AB dört yıllık bir hazırlık süresinden sonra, 95 yılında yayınlanan 95/46/EC sayılı kişisel verilerin korunması yönetmeliğini yürürlükten kaldıran ‘’General Data Protection Regulation’’ yönetmeliğini yayınlamıştır.Yönetmelik 25 Mayıs 2018 tarihinde yürürlüğe girecektir.
Yeni yönetmelik köklü değişiklikler getirmektedir.Bu değişiklikler, AB ülkeleri ve firmaları ile iş yapan diğer ülkeleri ve firmaları da yakından ilgilendirmektedir.Türkiye’nin 3 Mart 2016 tarihinde yürürlüğe koyduğu kişisel verilerin korunması hakkında kanun, 95 yılında yayınlanan 95/46/EC sayılı AB yönetmeliği esas alınarak hazırlanmıştır.
Yeni yönetmeliğin önemli hükümleri özet olarak aşağıdadır.Burada verilen bilgiler sadece ön bilgilendirme amaçlıdır. Daha detaylı bilgiler http:///www.eugdpr.org sitesinde bulunmaktadır. AB ülkeleri ve firmaları ile iş yapan firmalarımızın bu konuda danışmanlık hzmeti almaları önerilir.
Alan dışı geçerlilik;
En büyük yenilik alan dışı geçerliliktir.AB üyesi ülkelerde ikamet eden kişilerin kişisel bilgilerini işleyen tüm şirketleri, hangi ülkede kayıtlı olduğuna bakılmaksızın bağlamaktadır. AB üyesi olmayan ülkelerin şirketleri, AB vatandaşlarına ürün sunup, hizmet veriyorlarsa (Bunlar ister ücretli ister bedelsiz olsun) , veya davranışlarını izliyorlarsa ve AB ülkelerinin vatandaşlarının kişisel verilerini işliyorlarsa , AB ‘de bir temsilci atamak zorundadırlar.
Cezalar;
Genel veri koruma yönetmeliği kapsamında, firmalara yönetmeliğin ihlali halinde yıllık cirolarının veya 20 Milyon EUR’nın %4’ne kadar (Hangisi büyükse) ceza verilebilir. Bu verilebilecek azami cezadır. İhlalin kapsamına göre kademli olarak artan bir cezalandırma uygulanabilmektedir.
Kişi muvafakatı;
Muvafakat şartları kuvvetlendirilmiştir. Artık şirketler uzun, anlaşılmaz ve her yaptıklarını yasal gösterecek şekilde muvafakat isteyemeyeceklerdir. Verinin mahiyeti ve ne maksatla kullanılacağı açık ve anlaşılır şekilde sorulacaktır. Muvafakatı iptal etmekte, muvafakat verilmesi kadar kolay olmak zorundadır.
Veri Sahibinin Hakları;
İhlal Bildirimi;
Bir ihlal durumunda, bireylerin hak ve özgürlüklerinin risk altına girmesi ihtimali söz konusu ise, ihlal bildirimi zorunludur. Bu 72 saat içinde yapılmalıdır. Veri işleme yetkilileri, müşterileri ve kontrol görevlilerini gecikmeksizin bilgilendirmelidirler.
Erişim Hakkı;
Yeni yönetmelik ile kişisel verinin sahibi, veri kontrol görevlilerinden kendisi ile ilgili verilerilerin işlenip işlenmediğini, işleniyor ise nerede ve hangi maksatla işlendiği konusunda teyid alma hakkında sahiptir. Veri kontrol görevlisi, kişisel verilerin bir kopyasını , ücretsiz olarak ve elektronik ortamda vermek zorundadır.
Unutulma hakkı;
Verinin silinmesi olarak ta bilinir. Bu hak, veri sahiplerine, veri kontrol görevlilerinden, kişisel verilerinin silinmesini, verilerin paylaşımının durdurulmasını, muhtemel üçüncü tarafların veri ile ilgili işlem yapmalarının sonlandırılmasını isteme hakkı vermektedir. Verilerin silinme şartları yönetmelikte detaylı açıklanmıştır.
Verinin Taşınabilirliği;
Verinin taşınabilirliği kapsamında, veri sahibi, daha önce bir kontrolöre usulüne uygun olarak vermiş olduğu kendisi ile ilgili kişisel verileri alma hakkını, başka bir kontrolöre taşıma hakkına sahiptir.
Tasarımda kişiselleştirme;
Genel veri koruma yönetmeliğinin yasal bir parçasıdır. Özünde, kişisel verilerin korunması ile ilgili gereklilikler, daha sistemin başlangıç aşamasında sisteme dahil edilmelidir, ek bir modül olarak düşünülmemelidir. Kontrolör, veri sahibinin haklarını korumak ve yönetmeliğin şartlarını yerine getirmek için, uygun teknik ve yönetimsel tedbirleri uygulamalıdır.
Veri Koruma Görevlileri;
Yönetmelikte belirtilen kriterlere uyan kuruluşlar, ‘’Veri Koruma Görevlisi’’ atamak zorundadır. Veri Koruma Görevlilerinin nitelikleri ve görevleri yönetmelikte detaylı olarak açıklanmıştır.
Konu, başlangıçta da vurgulandığı gibi, AB ülkeleri ile iş yapan şirketleri yakından ilgilendirmektedir. Bu nedenle AB ülkeleri ile işbirliği yapan firmalar, öncelikle çalışmalarının bu mevzuat kapsamında olup olmadığı belirlemeli ve buna göre gerekli yasal ve teknik gereklilikleri yerine getirmelidirler.
Bilal Yeşil
Tasimacilar.com