Avrupa Komisyonu GDPR Değerlendirme Raporu
Avrupa Komisyonu tarafından Global Data Protection Regulation (‘GDPR’) ile ilgili bir Değerlendirme Raporu (‘Rapor’) yayımlandı. GDPR’ın 97. maddesi uyarınca bu Raporun 25 Mayıs 2020 tarihine kadar yayımlanması gerekiyordu. Aynı madde içerisinde söz konusu raporun neleri içermesi gerektiği de düzenlenmiş durumda.
Rapora göre GDPR’ın geçtiğimiz iki yılında meydana gelen gelişmeler:
- AB vatandaşları kişisel verilerine dair hakları konusunda daha bilinçli hale geldi.
Avrupa Birliği Temel Haklar Ajansı’nın anketine göre, AB’de yaşayan 16 yaş üzerindeki kişilerin %69'u GDPR’ı duymuş, %71'i de yaşadığı yerdeki veri koruma otoritesi ile ilgili bilgi sahibi.
Özellikle verinin taşınabilirliği noktasında bir gelişim ihtiyacından bahsediliyor.
Bilinçlenen son kullanıcılar karşısında şirketler de inovasyonlarında risk temelli yaklaşıma kayıyor. Özellikle “data protection by design” ve “data protection by default” prensipleri hem daha fazla uygulanmaya başladı hem de bu prensiplere yönelik şirketlerde bilinç arttı.
GDPR sayesinde veri koruma otoritelerinin güçleri de arttı. Artık arkalarında ciddi bir para cezası gücü söz konusu. Diğer yandan insan kaynağı ve teknik/finansal kaynak ihtiyaçları da artmış durumda. Bu nedenle pek çok AB Üyesi Ülke açısından veri koruma otoritelerinde bütçeler ve insan kaynağı artırılmış durumda. Genel olarak çalışan sayılarında ortalama %42, bütçelerde %49'luk bir artış meydana gelmiş (2016–2019 arasında). Diğer yandan halen Üye Ülkelerin veri koruma otoritelerinin bütçe ve insan kaynakları arasında ciddi farklılıklara işaret ediliyor.
- Sınır ötesi veri aktarımları halen gelişim noktaları olduğunun altı çiziliyor. Etkin ve tutarlı bir uygulamanın henüz yakalanamadığı, GDPR’da düzenlenmiş olan her imkânın tam olarak değerlendirilemediği belirtiliyor.
- Veri koruma otoriteleri tarafından pek çok rehber yayımlandı. Burada bizim Kurul’un da GDPR ile ilgili olmasa da KVKK uygulaması açısından paralel hareket ediyor olması sevindirici. GDPR’ın yayımlanmasından sonraki süreçte pek çok üye ülkenin veri koruma otoritesi farklı konularda kendi uygulamalarındaki sıkıntıları gözlemleyip birtakım rehberler yayımladı ve telefon hatları kurdu.
Türkiye’deki Kişisel Verilerin Korunması Kurulu ile ilgili burada bir parantez açmak lazım. Paralel bir şekilde, bizim Kurul tarafından da pek çok rehber hızlı bir şekilde yayımlandı ve bir telefon destek hattı oluşturuldu. Ayrıca KVKK’nın uygulanması sürecinde de Kurul tarafından kendi gereksinimleri yerine getirilirken şeffaf hareket edildi ve Kurul da kendi envanterini, politikalarını yayımladı. Hatta çocukları bilinçlendirme amaçlı birtakım çalışmalar da gerçekleştirildi.
- Uluslararası (AB dışına) veri aktarımları açısından özellikle Japonya ile ciddi gelişmelerin mevcut olduğunun altı çiziliyor. Mevcut durumda en sık başvurulan transfer aracı sözleşmelere eklenen standart maddeler. Avrupa Veri Koruma Otoritesi (‘EPDB’) tarafından bu alanda sertifikasyon ve davranış kurallarının hazırlanma aşamasında olduğu belirtiliyor.
- Uluslararası ortaklıklar açısından da pek çok gelişme meydana geldiği belirtiliyor; Afrika — AB arasında gerçekleştirilen ortaklık ya da ‘Data Free Flow with Trust’ gibi girişimlerin desteklenmesi gibi. Bu ortaklıkların yanı sıra kolluk güçlerinin de benzer ortaklıklara gitmeleri. Bilindiği üzere günümüz şartlarında pek çok global ölçekli siber saldırı meydana geliyor ve bunların kolluk güçlerince karşılanabilmesi için Avrupa Komisyonu’nun mümkün mertebe Avrupa Konseyi’nden alacağı yetki ile üçüncü taraf kolluk güçleri ile ortaklıklar oluşturma yoluna gideceği belirtiliyor.
Buna paralel olarak Komisyon tarafından kolluk güçleri tarafından işlenen kişisel veriler ile ilgili ayrı bir doküman dayayımlandı.
Raporun İngilizce metnine buradan ulaşabilirsiniz.
