Uyum için yol haritası
AB Genel Veri Koruma Tüzüğü 14 Nisan 2016 tarihinde AB parlamentosu tarafından onaylandı ve 25 Mayıs 2018’de yürürlüğe girecektir. Bu mevzuatın iceriği tüm Avrupa Birliği (AB) üye ülkelerine uygulanacak yeni bir veri koruma çerçevesi olarak tanıtılmaktadır. Bu yeni rejim sonucunda, kuruluşların kişisel verilerin saklanması, toplanması ve tedavisi ile ilgili yükümlülükleri artacaktır.
GDPR ilk bakışta sadece AB ülkelerinde uygulanıyor gibi gözüksede, AB vatandaşlarının kişisel bilgilerini depolayan veya işleyen Türkiye’deki herhangi bir şirket, AB içinde bir ticari varlığı olmasa bile GDPR’a uymak zorundadır. Yani AB dışında faaliyet göstermeyen Türkiye’deki bir şirket AB tüketicisine sahipse GPDR’a tabi olacaktır.
Aksi halde, Türkiye’den AB ülkerine ya da AB vatandaşlarına yönelik yapılan bir faaliyet (örneğin: e-ticaret siteleri) GDPR ihlali halinde azami miktarı 20 milyon Euro ile tüzel kişiler için önceki mali yılın yıllık dünya cirosunun %4’ü arasında miktar olarak daha yüksek olanı şeklinde idari para cezasıyla karşılaşabilirler.
Bu çerçevede, ülkemizde de temel haklar arasında yer alan kişisel verilerin koruması hakkıyla bireylerin korunmasının yanı sıra teknolojik gelişmelerden, bilgi ekonomisinden ve yenilikçilikten faydalanılması amacı doğrultusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiştir. Söz konusu Kanun’un hazırlanması sürecinde AB hukuki düzenlemelerinden faydalanıldığı görülmektedir.
Türkiye’de kişisel verilerin korunması hukukunda temel düzenleme olarak kabul edilen 6698 sayılı Kanun amaç, kapsam ve hükümleriyle birlikte değerlendirildiğinde Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin 95/46/AT sayılı Direktif ile büyük ölçüde uyumluluk arz etmektedir. Bununla birlikte, 6698 sayılı Kanunun kabulünden kısa bir süre sonra AB Veri Koruma Reformu kapsamında hazırlanan GDPR Avrupa Parlamentosu tarafından onaylanarak kabul edilmiştir.
Söz konusu yeni Tüzük’le 95/46 sayılı Direktif’te yer alan hükümlerin modernize edilmesi ve güncellenmesi amaçlanmıştır.
Bu çerçevede, 6698 sayılı Kanun’un kurgulanmasında GDPR hükümleri değil, o dönemde yürürlükte bulunan 95/46 sayılı Direktif hükümlerinin esas alındığı görülmektedir.
GDPR, 95/46 no’lu Direktif’le kıyaslandığında, özellikle sorumluluklar, yaptırımlar, kişi hakları ve veri koruma tedbirleri açısından daha sıkı ve kapsamlı düzenlemeler getirmiştir. Başta veri işleyen tarafların artırılmış sorumluluk rejimi, unutulma hakkının kanunla tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması yoluyla caydırıcılığın güçlendirilmesi olmak üzere veri taşınabilirliği ve etki değerlendirmesi ile tasarımdan itibaren güvenlik gibi yenilikçi yaklaşımların, ve veri denetleyicisi, veri işlemcisi ve veri koruma sorumlusu (DPO) başlıkları altındaki yeni rollerin, Türkiye’de bulunan şirketlere uygulanması ve rollerin karşılığının şirket bünyesinde yer verilmesi gerekilmektedir.