General Data Protection Regulation (GDPR - Avrupa Birliği Genel Veri Koruma Tüzüğü) dijital çağ için modernize edilmiş bir mahremiyet düzenlemesidir. GDPR temelde; paylaşıma konu veriler ve bu verilerin nasıl kullanıldığına ilişkin daha fazla şeffaflık sağlamak ve AB vatandaşlarına kişisel verileri üzerinde daha fazla kontrol sunabilmek üzere tasarlanmış bir kurallar bütünüdür. Bu kurallar bir taraftan dijital ekonominin parçası olan şirketlerin yükümlülüklerini tespit ederken diğer taraftan da bireylerin sahip olduğu hakların altını çizer. Eğer girişiminiz GDPR’ın uygulama sahasına giren faaliyetler yürütüyorsa, kişisel veri işleme sistemlerinizin ilgili yasal çerçeveye uyum sağladığından emin olmalısınız.
Kimi Etkiler?
GDPR Avrupa Birliği’ne ürün sağlayan ya da Avrupa Birliği vatandaşlarından kişisel veri toplayan tüm işletmeleri doğrudan ilgilendirir. Tüzük bu haliyle, AB ülkelerinde online bir varlığa sahip ancak AB vatandaşı olmayan (non-EU) kişiler ile birlikte, AB sınırları dışında faaliyet gösteren AB vatandaşlarına da uygulanır.
Kendinize şu soruları sorun:
Girişiminiz AB vatandaşlarına ait verileri işliyor mu? GDPR kapsamında veri işlemek, verileri; toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem olabilir. Yani veriler ile yaptığınız hemen her şey işleme faaliyetidir.
Elinizdeki veriler, “kişisel veri” sayılır mı? GDPR kapsamında “kişisel veri”, kimliği belirli ya da belirlenebilir bir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bu bilgi, gerçek kişinin kimliğini tek başına ele verebileceği gibi, ancak birtakım başka bilgilerle birleştiğinde veri sahibini tanımlama kabiliyeti kazanacak bir veri de olabilir. Elbette isim bilgileri, e-mail adresleri ve telefon numaraları gibi bazı bilgilerin kişisel veri olduğu açıktır. Ama bunun da ötesinde, çevrim içi tanımlayıcılar (ör. IP adresleri, cihaz tanımlayıcıları, twitter kullanıcı adları), konum verileri ve tıbbi veriler gibi bir dizi hassas bilgi de kişisel veri olarak değerlendirilir.
Eğer tüm bu sorulara cevabınız evet ise GDPR size de uygulanır. Yani, Türkiye’de yerleşik bir startup da olsanız, eğer Avrupa’ya ucundan kıyısından temas ediyorsanız bir GDPR meseleniz olduğundan bahsedebiliriz. Diğer bir deyişle, bir şekilde Avrupa’ya ürün ya da hizmet satıyorsanız GDPR’dan kaçmanız mümkün değil. Yine, eğer AB vatandaşlarının e-maillerini topluyorsanız GDPR sizi etkileyecektir. Şunu söylemekte de hiçbir sakınca yok; eğer online bir girişiminiz varsa GDPR kapınızı öyle ya da böyle çalar.
Endişelenmeyin yalnız değilsiniz! Bu konu yalnızca sizin için değil, dünyanın geri kalanı adına da çözülmesi gereken bir sorun olarak orada duruyor. Örneğin PWC’nin GDPR’ın yürürlüğe girmekte olduğu dönemde yaptığı bir ankete göre ABD’de yerleşik şirketlerin %92’sinin en öncelikli meselesinin GDPR olarak tespit edilmesi de bundandır.
Birbirine çok benzeyen Türkiye ve AB mevzuatlarına ayrı ayrı uyum sağlamakla uğraşmak ve bunun için iki farklı politika kurgulamak yerine, en yüksek veri koruma standartlarını girişiminizin tüm müşterileri için uygulamak çok daha iyi bir fikirdir. Bu belki yolun başında daha fazla baş ağrısı yaratabilir ancak sonraki süreçlerde acı çekmenizin önüne geçecektir.
Yaptırımı Nedir?
GDPR uyum süreci gerçekten de o kadar da önemli bir şey mi? Bu sorunun cevabı… Aslında… Evet! Şöyle ki; GDPR ihlalleri için öngörülen yaptırımlar hayli serttir. Söz konusu ceza 20.000.000 EUR tutarına kadar çıkabileceği gibi, bunun da ötesine geçerek dünya ölçeğindeki yıllık kazancınızın %4’üne de tekabül edebilir.
Ne Gibi Haklar Verir?
Girişimler, GDPR’ın kullanıcılarına ve müşterilerine verdiği temel hakları anlamış olmalıdır. Zira bunların tasarladığınız ürün ya da hizmet üzerinde doğrudan bir etkisi olur. Haklar derken;
Bilgilendirilme Hakkı: Kişisel veri bir kez toplandığında, şirketler aşağıda belirtilen bilgilerin tamamını veri sahibine sunmalıdır.
Veriyi toplayan şirketin kimliği ve iletişim bilgileri
Veri işleme amacı
Veri toplayan şirketin bu faaliyet ile gözettiği meşru menfaatler
Varsa kişisel verilerin alıcıları veya bu alıcıların kategorileri
Şirketin kişisel verileri AB dışında üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçlayıp amaçlamadığı
Kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler
Otomatik karar alma mekanizmasının kullanılıp kullanılmadığı ile eğer kullanılıyorsa bunun sonuçları ve kullanımın ardında yatan mantık
Erişim Hakkı: Veri sahibi, kişisel verilerine ve aşağıdaki bilgilere erişme hakkına sahiptir:
Veri işleme amaçları
İlgili kişisel veri kategorileri
Kişisel verilerin açıklandığı veya açıklanacağı alıcılar veya alıcı kategorileri
Kişisel verilerin saklanması açısından öngörülen süre
Otomatik karar alma mekanizmasının kullanılıp kullanılmadığı ile eğer kullanılıyorsa bunun sonuçları
Düzeltme Hakkı: Veri sahibi, kendisi ile ilgili doğru olmayan kişisel verilerin düzeltilmesini isteme hakkına sahiptir.
Unutulma Hakkı: Veri sahibi, kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini talep etme hakkına sahiptir.
İşleme Faaliyetlerini Kısıtlama Hakkı: Veri sahibi; kişisel verilerin doğruluğuna veri sahibi tarafından itiraz edilmesi, işleme faaliyetinin yasa dışı olması veya şirketin ürün ya da hizmetlerini sunmak için artık kişisel verilere ihtiyaç duymaması gibi hallerde işleme faaliyetini kısıtlama hakkına sahiptir.
Veri Taşınabilirliği Hakkı: Veri sahibi; kendisi ile ilgili olarak şirkete sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta talep etme hakkına sahiptir. Ayrıca veri sahibinin, kişisel verilerini verdiği şirketin herhangi bir engellemesi ile karşılaşmaksızın bu verileri rakip olsun olmasın başka bir şirkete iletme hakkı da mevcuttur.
İtiraz Hakkı: Veri sahibi kişisel verilerinin işlenmesine itiraz etme hakkına sahiptir. Kişisel verilerin doğrudan pazarlama amaçları için işlenmesine itiraz edildiğinde, bahis konusu veriler artık bu amaçlar için işlenemez.
İnsan Kararlarına Tabi Olma Hakkı: Veri sahibinin kendisini kayda değer şekilde etkileyen otomatik işleme faaliyetlerine dayalı bir karar alma mekanizmasına tabi olmama hakkı da mevcuttur.
Hangi Adımları Takip Etmeliyim?
Tamam. Anladım. GDPR önemli ve bana da uygulanacak. Peki girişimim bununla ilgili ne yapmalı?
Verileri Tanıyın
Uyum süreçlerinin önündeki en büyük bariyerlerden birisi de startupların; ellerinde tuttukları veriler, bunları nerede tuttukları ya da bu verilere kimlerin ulaştığı gibi konularda bilgi sahibi olmamasıdır. Diğer bir deyişle yığınla bilgiye sahip olduğunuzun farkındasınızdır ancak bunların tam olarak ne olduğunu bilmezsiniz.
GDPR bu bilgileri iki kategori altında sınıflandırmıştır: “kişisel veriler” ve “hassas kişisel veriler.”
Kişisel Veri: GDPR kapsamında kişisel veri, aşağıdaki örneklerdeki gibi ancak onlarla sınırlı olmamak kaydıyla bir gerçek kişinin kimliğini doğrudan ya da dolaylı olarak belirlemede kullanılabilecek herhangi bir şey olabilir.
Email adresleri
Ad ve Soyadı bilgileri
Telefon numarası
Kimlik numarası
Konum bilgisi
Posta adresi
Finansal bilgiler
Fotoğraflar / Videolar
Online tanımlayıcılar (IP adresi, çerezler vb.)
Hassas Kişisel Veri: GDPR kapsamında hassas kişisel veri, diğerlerine nazaran çok daha hassas olduğu kabul edilen ve bununla birlikte korunmaları için daha güçlü bir mekanizma kurgulanan ve haklarında daha katı bir düzenlemeye gidilen verilerdir. Hassas kişisel veri, bunlarla sınırlı olmamak üzere aşağıdaki örnekler nev’inden verilerdir:
Tıbbi veriler
Cinsel yönelim
Dini / Felsefi inançlar
Siyasi görüşler
Genetik veriler
GDPR hassas kişisel verilerin işlenmesinde daha yüksek standartlar arar. Eğer girişiminiz hassas kişisel veri işliyorsa bu katmanlı yükümlülüklere uyum sağladığınızdan emin olmalısınız.
Çocuklar: Peki ya çocuklar? GDPR çocuklar için de birtakım ek kurallar ihtiva etmektedir. Çocukların 16 yaşın altında olduğu durumlarda söz konusu işleme faaliyeti, ancak çocuğun velisi tarafından konuya ilişkin rıza veya onay verilmesi halinde (bu rıza ya da onayın kapsamıyla sınırlı olarak) hukuka uygundur. Diğer taraftan bu rızanın varlığını aramak konusunda makul bir çaba gösterme yükümlülüğü altında olduğunuzu unutmayın.
Rolünüzü Anlayın
GDPR girişiminiz özelinde veri toplayanları, Veri Kontrolörleri ve Veri İşleyicileri olmak üzere iki kategoriye ayırmaktadır. Veri Kontrolörü, veri işlemenin amacını ve yönteminitespit eder. Veri İşleyicisi ise pratikte kontrolör adına veriyi işlemektedir. Bununla birlikte starup'ınızın her iki rolü de oynaması mümkündür. Ancak No-Stack Startup’ların yükselişiyle birlikte girişiminizin bu rollerden yalnızca birisini oynuyor olması ise çok daha muhtemeldir.
Örneğin, ödemeleriniz için “iyzico”, “PayU” ya da “iPara’ya” güveniyorsanız, siz veri kontrolörü olursunuz onlar ise veri işleyicisi olurlar. E-mail adresleri toplama ve e-mail gönderme işini “Mailchimp” ya da “SendGrid’e” havale ettiyseniz, sizi veri kontrolörü köşesinde görürken onları da veri işleyicisi sandalyesine oturturuz. Benzer biçimde CRM için “Salesforce” veya “ProsperWorks” kullanıyorsanız roller yine aynı şekilde dağıtılacaktır.
Kuralların yalnızca veri kontrolörlerine uygulandığı günler geride kaldı. Zira GDPR ile birlikte artık her iki taraf da düzenlemenin kapsamına giriyor. Yani rolünüz her ne olursa olsun, diğer şirketin de GDPR standartlarına uyum sağladığından emin olmak sizin sorumluluğunuzda…
Rıza Alın
Gerçek kişilerden topladığınız kişisel veriler için rıza almak GDPR’ın özünü oluşturur. Rıza, veri işlemek için gerekli yasal dayanaklardan birisidir. Aynı şekilde AB dışındaki üçüncü bir ülkeye kişisel veri aktarmak istediğinizde, bunu GDPR ihlaline yol açmadan yapabilmek için veri sahibinin rızasını almak iyi bir seçenek olacaktır.
Peki rıza tam olarak nedir? Düzenleme rızayı; veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık bir gösterge olarak tanımlıyor.
Girişiminiz kişisel veri toplamaya başladığında özellikle şunlara dikkat etmeniz gerekir:
Onay Kutuları: Rıza, olumlu bir katılım eylemi gerektirdiğinden önceden işaretlenmiş kutular kullanıldığında, hukuka uygun bir rızanın varlığından söz edilemez. Bu sebeple onay kutuları kullanıcı tarafından doğrudan işaretlenmelidir.
Hizmetin Ön Koşulu Olmama: Rıza, (hizmetin sunulabilmesi için mutlak gerekli olmadıkça) bir hizmetin alınabilmesi için gerekli “kayıt olma” sürecinin ön koşulu sayılamaz ve diğer hüküm & şartlara verilecek onay ile birleştirilemez.
Spesifik: Rızanın kapsamı, veriyi kullanma amacınızla doğrudan ilgili olmalıdır. Daha basit bir anlatımla her bir işleme türü için ayrı ayrı rıza almanız gerekir.
Bilgilendirici: Veri sahipleri, kişisel verilerinin “kontrolörünün” kim olduğunu öğrenebilmelidir. Ayrıca rızalarını her zaman kolayca geri alma hakkına da sahiplerdir.
Hassas Kişisel Verilerin işlenmesi gibi bazı durumlarda ise açık rıza gereklidir.
Temiz Tutun
Eğer girişiminizin veri depolama sistemleri tam bir karmaşa içerisindeyse, GDPR uyum süreci bunları temizlemek için iyi bir fırsattır. Kullanıcılarınıza taahhüt ettiğiniz bu yeni haklar, hangi verileri topladığınızı bütünüyle anlamış olmayı, onları güvende tutmayı ve çabuk şekilde geri alabilmeyi, silebilmeyi ve paylaşabilmeyi gerektirir. Kısacası, bu fırsatı veritabanlarınızı ve serverlarınızı temizlemek için kullanabilirsiniz.
Veri Koruma Görevlisi / AB Temsilcisi
Bir Veri Koruma Görevlisi tespit etmek, veri güvenliği stratejisini ve GDPR uyum sürecini denetlemek için iyi bir fikirdir. Ancak, hassas kişisel veri toplamıyor ya da AB vatandaşlarının verilerini düzenli olarak ve büyük ölçekte işlemiyorsanız, bunu yapmak zorunda değilsiniz. Ne yazık ki “büyük ölçek” kavramı düzenleme kapsamında bir tanıma sahip değil. Ancak GDPR’ın önceki taslağına baktığımızda, söz konusu “büyük ölçeğin” altının; 250 veya daha fazla çalışana sahip olmak ya da yıllık bazda 5000 veya daha fazla kişiye ait veriyi işlemek şeklinde doldurulduğunu görüyoruz. Fakat bu tanımlama nihai taslaktan önce metinden çıkarılmıştır. Hal böyle iken startupların pek çoğunun “büyük ölçekte” veri işleme noktasında olmadığını söylemekte de bir beis olmayacaktır.
GDPR, AB dışında yerleşik “Veri Kontrolörü” ve “Veri İşleyicilerine” birlik içerisinde bir temsilci tayin etmeyi zorunlu kılmaktadır. Ancak benzer şekilde, girişiminiz “büyük ölçekte” veri işlemiyor veya hassas veri toplamıyorsa bu konuda da herhangi bir yükümlülük altında olmadığınızı söyleyebiliriz.
Gizlilik Politikası
Tüm bu anlattıklarımız bizi girişiminizin gizlilik politikasına getiriyor. GDPR’a göre girişiminizin gizlilik politikasını şeffaf, anlaşılır, özlü ve kolayca erişilebilir bir biçimde hazırlamalı, sade ve açık bir dil kullanmalısınız. Gizlilik politikalarının hemen hepsi, hukuki jargonla örülmüş uzun ve ağdalı bir dilde kaleme alınma eğilimindedir. GDPR’dan önce bir gizlilik politikası hazırlamak her şeyden önce “kapalı anlatım” ustalığı talep ediyor iken artık bu faaliyetin bir şeffaflık sanatına dönüştürülmesi gerekiyor.
Nasıl mı?
Hukuki dilden sıyrılın
Teknik bilgileri basitleştirin
Kısa ve anlaşılır cümleler kullanın
Dünyaya ortalama bir kullanıcının gözlerinden bakın
Bu minvalde gizlilik politikaları aşağıdaki adımlar takip edilerek hazırlanabilir:
Hangi verileri topluyorsunuz?
Verileri nasıl kullanıyorsunuz?
Verileri nasıl koruyor ve saklıyorsunuz?
Verileri nasıl paylaşıyorsunuz?
Verileri ne kadar süreyle elde tutuyorsunuz?
Veri sahipleri verilerine ne şekilde ulaşıyor ve onları nasıl kontrol ediyor?
AB dışındaki ülkelere veri aktarımını ne şekilde yapıyorsunuz?
Diğerleri…
Uluslararası bir girişim hayaliniz varsa yahut online tabanlı bir şeylerin peşinden gidiyorsanız, er ya da geç bir GDPR uyum meseleniz olacaktır. Bu yazıyla yapmak istediğimiz, her şey çok geç olup astronomik cezalar kapıyı çalmadan bir farkındalık yaratabilmekten fazlası değil. Zira GDPR uyum sürecinizin bu birkaç satırı okumakla bitmeyecek bir döngü olduğunu anlamalısınız.
11/11/19
İlgili Kaynaklar:
Sorumluluk: Bu sayfa altında sağlanan içerik tamamıyla bilgilendirme amaçlı olup hiçbir şekilde reklam, tanıtım vb. adlar altında değerlendirilemez, hukuki tavsiye olarak yorumlanamaz ve izinsiz olarak kullanılamaz. Bu makaleyi okumanız bizimle avukat - müvekkil ilişkisi kurduğunuz anlamına gelmeyecektir. Eğer daha detaylı bilgi edinmek isterseniz, Cihangir Hukuk yardımcı olmaktan memnuniyet duyar. Bize buradan ulaşabilirsiniz.