Ayrıca GDPR kişisel verilerinin işlenmesi sırasında zarara uğrayanlara (hukuka aykırı işleme sırasında veri kaybı gibi) toplu tazminat da dâhil olmak üzere, Amerikan hukuk sisteminde yer alan toplu dava sistemine eşdeğer bir tazminat talebi hakkı tanımaktadır. 

4. Kullanıcılardan Onay Alınma Zorunluluğu ve Unutulma Hakkı


Tüzük’ün 32 numaralı dibacesinde de ifade edildiği üzere, kullanıcıların çevrimiçi sosyal ağların veya internet tarayıcılarının gizlilik ayarlarına ilişkin sessiz kalmaları yahut o zamana kadar herhangi bir itirazda bulunmamış olmaları durumunda varsayılan ayarlar geçerli bir rızanın alındığı anlamına gelmemektedir. Zira kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca matuf, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Ayrıca rızanın elektronik araçlarla istendiği durumlarda bu istek, açık, özlü ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır. 

Yine GDPR ile getirilen düzenleme kapsamında kullanıcılar kendilerine ait kişisel verilerin silinmesini talep edebilme hakkını haizdir. Kişisel veri sahiplerinin hakları kapsamına alınan “unutulma hakkı” GDPR’nin 17. maddesi kapsamında silinme hakkı (right to erasure) başlığı altında düzenlenmektedir. Veri sahipleri, verilerinin artık toplanma amacı ile ilgili olarak tutulmasının gerekli olmadığı, veri sahibin rızasının bulunmadığı yahut veri sahibinin verisinin işlenmesini istemediği veya kişisel verinin GDPR’ye aykırı işlendiği durumlarda verilerinin silinmesini veya bundan sonra işlenmemesini talep edebilme hakkına sahiptir. 

III. Tüketici, Çalışan İşletme Sahibi Ya da Serbest Meslek Sahibi Olarak Tüzüğün Getirdiği Somut Hak ve Yükümlülükler

1. Çalışanlar


İşveren, veri işleyen (Datenverarbeiter) sıfatıyla, çalışanlarına, haklarında hangi bilgileri topladığı ve kaydettiği hususunda bilg vermekle yükümlüdür. Burada işveren ayrıca kaydedilen bilgilerin tekrar ne zaman silineceği hakkında da bilgi vermekle yükümlüdür. Kural olarak işbaşvurularına dair bilgilerin 4 ila 8 ay sonra silinmelidir. 

Çalışanın hakları yanında, yükümlülükleri de vardır. Çalışan bir müşterisinden e-posta iletisi almışsa, bu e-postanın bir başkasına iletilmesi için rızasını almalıdır. Genel olarak iş adresine gelen e-postaların kişisel e-posta adresine yönlendirilmesi hukuka uygun kabul edilmemektedir, zira işletmeler bu şekilde söz konusu veri üzerindeki kontrolü kaybedeceklerdir. Aynı sebeple, işe ait verilerin, işverenin izin verdiği bulut hizmetlerine kaydedilmesi mümkündür. 

Çalışan işinde kullandığı dizüstü bilgisayara (kendisine ait olup olmadığına bakılmaksızın) kaydettiği kişisel verilerin en azından AES-256 standartlarında şifrelendiğini temin etmelidir.


2. Hastalar


Gittiğiniz doktorun sizin hakkınızda şikayetinizi ya da hastalığınızla ilgili olarak oluşturduğu, topladığı veya kaydettiği kişisel verilerle ilgili olarak şu hususlar geçerlidir: 


Bilgi alma hakkı: Doktorunuzda, sizin hakkınızda hangi kişisel bilgileri topladığı konusunda bilgi talep edebilirsiniz. 

Bilgilerin derlenmesi: Doktorunuza, yalnızca hastalığınızın tedavisi için gerekli olan bilgileri vermekle yükümlüsünüz. Alerjiniz varsa veya bazı ilaçlara karşı intoleransa sahipseniz, bu tür bilgileri vermekle yükümlüsünüz. Hasta formlarında çoğunlukla sorulan özel eposta adreslerinin verilmesi ise zorunlu değildir. 

Verilerin devri veya başkasına verilmesi: Doktorunuz, talep üzerine sizin hakkınızdaki bilgileri devretmekle, örneğin muayehanenin devri durumunda, yükümlüdür. Ancak bu yükümlülük, sadece sizin verdiğiniz bilgilerle sınırlıdır. 


3. Doktorlar, Avukatlar, Eczacılar


Doktorlar, avukatlar ve eczacılar, müşteri veya müvekkillerinin kişisel bilgilerine özenle muamele etmelidirler. Hastaların bilgileri hassas verileri olup, doktorlar veri sunucularının uzman kimselerce kontrol ve gözetimini temin etmelidirler. Her ne kadar bu zorunlu olmasa da, bunların yapılması herhangi bir arıza yahut hata durumunda (bu kişisel bilgilerin zarar görmesi veya yetkisiz kişilerin eline geçmesi halinde), özen yükümlülüğünü yerine getirdiğine dair bir kanıt teşkil edecektir.  

Kaydedilen verilerin türüne göre bir silme süreleri öngörülmüştür. Bu süreler çok uzun da olabilir, örneğin röntgen resimleri için bu süre 30 yıldır. 

Genel bir yükümlülük olarak silme yükümlülüğü doktorlar açısından öngörülmemiştir, ancak amaca ulaşılmış ve koruma süreleri geçen veriler silinmelidir. 

4. Online üzerinden satış yapan işletmeler


İnternet üzerinden mal satışı yapıyor veya hizmet sunuyor iseniz aşağıdaki hususlara dikkat etmeniz gerekir: 

Belgeleme yükümlülüğü: Diğer işletme sahipleri gibi küçük işletmeler de müşterileri hakkında hangi verileri ve hangi amaçla topladığını, kaydettiğini ve işlediğini bildirmekle yükümlüdür. Bu ise alışılagelmiş olarak, doğrudan ana sayfa üzerinden erişilebilecek „verilerin korunması açıklaması“ şeklinde (Mahremiyet – Gizlilik Politikası) yapılmalıdır. İşletme sahibi ayrıca, hangi verileri, nasıl ve hangi amaçla oluşturduğunu gösteren bir „veri işleme fihristi“ tutmalıdır. Bu fihrist, denetleme makamlarına karşı GVKT hükümlerine riayet edildiğinin kanıtı olacaktır. 

Veri koruma görevlisi: İnternet üzerinden satış ve hizmet sunan bir işletme, işletmenin faaliyet alanı hasssas veya suç verilerinin işlenmesi teşkil etmesi (örn. Bilinmeyen numaralar hizmetleri) veya on veya daha fazla personelin işletmede kişisel verilerin işlenmesiyle düzenli olarak uğraşması halinde „veri koruma görevlisi“ istihdam etmesi gerekir. Küçük işletmelerin bu nedenle „veri koruma görevlisi“ çalıştırmaları zorunlu değildir. 

5. Internet üzerinden alış -veriş yapanlar


Küresel çapta geçerlilik: Yabancı işletmeler de, mal veya hizmetlerinin AB içindeki kimselere de sunulduğu anlaşılıyorsa, yeni Tüzüğün hükümlerine uymakla yükümlüdür. 

Verileri tutmanın kapsamı: Online alış veriş siteleri, yalnızca siparişin ifası için zorunlu olan bilgileri derleyebilir. Ancak bu işletmeler, müşterilerinin gönüllü olarak vermiş olduğu – örneğin sorulması halşnde telefon numarası gibi – bilgileri de kullanabililer, fakat bunun için bu verinin ne işe yarayacağı, ne olacağı veya olabileceği, örneğin işbirliği yapılan işletmelere verilmesi gibi, bilgilendirmelidirler. 

6. Yabancı işletmeler


Facebook, Twitter ve benzeri hizmetler sunan yabancı işletmeler de Tüzüğün hükümlerine riayet etmekle yükümlüdürler. 

Merkezleri AB dışında olan işletmeler de Tüzük hükümlerine uymakla yükümlüdür. Ancak bu yükümlülük, bu işletmelerin sunduğu mal veya hizmetlerin, AB üyesi ülke vatandaşlarına yönelik olduğu anlaşılmalıdır. Mal veya hizmet sunumunun AB ülkelerinin herhangi bir dilinde olması veya özel olarak AB ülkesi vatandaşlarına yönelik mal veya hizmet çeşitleri sunulması böyledir. 

Mal veya hizmet sunan işletme Tüzük hükümlerine tabi ise bu işletmeye karşı aynı AB’deki işletmelerde olduğu gibi bilgi talep etme ve silme hakkınız vardır. 

7. Telekomünikasyon işletmeleri


Telefon trafik bilgileri (kimin hangi numarasyı aradığı) ve sözleşme yapılması için gerekli olan bilgilerin çoğu kişisel veri olup şu hususlara dikkat edilmesi gerekir: 

Bilgi verme yükümlülüğü: Verilerin tasarruflu kullanılması ilkesi telefon ve diğer telekomünikasyon işletmeleri için de geçerlidir. Bu bakımdan her işletme mümkün olduğunca az veri tutmalıdır. Ancak işletmeler, gerekli olandan daha fazlasını örn. Reklam amacıyla müşlterilerinden talep edebilirler. Ancak bu durumda müşterinin, kişisel verinin kapsamı, amacı, türü ve süresi hakkında bilgilenme ve elbette bu verilerin reklam amaçlı kullanılmasına karşı çıkma hakkı vardır. 

Bilgi alma hakkı: Diğer tüm işletmelerde olduğu gibi mobil operatör işletmeleri de müşterilwerine bilgi vermekle yükümşdürler ve hazır tutulan verilerin, bu verilerin sözleşmenin ifası için zorunlu olduğunun açık şekilde ortaya koulamadığı hallerde, silinmesini talep etme hakları vardır.


8. İnternet site sahipleri


İnternet site sahipleri, bu sitenin hangi amaca hizmet ettiğini iyi belirlemeldirler. Zira sitenin aamcı, Tüzüğün hangi hükümlerine tabi olunacğaını da belirlemektedir. Kişisel internet site sahipleri de, kural olarak Tüzük hükümlerine tabidir. 

Kişisel internet siteleri: Tanıdıklar ya da arkadaşları için münhasıran kişisel internet sitesi işletenler, kişisel veri toplamadıkları sürece özel önlemler almalarına gerek yoktur. 

Dernek ve organizasyonalr: Bu tür özel hukuk kurum ve kuruluşları ile resmi kurumlar da, Tüzük hükümlerine tabidir. Bu tür kurum ve kuruluşlar için tıpku bağımsız ya da serbest çalışanlar için geçerli olan kurallar geçerlidir. Veri koruma bakımından bir internet sitesinde hassasiyet arz eden kısımlar, iletişim veya newesletter alma formları, çerez kullanımı yahut sosyal ağlardaki like butonları olabilir. Bu bağlamda, örneğin internet sitesinin güncellenmesi ile ilgilenen bir dernek üyesinin uygulamada „veri işleyen“ sıfatına sahip olabileceği unutulmamalıdır. Ancak bu gibi kimseler genelde dernek yönetimi adına ve hesabıan hareket ettiklerinden, dernek yönetimi hak ihlallerinden sorumlu tutulabilir. 

9. Serbest meslek erbabı


Küçük işletme veya serbest meslek erbabı olarak mal veya sundupu hizmetleri internete koyan bir kimse şu hususlara dikkat etmelidir: 

İletişim verileri ve e-posta gönderilmesi: İnternet sitelerinde yer alan basit iletişim formlarında dahi (kişisel verilerin) geçerli şifreleme teknikleriyle gönderilmesi temin edilmelidir. Ayrıca verilerin asgari düzeyde ve tasarruflu tutulması ilkesi geçerlidir Sadece zorunlu veriler sorulmalıdır. Düzenli e-posta veya newsletter yahut metinler gönderilmesinde, muhatabın çncesinde bu tür gönderimleri açıkça onaylamış olması gerekir. Reddedilmediği sürece Newsletter alımlarının onaylanmış sayılması geçerli değildir. Ayrıca siteyi işletenler, kimin ve hangi kapsamda ve hangi amaçla veriyi tuttuğunu açıkça açıklamalıdırlar. 

Analiz ve çerezler: Çerezler (cookies) çoğunlukla, kişisel ayarların kaydedilmiş olduğu, her seferinde ziyaret edilen sayfaya girildiğinde kullanılan küçük metinlerdir. Site işletenler, şimdiye kadar olduğu gibi sitelerinde çerez kullanıldığına dikkat çekmekle yükümlüdür. Ancak şimdikinden farklı olarak kullanıcıya, site işletenei olarak reddetme hakkı da tanımanız gerekir. 

Kullanıcı hakları: Bir internet sitesini ziyaret eden kullanıcılar yeni düzenlemenin yürürlüğe girmesiyle kapsamlı bir bilgi alma ve silme hakkına sahiptirler. Belirli şartlar altında işletene ilgili kişiyi, uygun önlemler yardımıyla silme hakkında bilgilendirmelidir. 

10. Çocuklar

Önceki veri koruma düzenlemeleri prensip olarak çoçukların ve yetişkinlere ait veriler hakkında bir ayrım yapmıyordu. Tüzükle birlikte artık bu da değişiyor. 

Asgari yaş: Kişisel verilerin işlenmesinei, ilgilinin asgari olarak 16 yaşında olması hlinde müsaaade edilmiştir. İlgili 16 yaşından küçükse, istisnai olarak ebeveyn bu onayı verebilir. Ancak bu onayın nasıl verileceği ya da yaş kontrolünün nasıl yapılacağı açık değildir.