Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs Cuma günü yürürlüğe girdi. Bireylerin kişisel bilgi güvenliği ve gizlilik haklarını korumak amacıyla düzenlenen yönetmelik, kuralları ihlal eden şirketlere yıllık cironun yüzde 4’üne veya 20 milyon Euro’ya varan ağır cezalar verilmesini öngörüyor.
Yönetmeliğin yürürlüğe girmesi üzerine Avrupalılar, Los Angeles Times, Chicago Tribune, New York Daily News ve Baltimore Sun gibi Amerikan gazetelerinin internet sitelerine giremedi.
Bu gazetelerin sayfalarına ulaşmak isteyen okuyucular, haberler yerine, yönetmeliğin yürürlüğe girdiğine dair bir mesaj ve yönetmelikle ilgili resmi internet sitesine yönlendirildiler. Bu gazetelerin yeni yönetmeliğin şartlarına henüz uyumlu halde olmadıkları için sitelerini kapatarak olası bir cezadan kaçınmayı tercih ettikleri şekilde yorumlandı.
Almanya’dan Los Angeles Times sitesine giren okuyucular, gazetenin, teknik uyum şartlarına çözüm aradığına dair bir mesaj da aldılar.
Ancak yasa, aynı zamanda, bireylerde de kafa karışıklığına yol açtı. Örneğin Finlandiya’da, hükümete başvuran bazı kişiler, yeni yönetmelik sonrasında, çocuklarının doğum günü partileri için elektronik posta ile davetiye gönderip-gönderemeyeceklerini sordular.
Bunun üzerine Finlandiya Adalet Bakanı Anu Talus, televizyondan açıklama yaparak yeni uygulamanın bireyleri değil ticari kurumları hedef aldığını söyledi.
Google, Facebook, Instagram ve WhatsApp davalık oldu
Yeni yönetmelikten cesaret alan bir tüketici hakları grubu da Google, Facebook, Instagram ve WhatsApp’ı dava etti. Bu şirketlerin kişisel veri toplama şekline itiraz eden grup, bu şirketlerden 7 milyar dolar tazminat parası almayı da umuyor. Grup, bu şirketlerin, hizmetlerini sunmak için kullanıcılarını şartlarını kabul etmeye zorladığını söylüyor.
Avrupa Birliği tarafından 2016’da kabul edilen reformun ülkelerin ulusal kanunlarına uyumlu hale getirilmesi için 2 yıl süre tanınmıştı. Türkiye dahil AB ile ve AB vatandaşlarıyla internet üzerinden e-ihracat yapan ve kurumsal ilişkisi olan tüm şirket ve kurumları ilgilendiren toplam 99 maddelik yönetmelik, AB’nin son yıllarda yaptığı en büyük reformlardan biri olarak tanımlanıyor.
Geçmişte internet üzerinden şirket ve kurumlara kişisel bilgilerini veren tüketiciler son günlerde e-maillerle yeni yönetmelik hakkında uyarılırken, söz konusu bilgilerin bundan sonra da kullanılabilmesi için teyit gerekiyor. Yönetmelik kullanıcıların daha önce vermiş oldukları veri işleme izinlerini istedikleri anda kaldırabilmelerini de kolaylaştırıyor.
Genel Veri Koruma Yönetmeliği internet üzerinden satış veya başka bir hizmet sunan işletmelerle, resmi daireleri, doktorları, spor kulüplerini ve derneklerini de kapsıyor. GDPR’da kullanıcı, hukuki dilde ‘ilgili kişi’ olarak tanımlanıyor. İsim, fotoğraf, ev adresi, e-posta adresi, banka bilgileri, sağlık durumuyla ilgili bilgiler, ailevi, ekonomik ve sosyal özelliklerine ilişkin çeşitli bilgiler ve kullanılan bilgisayarların IP adresleri ‘ilgili kişinin verisi’ sayılıyor. Yönetmelik, kullanıcılara kendileri ile ilgili hangi verilerin nerede, hangi maksatla ve hangi içerikle kaydedildiği konusunda bilgi alma hakkını da tanıyor. Buna göre, verileri depolayan şirket ya da kurum, istek üzerine verilerin bir kopyasını ücretsiz şekilde vermek zorunda. Ayrıca kişisel verilerin istek üzerine tümüyle silinmesi de hak olarak tanınıyor.
Tüketicileri ve bireylerin haklarının korunmasını hedefleyen en önemli noktalardan biri, şirket ve kurumların kişisel verilerin talep edildiği tüm süreçlerini açık, şeffaf ve anlaşılabilir şekilde ifade etmek zorunluluğu. Yeni yönetmeliği dikkate almayan şirketler önemli cezalar ödemek durumunda kalacak. Şirketlere 20 milyon Euro’ya kadar veya şirketin dünya çapındaki cirosunun yüzde 4’üne ulaşan para cezası uygulayabilecek. Cezanın miktarı, kuralların ihlali durumunda ihlal edilen maddenin ağırlığına göre verilecek. Cezayı uygulama ve miktarını saptama AB ülkelerinin denetleme makamlarının sorumluluğunda olacak.
