GDPR, Türkiye’deki şirketler için ne ifade ediyor?

Veri yönetiminde kartlar yeniden dağıtılıyor.

06.04.2018 - 16:01 | Haluk Kasarcı

Veri yönetiminde kartlar yeniden dağıtılıyor

İnternette olan biten her şeyin kalbinde yer alan veri konusunda yakın zamanda yürürlüğe girecek yeni düzenleme, dijital reklam ekosistemini hatırı sayılır bir değişime zorlayacağa benziyor. Tüketicilerden markalara, dijital tedarik zincirlerinden reklam network’lerine pek çok tarafı doğrudan ilgilendiren ve 25 Mayıs itibarıyla yürürlüğe girecek olan GDPR (Global Data Protection Regulation – Global Veri Koruma Yönetmeliği) son yıllarda AB vatandaşlarının mahremiyetini korumaya yönelik atılmış en önemli adımlardan biri olarak görülüyor.

Nisan 2016’da hazırlanan ve 25 Mayıs itibarıyla, AB’ye üye 28 ülkenin tamamında geçerli hale gelecek olan GDPR, Türkiye’de halihazırda yürürlükte olan Kişisel Verilerin Korunması Kanunu’nun esas aldığı, 1995 tarihli düzenlemenin* güncellenmesiyle oluşturulmuştu.

Yeni düzenlemenin kalbinde tüketici var

GDPR, bireyleri “data subject” (veri sağlayan kişiler) olarak tanımlayan ve dünyanın neresinde faaliyette olursa olsun, AB vatandaşlarının kişisel bilgilerini toplayan/işleyen tüm kurumları, hakkında veri topladığı bireyleri herhangi bir yanlış anlaşılmaya mahal vermeyecek şekilde bilgilendirmekle yükümlü kılıyor.

Yeni düzenlemeyle unutulma hakkının da resmî olarak tanınacağını belirtmekte yarar var. Buna göre 25 Mayıs itibarıyla kişisel verilerinin internetten silinmesini talep eden kişilerin bu talebi yerine getirilmek durumunda olacak. Yeni düzenlemenin tüketiciyi kuvvetlendiren bir başka boyutu da hangi verilerin ne amaçla depolandığını sorgulama hakkı. Buna göre kişisel herhangi bir veriyi işleyen herhangi bir kurum, talep edilmesi durumunda hangi veriyi depoladığını ve bu veriyi hangi amaçla kullandığını beyan etmek durumunda olacak.

Son yıllarda örneklerine sık rastladığımız ve şirketlerin başını fazlasıyla ağrıtan hack’lenme vakaları da GDPR’nin yaptırımlarından azade değil. Yeni düzenleme, hack’lenen şirketlerin yaşanan durumu şeffaf biçimde müşterilerine aktarmasını zorunlu kıldığı gibi gerekli güvenliği sağlayamadığı için cezalandırılmasını da öngörüyor. Bireylerin doğrudan veya dolaylı olarak tanınmasını sağlayan isim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri gibi tüm veri parçacıklarının GDPR kapsamında olduğunu hatırlatmakta yarar var.

Yeni dönemle birlikte GDPR’ye aykırı bir veri ihlali, söz konusu ihlale sebep olan kurumlar için 20 milyon Euro** veya bir önceki mali yıl küresel cirosunun yüzde 4’üne varan para cezaları anlamına geliyor.

Tüketici-marka ilişkisinin kalbine bireyleri koyan GDPR, markaların yanı sıra onların birlikte çalıştıkları dijital tedarik zincirindeki tüm paydaşların sorumluluğunu fazlasıyla artırmasını zorunlu kılıyor.

*European Union Directive 95/46/EC
**Kişisel Verilerin Korunması Kanunu kapsamında, yaşanan veri ihlalleri için uygulanabilen idari para cezası 1 milyon Türk lirası ile sınırlı.

MediaCat yazarlarından, BPN Istanbul CEO’su Nüzhet Algüneş geçtiğimiz Facebook’ta yaşanan krizi mercek altına alan son yazısında GDPR’nin bu gibi vakaların önüne geçmek adına önemli bir dönüm noktası olabileceğini ifade etmiş, Türkiye için henüz bağlayıcılığı olmayan düzenlemeye ilişkin gelişmelerin takip edilmesinin tüm sektör adına faydalı olacağını belirtmişti. Nüzhet Algüneş’in ilgili yazısına buradan ulaşabilirsiniz.

GDPR’nin Türkiye’deki şirketlere hangi şartlarda uygulanabileceğini ve olası etkilerini bizim için açıklayan bilişim hukuku avukatları Burçak Ünsal ve Mert Yaşar’ın görüşleriyse şöyle:

GDPR’nin Türkiye’deki şirketlere etkisi

25 Mayıs 2018 tarihinde yürürlüğe girecek AB Genel Veri Koruma Tüzüğü (“GDPR”) AB’de olmayan şirketler için birtakım yükümlülükler getiriyor. GDPR, AB dışında bulunan şirketlere aşağıdaki hallerde uygulanabilecek:

AB’deki kişilere ürün veya hizmet sunulması: AB dışındaki bir işletme, AB’deki kişilere yönelik ürün ve hizmetler sunması halinde, GDPR kapsamına girecek. Bu kapsamda işletmenin hizmet veya ürünlerini satması zorunlu olmayacak.

İşletmelerin burada yer unsurlara sahip olup olmaması halinde AB mukimine yönelik hizmet verdiği kabul edilebilecek: platformda AB dillerinin kullanılması, bu dillerle müşterilerin sipariş verebilmesi, ücretlerin Euro üzerinden gösterilmesi, hizmetlerin AB müşterilerine yönelik olması. Sözgelimi e-ticaret sitesini Avrupa’ya açmak isteyen Türkiye’deki işletmeler, faaliyetleri kapsamında GDPR’ye tabi olacak.

AB’deki kişilerin izlenmesi: AB dışında bulunan işletmeler, AB mukimlerin online davranışlarını izlemesi ve profillerini çıkartması halinde GDPR’ye tabi olacak. Bu durum özellikle e-ticaret şirketlerini ve reklam ağlarını etkiliyor. Nitekim GDPR, IP adresi ve çerez ID’si gibi online tanımlayıcıları kişisel veri olarak kabul ediyor. Bu sebeple, AB veri sahibine yönelik izleme faaliyeti gerçekleştiren Türkiye’deki şirketlerin GDPR’ye uyması gerekecek.

GDPR, Türkiye'deki şirketler için ne ifade ediyor?

Avukatlar Burçak Ünsal ve Mert Yaşar

Türk şirketlerin, GDPR’de belirtilen kapsama girmesi halinde, veri koruma müdürü (data protection officer) ataması gerekecek.

GDPR’yi ihlal eden şirketler, şirketin yıllık global cirolarının yüzde yüzde 4’üne ya da 20 milyon Euro’ya kadar para cezasına (hangisi yüksekse) çarptırılabilecek.

Şirketlerin, GDPR kapsamına girip girmediğini incelemesi oldukça önem arz ediyor. Özellikle AB pazarına açılmış Türk şirketlerin ticari faaliyetlerini daha güvenli bir şekilde yürütebilmesi için GDPR uyumluluğunun dikkate alınması elzem.