Avrupa Parlamentosu Üyeleri, yeni Genel Veri Koruma Regülasyonu (General Data Protection Regulation - GDPR) için nihai onayı verdi. Düzenleme Resmi Gazete’de yayınlandıktan sonra yürürlüğe girecek[1]. 

Parlamento'daki oylama ile AB'nin 2012'den bu yana üzerinde çalışılan AB Veri Koruma Çerçevesi şimdi bir düzenlemeye çevrilme süreci tamamlanmış oldu. 1995 yılında yayınlanan eski çerçeve internet henüz emeklemeye başladığında yürürlüğe konulmuştu. Şimdi getirilen düzenleme ise sosyal medya, internet bankacılığı, global transferler ve akıllı telefonların dijitalleştirdiği yeni dünyada vatandaşların kendi verileri üzerinde kontrolünü arttırıyor.

Parlamento'da Veri Koruma Düzenlemesi sürecini yöneten Jan Philipp Albrecht konuyla ilgili olarak şunları söyledi : 
 

"Genel Veri Koruma Düzenlemesi, AB çapında veri korumayı yüksek ve eşdüzeye getiriyor. Bu hem Avrupa Parlamentosu, hem de güçlü tüketici hakları ve dijital çağın gerektirdiği rekabeti elinde tutan bir Avrupa için önemli bir başarıdır. Vatandaşlar artık hangi kişisel verilerini paylaşacakları kararını kendileri verecekler.

Düzenleme Avrupa Birliğindeki tüm işyerleri için tek bir kanun anlamına geliyor. Yeni kanun güven, hukuki kesinlik ve adil rekabet yaratacak."

GDPR Neler Getiriyor diye bakarsak;
 

• Unutulma Hakkı
• Kişilerin Özel Verilerinin işlenmesi için "açık" ve "olumlu rıza" olması gerekiyor
• Verilerinizi Başka Servis Sağlayıcıya aktarma Hakkı
•  Bilgileriniz hacklenmiş ise bilme hakkı
• Kişisel verileri koruma kurallarının açık ve anlaşılabilir bir dil ile yazılmış olması
• Kuralların uygulanmasında kararlılık ve ihlal durumunda, dünya çapındaki yıllık gelirin % 4'üne varan cezalar.

Kişisel verileri koruma paketi, verilerin adli ya da hukuki amaçlı transferi konusunda da yönetmelik içeriyor. AB içinde sınırlar ötesi operasyonlarda bu yönetmelik kullanılacak. İlk defa, herbir üye devlet için adli amaçlı veri işleme için asgari standartlar belirlenmiş durumda. Yani ister kurban, ister suçlu, isterse tanık olsun, tüm bireylerin adli mercilere karşı hakları ve sınırları belirlendi.

Bundan sonra ne olacak?

Düzenleme AB Resmi gazetesinde yayınlandıktan 20 gün içinde yürürlüğe girmiş olacak. Tüm üye ülkelerin mevcut ulusal kanunlarını bu düzenlemeye uydurmaları için 2 yıl süreleri var. 

Avrupalı vatandaşların verilerini işleyen AB merkezli ya da AB merkezli olmayan Avrupa firmalarında güvenlikten sorumlu kişilerin yeni düzenlemedeki kurallar için hemen hazırlıklara başlamaları tavsiye ediliyor.

Türkiye'nin KVK, 1995'e göre hazırlandı, 2016'ya göre değil

Avrupa Birliği'nin Kişisel verilere yaklaşımını şöyle özetleyelim;
 

1. 1981'de - Bilgisayarlarla işlem yapmak miktarı artınca Avrupa Birliği, Kişisel Veriler Sözleşmesi hazırladı (Askeri Yönetim olmasına rağmen Türkiye buna ilk imza koyanlar arasında
2. 1995'de - İnternet'in yayılmaya başlamısıyla birlikte bir çerçeve hazırladı (Bizim 2016 kanunumuz bunu temel aldı)
3. 2016'da (yani bu haberde verdiğimiz düzenleme) - Avrupa tarafından sosyal medyanın yayılması ile 2012'den itibaren hazırlandı.

Avrupa Birliği'nin hazırladığı 1995 çerçevesi ile 2016 düzenlemesi arasındaki fark şu; 1995 bir çerçeveydi. Yani ülkeler kendi düzenlemelerini bu çerçeve içinde kendi istedikleri gibi hazırlıyorlardı ama 2016 uyulması gereken bir düzenleme ve dolayısıyla bütün ülkeler buna uymak zorunda. Zaten sürecin yürütücüsü olan Albrecht de yukarıdaki sözleri ile bunu ifade ediyor. 

Bu regülasyon sonrasında, bir kişisel verileri koruma (KVK) kanunu olan ülkelerin kanunlarını yeni düzenlemeye uydurmak için 2 yıl süreleri var. Kanunları olmayanlar ise, illa bu düzenlemeye göre kanun çıkarmak zorundaydılar. Türkiye'nin 35 yıldır çıkarmadığı kanunu neden alelacele çıkardığı bu çerçeveden bakıldığında çeşitli şüphelere neden oluyor. 

Yani soru şu; 7 nisan 2016'da yürürlülüğe giren 6698 sayılı Kişisel Verilerin Korunması (KVK) kanunu neden Avrupa'nın 1995 çerçevesine uygun hazırlandı da, Avrupa'da 1 hafta sonra yürürlüğe giren 2016 regülasyonuna neden uygun çıkarılmadı. 1995 de ne Google vardı, ne Facebook, ne Twitter. Ya da tersinden söylersek, diğer tüm reklamla çalışan, kişisel verileri işleyen internet firmaları yoktu.

Anlayacağınız, 1 haftalık ama sorunlu bir Kişisel Verilerin Koruma Kanunumuz var.

[1] New EU rules on data protection put the citizen back in the driving seat