GDPR’ın(Genel Veri Koruma Tüzüğü) Oluşturulma Amacı
GDPR öncesi 1998 yılında yürürlüğe giren 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”, kişisel verilerin korunması alanında Avrupa coğrafyası ile sınırlı kalmayan ve tüm dünyada kabul gören bir çerçeve sunmuş, doğrudan hukuki bağlayıcılığı olmaması nedeni ile birlik üyesi her ülke tarafından kendi yerel mevzuatlarını yaratmalarında referans olarak kullanılmıştı.[1]
7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu”, GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş, yani 95/46/AT sayılı direktif referans alınarak hazırlanmıştır.
Buna göre, GDPR Avrupa Birliği’nde kişisel verilerin korunmasını üye ülkelerde uyumlaştıran, Direktif’in amaç ve ilkelerini korumakla birlikte , kişisel verilerin işlenmesi ve dolaşımı ile ilgili kuralları daha ayrıntılı bir şekilde düzenlemektedir.
GDPR’ın en temel amacı, gerçek kişilere, kendi verileri üzerinde güçlü ve tüm üye ülkelerde eşit seviyede bir koruma sağlayarak ve veri işleyenler ile veri sorumlularının sorumluluklarını ayrıntılı şekilde düzenleyerek, kişisel verilerin Avrupa Birliği içinde serbest olarak dolaşımının sağlanmasıdır.
GDPR Yalnızca Bir Avrupa Birliği Standardı Mı?
Avrupa Birliği (“AB”) üye devletleri 25 Mayıs 2018 tarihinde yürürlüğe girmiş olan GDPR’ı (Avrupa Birliği Genel Veri Koruma Tüzüğü-General Data Protection Regulation) uygulamaya başladılar.
95/46 sayılı Direktif’in yerini alan yeni düzenlemenin sadece AB’deki sorumlular için değil, belli şartlar dahilinde AB dışındaki sorumlular için de uygulanacağı kabul edilmektedir.
GDPR’ın taslağının ilk yayınlandığı günden beri yarattığı tartışma ortamı ve etki dikkate alındığında, bunun sadece bir mevzuat olmanın ötesinde, aslen kişisel verilerin korunması ve bu alanın hukuken düzenlenmesinde, küresel ölçekte yön gösterici bir kaynak olduğunun kabul edilmektedir.
Ekonominin dijitalleşmesi ve veri devriminde, hukuki standartların belirlenmesi açısından, öncü olmayı hedefleyen ve bu alana yön vermek isteyen Avrupa Birliği, bu emeline kişisel veriler anlamında, GDPR ile ulaşmıştır.
Nitekim Avrupa Birliği ile güçlü ticari ilişkileri olan İsviçre, Yeni Zelanda, İsrail gibi ülkelerin iç hukuklarını GDPR’a uyumlu hale getirerek “yeterli koruma düzeyine sahip” ülke olarak tanınmaları, ABD’nin Kaliforniya eyaletinde henüz yasalaşan Consumer Privacy Act 2018 (Tüketici Gizlilik Yasası) ve ABD’nin yakın zamanda federal seviyede benzer bir yasalar yapacağının kuvvetle muhtemel olması*(Kalifornia’dan sonra Virginia ve Colorado eyaletlerinde kapsamlı gizlilik yasaları çıkartılmıştır.), GDPR’ın oyunun kurallarını belirlediğinin en büyük kanıtıdır.
*Amerika Birleşik Devletleri, her tür verinin gizliliğini kapsayan tek bir yasaya sahip değildir. Bunun yerine, HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA ve VPPA gibi kısaltmaların kullandığı bir dizi yasaya sahiptir.Şu anda, ABD’deki üç eyalette üç farklı kapsamlı tüketici gizliliği yasası vardır: California ( CCPA ve düzeltmesi, CPRA ), Virginia ( VCDPA ) ve Colorado ( ColoPA ). Bir şirketin hangi eyalette bulunduğuna bakılmaksızın, yasaların sağladığı haklar yalnızca bu eyaletlerde yaşayan kişiler için geçerlidir.
Türkiye için ise Avrupa Birliği’nin gerek siyasal gerekse ticari önemi tartışmasızdır. Bunun en büyük yansıması da kanun koyucunun özellikle ticari faaliyetlerle ilgili yasama faaliyetlerinde Avrupa Birliği Hukuku ile uyumu yakalama gayretinde olmasıdır.
Nitekim kişisel verilerin korunması bakımından da aslen Türkiye’nin, uzun bir süreç sonunda kanunlaşan, KVKK ile amaçladığı o zaman yürüklükte olan Direktif’i ile uyumun sağlanmasıydı.
Uluslararası çaışan şirketler bakımından ise GDPR’ı ihlal eden veri sorumluları ve veri işleyicileri için öngörülen cezanın yıllık global cironun %4’üne kadar ya da 20 Milyon Euro(yaklaşık 24.1 milyon $)’ya kadar (hangisi daha yüksekse) çıkabildiği dikkate alındığında AB’de yerleşik olmayan fakat tüzük kapsamına giren sorumluluğun olması GDPR’ aslında dünya çapında kişisel verilerin korunması hususunda bir standart haline getirmiştir.
GDPR Mayıs 2018'de yürürlüğe girdiğinden beri, Avrupa Ekonomik Alanı (AEA) ve Birleşik Krallık’ta 800'den fazla para cezası verildiğini gördük. Uygulama biraz yavaş başladı. Ancak 18 Temmuz 2020 ile 18 Temmuz 2021 arasında, cezaların boyutunda ve miktarında önemli bir artış oldu ve toplam cezalar yaklaşık %113,5 arttı.
Kaynakça:
Daha Fazlası İçin:
DataBulls’u Medium, Linkedin ve Twitter platformlarından takip edebilirsiniz.
Aramıza yazar olarak katılmak isterseniz Link’e tıklayarak formu doldurmanız yeterli olacaktır. Sizi aramızda görmekten mutluluk duyarız.
Bir sonraki yazıda görüşmek üzere.
Serinin diğer yazıları:
