3 Edward Snowden Maximillian Schreis Mario Costeja Gonzalez Bu üç kişinin ortak noktası nedir? Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur.
5 Maximillian Schrems Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair başvuru yaptığı İrlanda Veri Koruma Otoritesi’ne dava açtı.
7 Bu değişime ayak uyduramayan direktifin yerine; kişisel verilerin korunmasında daha sağlıklı, bugün ile daha uyumlu ve etkin, daha dinamiklik, bireysel hakları daha koruyucu bir regülasyon olan GDPR, 2016’nın Nisan ayında Avrupa Parlamentosu tarafından onaylanarak kabul edildi.
AB Genel Veri Koruma Regülasyonu Nedir? 11 AB Genel Veri Koruma Regülasyonu (GDPR), tüm Avrupa genelinde AB vatandaşlarını korumaya yönelik uyumlu bir dizi veri gizliliği yasası hazırlamak için geliştirildi. Bu regülasyon, 95/46/EC sayılı Veri Koruma Direktifi’nin yerini alır ve bu direktif ile arasında ciddi farklar vardır.
GDPR Kapsamındaki “Kişisel Veri” - İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler. - Cookie! - En büyük problem: 3. parti veri işleyenler - Müşteri verilerini 3. parti firmalarla paylaşanlar 12
13 - İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler. - Cookie! - En büyük problem: 3. parti veri işleyenler - Müşteri verilerini 3. parti firmalarla paylaşanlar GDPR Kapsamındaki Kişisel Veriler
Daha geniş yetki alanı. GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacaktır. 14
Cezalar. GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir. 15
Onay. Onay, net ve kolayca anlaşılır bir şekilde istenmeli ve diğer konulardan ayırt edilebilmelidir. Buna ek olarak, onayın geri alınması da verilmesi kadar kolay olmalıdır. 16
İhlal Bildirimleri İhlal bildirimleri zorunlu olacaktır ve kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde tamamlanması gerekecektir. 17
Kimler Etkilenir? GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de AB dışındaki şirketler için geçerlidir. Esas olarak, AB veri öznelerine mal veya hizmet sunan ya da bu öznelerin davranışlarını izleyen tüm kuruluşlar GDPR’den etkilenecektir. Düzenlemeler, hem denetleyiciler hem de işleyiciler için geçerlidir. Bu nedenle, bulut platformları GDPR’den muaf değildir. 19
Neler değişiyor? 20 • Yeni bir unvan: Data Protection Officer • IP adresi, cookie gibi direkt “kişisel veri” olmayan “kişisel veriler” de artık kişisel veridir. • Talep edilmesi halinde hangi verleri depolandığına dair 20 gün içinde cevap vermek gerekiyor. • Şirket verlerinin “hacklenmesi" durumunda 72 saat içinde açıklama yapmak zorunda. • Veriyi kontrol edenin sorumluluğu: Onay toplama, onay yönetimi, silme ve unutulma hakkında sorumluluk sahibi. • Siteye ilk defa gelen bir ziyaretçinin hangi bilgisini otomatik olarak alabilirim? Hiçbir datası. • Yani: Site istatistiklerini toplamak için bile ziyaretçinin onayını almak gerekiyor.