Avrupa Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2020’de ikinci yıl dönümünü kutladı.. Siber güvenlik kuruluşu ESET, aralarında Türkiye’nin de bulunduğu pek çok ülkede verilerin işlenmesine yönelik mevzuatların yürürlüğe konmasına GDPR’ın vesile olduğunu hatırlattı. ESET Kıdemli Güvenlik Uzmanı Tony Anscombe, GDPR kapsamında en büyük cezanın İngiliz Havayolları British Airways’e kesildiğini paylaştı.
GDPR’ın yürürlüğe girdiği Mayıs 2018’den bu yana müşteri verilerini korumakta başarısız olan şirketlere çok büyük cezaların kesildiğini gördük. 2018 yılındaki veri ihlali nedeniyle İngiliz Havayolları British Airways’e 204 milyon euro tutarında para cezası verilmesi önerildi. En yüksek ceza tutarında ikinci sırayı ise 110 milyon euro ile Marriot Otelller Zinciri, üçüncü sırayı ise 50 milyon euroluk ceza ile Google aldı.
British Airways ve Marriot ile ilgili ceza görüşmeleri sona erdirilmedi ancak bu ceza veya ceza tekliflerinin, işletmelerin kullanıcı bilgilerini nasıl sakladıkları konusunda daha fazla sorumluluk bilinciyle hareket etmelerine yardımcı olduğu kesin!
Dünyadaki diğer mevzuatlar
GDPR (General Data Protection Regulation), dünya genelindeki veri koruma mevzuatları arasında ilk yürürlüğe girenlerden biri olmakla birlikte, tek mevzuat değil. Haziran 2018’de yürürlüğe giren Kaliforniya Tüketici Gizliliği Yasası (CCPA), GDPR’ninkilere benzer pek çok hüküm içeriyor. Bu yönetmeliklerin coğrafi kapsamı sınırlı gibi görünse de, aslında AB veya Kaliforniya ile iş yapan tüm pazarları etkiliyor.
Bu arada diğer birçok gizlilik mevzuatının yanı sıra, Ağustos 2020’de yürürlüğe girmesi beklenen Brezilya Genel Veri Koruma Yasası (LGPD) yurttaşlara, kendileriyle ilgili tutulan bilgilerin silinmesini talep etme hakkını tanıyacak. Güney Amerika’nın en büyük ekonomilerinden biri olan Brezilya’daki bu mevzuatın yürürlüğe girmesi dünyada somut bir etkiye sahip olacaktır.
Japonya Kişisel Bilgileri Koruma Kanunu (APPI), 2003 yılında yürürlüğe kondu ve Mayıs 2017’de bu kanunda köklü revizyonlar yapıldı. Bu revizyonlar, kanunun Japonya vatandaşları ile ilgili ellerinde veri bulunduran yabancı şirketleri de kapsayacak şekilde genişletilmesini, yani kanunun kendisine benzer diğer pek çok kanundan daha geniş bir kapsama sahip olmasını içeriyor.
Türkiye’de de Kişisel Verileri Koruma Kanunu (KVKK) 2016 yılında kabul edildi. Mevzuattaki çeşitli konular da aşama aşama yürürlüğe sokuluyor.
Koronavirüsün GDPR’ye etkisi
Son aylarda veri gizliliği konusunda beklenmedik gelişmeler ortaya çıktı. Koronavirüs nedeniyle dünyada ilan edilen sokağa çıkma kısıtlamaları karşısında, tıbbi bilgiler gibi önceden gizli tutulan veriler artık tartışmaya neden olan yollarla paylaşılır hale geldi. COVID-19’un yayılmasını izlemeye yardımcı olmak için tasarlanan uygulamalar bireyleri takip ediyor, kullanıcıların virüs bulaşmış kişilerle temas etmesi halinde uyarılarda bulunuyor.
Peki, veri koruma yönetmelikleri, artan takip karşısında ne ölçüde yeterli? 2020 yılının ilk çeyreğinde sokağa çıkma kısıtlaması önlemleri uygulamaya başladığında Avrupa Veri Koruma Kurulu (EDPB) bir beyanname yayınlayarak, GDPR’nin kamu sağlık kuruluşlarına halk sağlığını koruma amacıyla bireylerin onayı olmadan kişisel bilgileri işleme hakkı tanıdığını ifade etti.
Konum verilerinin kullanılması bakımından bu beyannamede ayrıca, kamu yetkililerinin e-Gizlilik Direktifine uyması gerektiği yönünde de açıklık getirildi.. Bu direktifin 15. Maddesi, AB üye devletlerine konum verilerinin kullanılmasına imkân tanıyan yasal önlemleri uygulamaya koyma fırsatı sunuyor. Ancak mümkün olduğunca bu veriler isimsiz olarak işlenmeli.
Veri gizililiği çok konuşulmaya devam edilecek
GDPR’nin en önemli etkilerinden biri, veri koruma hakkında küresel bir gündemi başlatmasıdır. Verilerimizin gizliliğini odak noktasına getiren GDPR, kişisel bilgilerin nasıl saklandığı ve paylaşıldığı hakkında kontrolü elinde bulundurmanın önemini vurguluyor. Önümüzdeki iki veya 10 yılın veri koruma mevzuatına yönelik neler getirebileceğini yaşayarak öğreneceğiz ama kesin olan şu ki, veri gizliliği dünya genelinde odak noktası olmayı sürdürecek.
Konuyla ilgili orijinal makaleyi şu linkten okuyabilirsiniz:
https://www.welivesecurity.com/2020/05/25/two-years-later-has-gdpr-fulfilled-its-promise/