7 soruda AB'de veri koruma yasası
15 Nisan 2016
ABD ve AB’deki istihbarat servisleri, terörist ve suçluları bulmak için kitlesel halde vatandaşların verilerini incelemeye alıyor, milyonlarca insanın iletişimi izleniyor. Özellikle de ABD’li büyük internet şirketleri sayısız veriyi toplayarak istihbarat servislerine ve soruşturma makamlarına iletiyor . Tüm bunlar 2013 yılında Amerikan Ulusal Güvenlik Dairesi‘nin (NSA) eski çalışanı, bilgisayar uzmanı Edward Snowden’ın ifşa ettiği veriler sayesinde ortaya çıktı.
Büyük endişe uyandıran bu veriler ışığında AB Komisyonu, AB Bakanlar Konseyi ve Avrupa Parlamentosu, AB içinde veri koruma konusuna yeni hukuki temel oluşturmak üzere üç yıl boyunca çalışmalar yürüttü. Hedef, vatandaşlar, şirketler ve istihbarat servislerinin çıkarlarını dengeli bir şekilde tartarak bu hassas konuda uygulanabilir yeni bir düzenleme oluşturmaktı.
Veri koruma temel düzenlemesinin iki yıl içinde AB’ye üye 28 ülkede yürürlükte olması öngörülüyor.
Diğer AB yasal düzenlemelerinden farklı olarak ulusal parlamentolarda bu düzenlemeye ek yasaların çıkarılmasına gerek olmayacak ve 28 üye ülkede farklı seviyelerdeki veri koruma yasaları eşit hale getirilecek. Eş zamanlı olarak bir de şüpheliler ve tanıkların verilerinin toplanıp değerlendirilmesine imkan veren ‘polis ve adalet alanında veri koruma‘ yasası çıkarılacak.
Avrupa Birliği'ndeki yeni düzenlemeyle gelen en önemli yedi değişiklik:
Verilerim kime ait? (Avrupa Birliği'nde yaşayanlar için)
Onayınız olmadıkça ya da bazı verileri iletmenizi zorunlu kılan yasal düzenlemeler bulunmadığı sürece hiçbir şirket ya da resmi kurum sizinle ilgili veri toplayamayacak. Şirketler, internet siteleri ve diğer hizmetlerin veri toplaması sadece açık ve net onayınızla mümkün olacak. Verilerin kullanımına onay almak için internet sitelerinde önceden içine çarpı işareti konmuş kutucuklar artık hukuken geçersiz sayılacak. Şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan verileri sorabilecek.
Verilerimi silebilir miyim?
‘Unutulma hakkı‘ olarak ifade edilen, kişisel verilerin internetten silinmesi, yasal düzenlemeyle ilk kez sabitlenmiş olacak. Google, Facebook, Twitter ve diğer veri toplayan hizmetler başvurunuz üzerine hesaplarınız ve kişisel verilerinizi silmek zorunda olacak ve üçüncü taraflara da iletemeyecek. Yasayla ayrıca veriler taşınabilir hale gelecek, hizmet sunucusunu değiştirdiğinizde verilerinizi de yeni hizmet sunucusuna aktarabileceksiniz. Verileri işleyenler talep etmeniz durumunda hangi verilerinizi depoladıklarını, bu verilerle ne yaptıklarını ve kimlere ilettiklerini açıklamak zorunda olacak. Bu hizmet anlayacağınız şekilde sunulmuş ve ücretsiz olmak zorunda.
Şirketler ve resmi kurumlara yeni yükümlülükler geliyor mu?
Şirketler ve resmi kurumlar, belli büyüklükte bir veri miktarından itibaren bünyelerinde bir veri koruma temsilcisi görevlendirmek zorunda olacak. Bu yetkili, faaliyetlerin veri koruma yasasıyla uyumlu olup olmadığını denetleyecek. Küçük şirketlerde ek iş olarak bu görevi yürüten bir temsilci yeterli olabilecek. AB içinde ülke sınırları kalkacak, kişisel verileriniz AB içinde, merkezi hangi üye ülkede olursa olsun bir şirket tarafından kullanılabilecek. Birden çok AB ülkesinde şubesi bulunan şirketler, veri koruma yasasına uydukları sürece kendi içlerinde veri aktarımı yapabilecek. İnternet sitelerini işletenlerin de bir dizi yeni kurala dikkat etmesi gerekecek. Örneğin çocukların, verilerinin kullanılması için onay verebilme yaşı 13’ten 16’ya çıkarıldı. Sosyal paylaşım platformu Facebook’a kayıt olabilmek de zorlaştırılıyor. İnternet sitesi işletenlere yaş kontrol zorunluluğu getiriliyor.
Verilerim AB dışındaki ülkelerde de kullanılabilir mi?
Şirketler kişisel verilerinizi sadece aynı veri koruma seviyesine sahip olmaları durumunda ABD gibi üçüncü ülkelere iletebilecek. AB Adalet Divanı 2015 yılı ekim ayında AB ile ABD arasındaki veri aktarımı anlaşmasını iptal etmişti. AB ve ABD arasında yeni bir anlaşma üzerinde müzakereler devam ediyor. Dolayısıyla Avrupa’daki şirketler verilerinizi ABD ya da başka bir ülkedeki makamlara iletme iznine sahip değil. Bunun için AB ile üçüncü ülke arasında hukuki anlaşma bulunması, ayrıca kişinin bu üçüncü ülkede verilerinin kullanımı konusunda dava açma hakkına sahip olması gerekiyor.
Verilerin suistimali durumunda nereye başvuracağım?
Verileriniz hangi AB ülkesinde hangi şirket ya da resmi kuruluş tarafından kullanılmış olursa olsun, bulunduğunuz AB ülkesindeki veri korumadan sorumlu kuruma başvuruda bulunabiliyorsunuz. Bunun için 28 üye ülkenin veri koruma kurumları arasında işbirliğinin derinleştirilmesi ve ‘Avrupa Veri Koruma Komisyonu’ adı altında bir çatı altında toplanması öngörülüyor. Bu komisyon, anlaşmazlık durumlarında son sözü söyleme yetkisine sahip olacak. İlgili şirketler artık 28 ülkenin kurumlarıyla ayrı ayrı muhatap olmak yerine, merkezinin bulunduğu ülkedeki resmi kurumla temasa geçecek.
Verilerin suistimali nasıl cezalandırılacak?
Yasaya aykırı hareket eden şirketler, dünya çapındaki yıllık cirolarının yüzde 4’üne varan para cezalarına çarptırılabilecek.
Polis ve savcılıklar ne tür verileri toplayabilecek?
Soruşturma makamları şimdiye kadar olduğu gibi hakim kararıyla şüphelilerin telefon görüşmeleri, e-posta gibi iletişim verilerine ulaşabilecek. Tanıklar ve suç mağdurlarının verileri daha iyi korunacak.
©Deutsche Welle Türkçe
Bernd Riegert