25 Mayıs yani geçtiğimiz cuma yürürlüğe giren GDPR ile Google, Facebook gibi şirketlere açılan davalar artış gösterdi. Davalarla ilgili detaya girmeden GDPR hakkında bilgi vermek istiyorum. Yaklaşık iki senedir bir şekilde gündemde olan GDPR (The General Data Protection Regulation) aslında bir yönerge. Türkçe’ye çevrildiğinde, Avrupa Birliği Genel Veri Koruma Yönergesi gibi uzun bir açılımı olan yönergeye kısaca veri güvenliğini sağlamaya yönelik atılmış adımlar bütünü diyebiliriz. Aslında bir önceki ay bu konu üzerine uzun bir yazı yazmıştım ancak site çökünce maalesef o yazı da kayboldu. Ondan dolayı bir önceki yazımın bir özetine de bu makalede yer vereceğim. Evet, verilere korumaya yönelik bir yönerge dedik ancak detaylar ve kimleri kapsadığından söz etmedik.
Hepimiz son günlerde internet üzerinden girdiğimiz uygulama, hesap veya sitelerde bu konuda bildirim almışızdır. “Datanız bu sitede koruma altındadır ve 25 Mayıs itibariyle…” şeklindeki, kimi zaman sıkıcı olduğunu düşünüp çarpı tuşuna basarak çıktığımız bu bildiriler aslında faydalı bilgiler içeriyor. Şöyle ki internetin sizin 10 saniye önce hangi sitelerde dolaştığınızı, ne tür aktiviteler yaptığınızı belki de mesajlaşmalarınızı bile kayıt altına alıp data havuzları oluşturması kimi zaman sizi rahatsız edebilir. En azından beni ediyor 🙂 Son aylara damgasını vuran ve veri paylaşımı konusunda büyük skandala imza atılan Cambridge Analytica’da bu olaylara tuz biber oldu. Avrupa Birliği de bu işi kontrol altına almak adına yaklaşık 3 yıldır tasarladığı Genel Veri Koruma Yönergesi’ni resmi olarak geçtiğimiz hafta yürürlüğe aldı. Kullanıcılara yönelik tasarlanan yasadaki kullanıcı sıfatı, ilgili kişi, yani kişisel verilere sahip olan ve bu bilgileri paylaşan, paylaşabilecek olan kişilerin tümünü kapsıyor.
Avrupa Birliği Genel Veri Koruma Yönergesi Detayları
Kullanıcıların kişisel verilerini koruyan GDPR, “kişisel veriyi” “tanımlanmış veya tanımlanabilir kişiyle alakalı tüm veriler” olarak kabul ediyor. 25 Mayıs’tan itibaren isim ve adresten tutun da saç, göz, ten rengi veya geçmişinize ait tüm bilgiler bu korumaya tabi tutulacak. Şirketlerin, kişisel bilgilerinizi kullanırken bunları belgelendirmesi ve her biri için sizden izin alması gerekecek. GDPR’yi ihlal eden şirketler gelirlerinin %4’üne kadar para cezasıyla karşılaşabilecek. Kanun şu an için sadece AB sınırları içinde yürürlükte olmasına rağmen birçok şirketi de yakından ilgilendiriyor. Dünya üzerindeki şirketlerin büyük çoğunluğu Avrupa pazarını da kapsadığı için bu kanunu görmezden gelmek gibi bir durum pek de söz konusu değil.
Yönergenin öne çıkan maddelerini sıralarsak:
Verilerinizi Silme Hakkı: Bir kişi belirli şartlar altında elinde bilgilerini tutan şirketten bilgilerinin silinmesini talep edebilir.
Düzeltme Hakkı: Kişi şirketin ya da kurumun elinde bulundurduğu kişisel bilgilerinin değiştirilmesini talep edebilir. Bu işlemin 1 ay içinde düzeltilmesi gerekir.
Otomatikleştirilmiş Karar Vermede Özne Olmama: Bireyin kendi isteği dışında verilen otomatik kararlarda itiraz özelliği bulunabilir.
Verilere Erişim Hakkı: Bir kişi kendine ait verilerin saklandığı kurum ya da sistemden bilgilerini istediği zaman isteyebilmelidir.
Bilgilendirme Hakkı: Verilerinizi toplayan kurum ve kuruluşlarda bu bilgileri nerede kullanılacağını ve nasıl saklanacağına dair detaylı bilgi isteme hakkına sahipsiniz.
Maddeler fazla olduğu için yukarıda öne çıkanları paylaştım. Diğer hak ve yönerge maddelerini merak ediyorsanız tıklayabilirsiniz.
Kişisel Veri İhlaline Yönelik İlk Davalar Açıldı
Gelelim artık aktif olan GDPR ile birlikte açılan davalara. 25 Mayıs itibariyle dünyanın dört bir yanında kişisel bilgilerini suistimal ettikleri gerekçesiyle firma ve markalara irili ufaklı davalar açılmaya başlandı. Aslında bu beklenen bir durumdu çünkü kabul edilen yönergeyle birlikte uzun zamandır farkedilmemiş ya da göz ardı edilmiş pek çok ihlal için hukuksal başvuru legal hale geldi. Bu tarihten önce de davalar vardı ancak yasal bir düzene oturtulmadığı için çoğu zaman takipsizlikle sonuçlanıyordu. Artık markalar ve data depolayan şirketler daha dikkatli olmak zorunda.
Yönergenin yürürlüğe girmesiyle büyük şirketler de bu davalardan nasibini aldı. Avukat Max Schrems, 4 farklı müvekkili adına Facebook ve Google’a çeşitli nedenlerle dava açtı. Davaların açılmasındaki en büyük sebep ise platformların kişisel verileri işlemeye devam etmek için zorla rıza denilebilecek yollara başvurması. Kullanıcıların tercihine bırakılması gereken “onay akışı” maddelerindeki dayatmalar bu fitili ateşleyen başlıca sebep oldu. Davada talep edilen para ise Facebook’dan 3.9 Mİlyar Euro, Google’dan ise 3.7 Milyar Euro gibi uçuk bir tazminat. Tazminatı talep eden avukat Schrems ise Financial Times’a verdiği ropörtajda sistemin birçok eksiği olduğunu ve birçok kurumun hala GDPR’ı alenen ihlal ettiğini dile getirdi.
Yasa yeni çıkmasına rağmen davalar ve tazminatlar daha şimdiden konuşulmaya başlandı. Görünüşe göre “kişisel veri ihlali” konusunda gelecek günlerde bizi bol ihlalli ve tartışmalı günler bekliyor diyebiliriz.
