Turkey: Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Nedir?

Kişisel verilerin korunması kavramı diğer ülkelere nazaran Avrupa Birliği ('Birlik' / 'AB') ülkelerinde çok daha eski tarihlere dayanmaktadır. Bunun nedeni ise teknolojik gelişmeler ve bununla bağlantılı olarak verilerin ihlali tehlikesinin erkenden öngörülmüş olmasıdır. Bu öngörünün altında yatan sebep ise Birlik içinde mevcut olan hukuk bilinci ve teknolojik gelişmelere olan duyarlılıktır. Bu kapsamda kişisel verilerin işlenmesine dair başta kişisel mahremiyet hakkı olmak üzere gerçek kişilerin temel hak ve özgürlüklerini koruma amacıyla 1990'lı yıllarda çalışmalara başlanmış, 24 Ekim 1995 tarihinde "96/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi ('Direktif')i" yayınlanmıştır. Avrupa Birliği direktifleri tüm ülkelere doğrudan uygulanmayacağından, Direktif'te yer alan kuralların ulusal hukuklara (üye ülkelerin kendi iç hukuklarına) aktarılması beklenmiştir. Ancak bu aktarım aşamasında ülkelerin insiyatif sahibi olmaları ve yeknesaklığın sağlanamaması nedeniyle başarısız olmuştur. Bu doğrultuda yeni düzenleme ihtiyacı oluşmuştur ve Birlik, ülkelerinin iç hukuka uygulaması sırasında farklılıkların ortaya çıkmadığı bir düzenleme hedeflemiştir.

Direktif'in yayınından sonraki süreçte, yeni düzenlemeye gidilmesinin gerekliliğini kuvvetlendiren gelişmeler olmuştur ve Avrupa Birliği Adalet Divanı'nın verdiği iki önemli karara konu olay bu gelişmelerin önemli örnekleri olarak gösterilebilecektir: ''Schrems Kararı'' ¹ve ''İrlanda Dijital Haklar Kararı''²

Dolayısıyla yaşanan somut olaylar ve verilen mahkeme kararları, yeknesaklığın ivedilikle sağlanması gayesi sonucu, yeni düzenleme olan GDPR ('Tüzük'), 24 Mayıs 2016 tarihinde, Avrupa Parlementosu tarafından onaylanmıştır ve yürürlük tarihi, 25 Mayıs 2018 belirlenmiştir.

Yapılan düzenlemede neden Direktif yerine Tüzük formatının seçildiği, değinilmesi gereken önemli bir noktadır. Direktif, verilerin korunması ve aktarılması ile ilgili temel hatları çizmiş ve kalan bölümleri ülkelerin kendi iç yapısına ve iradesine bırakmıştır. Oysa Avrupa Birliği ülkeleri içerisinde serbest veri dolaşımını amaçlayan Tüzük, ilgili alanlarda uygulanabilmesi açısından üye ülkelerce herhangi bir düzenleme yapılmasını gerektirmeden doğrudan uygulanabilir durumdadır. Tüzüğün, kendisinden önce yapılan düzenlemeden en önemli farkı, Avrupa Birliği kişisel verilerin korunması hukukunu olabildiğince ayrıntılı bir biçimde düzenlemek suretiyle tek çatı altında toplamasıdır.³ Bu doğrultuda Tüzüğün uygulama alanının genişletilmesi ve Avrupa Birliği dışında kalan ülkelere de etki etmesinin önü açılmıştır. Tüzükte, daha önceki düzenlemede yer almayan yaklaşımların düzenlenmesinin yanı sıra önceden mevcut olan düzenlemelerin somutlaştırılması ve detaylandırılması söz konusudur. ⁴ Bir diğer önemli nokta ise GDPR ile uyumluluğu sağlayamayan kurum ve kuruluşlar için öngörülen cezalardır. Tüzük ile getirilen yükümlülüklere uymayan kurumlara, üst sınırı ihlali gerçekleştiren kurumların yıllık cirosunun %4'ü veya 20 milyon Euro olacak şekilde cezalar belirlenmesidir.

GDPR'ın Kapsam ve Amacı Nedir?

GDPR'ın kapsamı hem elde edilen verilerin toplanması hem de bu verilerin saklanması/korunması yönünde çeşitlenmektedir. GDPR temelde, Avrupa Birliği Haklar Bildirgesi madde 8/1'de ve Avrupa Birliğinin İşleyişine Dair Antlaşma madde 16/1'de öngörülen kişisel verilerin korunması hakkını desteklemeyi amaçlar. İlk olarak, kişisel verilerin işlenebilmesi için şart olarak getirilen sahibinin açık rızasının alınmasından yola çıkarak, 'Rıza' kavramının anlaşılması önemlidir. Kişisel verilerin işlenmesi hususunda oldukça önem arz eden Rıza kavramı, GDPR'da "Rıza; kendisine dair kişisel verilerin işlenmesi için veri öznesinin kabulüne işaret eden, özgürce ve bilgilendirilme yapıldıktan sonra alınan rızayı ifade etmektedir." şeklinde düzenlenmektedir. Ayrıca "Veri sahibinin rızası; veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir." şeklinde tanımlanmıştır. Bir diğer önemli nokta ise, ''Unutulma Hakkı' kavramıdır. GDPR madde 17 uyarınca Tüzüğün belirlemiş olduğu şartlar sağlandığı takdirde, veri sahibinin, veri sorumlusundan kendisini ilgilendiren kişisel verilerinin aşırı bir gecikme olmaksızın kaldırılmasını talep etme hakkı (unutulma hakkı) mevcut olacaktır. Bu şartlar; kişisel verilerin elde edildiği veya işlendiği amaçlar için gerekliliğini yitirmesi, veri sahibinin rızasını geri alması ve işlemeye ilişkin yasal sebebin ortadan kalkması, kişisel verilerin hukuka aykırı işlenmesi, veri sahibinin tabi olduğu Avrupa Birliği veya üye devlet mevzuatına göre silinmesinin zorunlu olması, bilgi toplum hizmetlerine sunulmak üzere elde edilen kişisel veriler şeklinde düzenlenmiş olup, oluşması halinde unutulma hakkı gündeme gelecektir. Tüzükte dikkat edilmesi gereken bir diğer husus ise, daha önce düzenlemeye konu olmamış; fakat ilke olarak uzun yıllardır var olan 'Tasarımdan İbaret Veri Mahremiyeti' kavramıdır. Bu kavram doğrultusunda Tüzük, GDPR'a tabi kurum ve kuruluşların mahremiyeti korumak amacıyla gerekli önlemleri almasını zorunlu hale getirmiştir. Son olarak dikkat çekmek istediğimiz husus ise, 'Avrupa Birliği dışına veri aktarma' konusudur ve GDPR madde 45/3'de düzenlenmiştir. Buna göre, Avrupa Birliği dışına veri aktarımını, ancak üçüncü devlette konuya uygun ve kapsayıcı kanun yollarının ve uygun güvenlik önlemlerinin varlığı halinde gerçekleştirebilecektir. Avrupa Birliği Komisyonu bu bağlamda üçüncü devlet, söz konusu devlet içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun yeterli koruma şartlarını sağlayıp sağlayamadığına karar verme hakkına sahiptir.

GDPR'ın Türkiye'de yerleşik kurum ve kuruluşlara etkisi nelerdir?

GDPR'ın Bölgesel Kapsam adlı 3'üncü maddesinin 2'nci bendi uyarınca; Avrupa Birliği dışında kurulu olan bir şirketin herhangi bir ödemeye tabi olmasa bile, Avrupa Birliği'nde yaşayan bir gerçek kişiye (data subject) önerdiği ürün ve hizmet vasıtasıyla Avrupa Birliği içindeki bir gerçek kişinin davranışlarını izler ise, o şirketin GDPR'a tabi olma ve bu doğrultuda önlemler alma yükümlülüğü ortaya çıkar. ⁵ Şöyle ki; Avrupa Birliği'nde kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir. GDPR metninde kullanılan "davranışların izlenmesi" terimiyle, bireylerin tüketim tercih ve alışkanlıklarının tespitine yönelik teknik yöntemlerle internet üzerindeki faaliyetlerinin gözetlenmesi anlaşılacak olup, Avrupa Birliği dışında faaliyet göstermesine karşın Avrupa Birliği tüketicisini hedefleyen şirketlerin GDPR'a tabi olacaklarını söylemek doğru olacaktır.

O halde, yukarıda belirtilen koşulların varlığı halinde, Türkiye'de yerleşik kurum ve kuruluşların da GDPR'a uyum gerekliliği gündeme gelecektir. Dolayısıyla, Avrupa Birliği üyesi ülkelere mal veya hizmet sunan, Avrupa Birliği içerisindeki veri sahiplerinin davranışlarının izlenmesi üzerine işlem yapan Türk kurum ve kuruluşları Türkiye'de yürürlükte olan Kişisel Verilerin Korunması mevzuatının yanı sıra GDPR'ın gerekliliklerini de yerine getirmekle yükümlü ve sorumlu olacaktır.

Örneğin; şirketinizin web sitesinde Avrupa Birliği'nde konuşulan dillerden birinde hizmet ve ürünler sunuyorsanız, bir iletişim sayfasından kişilerin bilgilerini toplayıp onlara Avrupa'da kullanılan para birimlerinde fiyat listesi sunuyorsanız ticari eylemleriniz aracılığıyla GDPR'a tabi bir internet faaliyeti gösterdiğiniz anlamına gelmektedir. Ayrıca bir web sitesi üzerinden veya farklı yöntemlerle, kişilerin bilgilerinin belirlenmesi, profillerinin çıkarılması, alışkanlıklarının aranması ve web çerezleri ile IP adreslerinin alınması da GDPR kapsamında değerlendirilecektir. Öte yandan, Avrupa Birliği üyesi ülkelerle ithalat, ihracat ve herhangi bir ticari faaliyette bulunuyorsanız, GDPR'a tabi olma durumu yine gündeme gelecektir.

Netice olarak, işlemin Avrupa Birliği sınırları dâhilinde gerçekleşip gerçekleşmediğine bakılmaksızın, Avrupa Birliği vatandaşlarının verilerini işleyen Türk kurum ve kuruluşlarının GDPR düzenlemelerin uygun hareket etmesi gerekmekte ve beklenmektedir.

Footnotes

1. Max Schrems v Irish Data Protection Commissioner (Safe Harbor), (2016)

2. DRI Brings Legal Action over Mass Surveillance, Digital Rights Ireland (09/14/ 2006

3. Smriti Ganotra, GDPR Compliant or Not, 5 CT. UNCOURT 2 (2018).

4. Smriti Ganotra, GDPR Compliant or Not, 5 CT. UNCOURT 2 (2018).

5. Goddard, M. (2017) 'The EU General Data Protection Regulation (GDPR): European Regulation that has a Global Impact', International Journal of Market Research, 59(6), pp. 703–705.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.