Veri Koruma ve Dijital Bilgi (No. 2) Tasarısı veya DPDI, Birleşik Krallık’ın veri koruma çerçevesini yeniden şekillendirecek. Birleşik Krallık GDPR ve DPA 2018 gibi kanunlarda değişiklikler yapılmasını ve çoğunlukla bazı düzenlemelerle mevcut çerçevenin korunmasını önermektedir. Tasarının, karmaşık Avrupa hukukuna özel, çevik bir İngiliz alternatifi olması amaçlanıyor. Şu anda rapor aşamasında olup milletvekillerine konuyu tartışma ve daha fazla değişiklik önerme şansı veriyor.
Değişiklik tekliflerinde kesinlik
En önemli değişikliklerden biri ‘kişisel veri’ tanımına ilişkindir. Bunun sonuçları önemli ölçüde içtihat hukukunun gelecekteki yorumlarına bağlı olacaktır. Ek olarak, ‘bilimsel araştırmanın’ kapsamının genişletilmesi, araştırmacılara çok ihtiyaç duyulan netliği sağlayarak tanımını etkili bir şekilde genişletecektir.
Tanınmış meşru menfaatler için işlemeyi kolaylaştırmak amacıyla, bir dizi örnek önceden onaylanacaktır. Bunun seçilmiş kuruluşlar için operasyonel verimliliği büyük ölçüde artırması bekleniyor. Ancak meşru çıkar örneklerinin değerli olmasına rağmen yine de bağlılığın sağlanması için bir değerlendirme gerektireceğini unutmamak önemlidir.
Yeni amaçları ve yanıtları şekillendirmek
Uyumluluk hükümlerinin yeni amaçlara yönelik olarak açıklığa kavuşturulması, kişisel verilerin sorumlu kullanımı için açık bir emsal teşkil etmektedir. Bu, veri işlemenin amaçlanan hedeflerle uyumlu olmasını sağlamaya yönelik kayda değer bir adıma işaret ediyor. Ayrıca, ‘kötü ve aşırı taleplere’ değinen düzenleme, mevcut uygulamaların hukuka uyumlu hale getirilmesi için hem yol gösterici hem de pratik örnekler sunması açısından hayati önem taşıyor.
Otomatik işleme kararlarında yapılan değişiklikler, önemli kararlarda adaleti vurgulayan temel bir korumayı temsil eder. Birleşik Krallık’ta temsilci zorunluluğunun kaldırılması küresel kuruluşlar için olumlu bir adım olsa da, Birleşik Krallık’taki veri sahiplerinin taleplerine yanıt vermekle yükümlü olmaya devam ediyorlar.
Veri Koruma Yasası 2018’deki yapısal evrim
Önerilen değişiklikler DPA 2018’in ve Birleşik Krallık GDPR’nin kapsamının ötesine geçmektedir. Bunlar aynı zamanda ICO’nun (Bilgi Komiserliği Ofisi) yapısındaki temel değişiklikleri de kapsıyor. Tek bir şirketten, bir başkan ve CEO tarafından yönetilen yasal bir kurula geçiş önerisi, özellikle AB/İngiltere’nin yeterliliği konusunda önemli tartışmalara yol açtı.
İletişim ortamında gezinme
DPDI ile birlikte PECR’de (Gizlilik ve Elektronik İletişim Düzenlemeleri) değişiklikler yapılması öneriliyor. Bunlar, ‘doğrudan pazarlamanın’ kesin olarak tanımlanmasını ve çerez kullanımına ilişkin istisnaların genişletilmesini içerir.
Gelişen roller ve sorumluluklar
Tasarı aynı zamanda yasal DPO’ları (veri koruma görevlileri) SRI’larla (kıdemli sorumlu kişiler) değiştirerek dikkate değer bir değişiklik getiriyor. Birleşik Krallık GDPR’nin 37-39. Maddelerinden önerilen yeni 27A-27C Maddelerine geçiş, kuruluşların veri koruma uyumluluğunu ele alma biçimini temelden değiştiriyor.
SRI’lar daha fazla esneklik sağlar; bu da tam zamanlı bir DPO’nun mümkün olmayabileceği küçük kuruluşlar için özellikle değerlidir. Daha büyük kuruluşlar, yerleşik raporlama yapıları nedeniyle minimum düzeyde kesinti yaşayabilirken, bu değişiklik, bu yaklaşımı ilk kez keşfeden kuruluşlar için çok önemlidir.
Uygulamada, uyumluluk sorumluluklarına sahip birçok çalışan halihazırda yönetim kuruluna veya üst düzey yönetime rapor veriyor ve bu da SRI’ların mevcut yapılara entegrasyonunu kolaylaştırıyor. Bir SRI atama eşiği, DPO atamaları için önceki üç yerine iki kriterle daha erişilebilir olup, bu da süreci basitleştirmektedir.
Zorluklar ve fırsatlar
Tasarı parlamento incelemesinden geçerken gidişatı belirsizliğini koruyor. Uyumlu kuruluşlar için anlık etkiler sınırlı olabilir; programları uygulayanlar ise zaman ve kaynak açısından zorluklarla karşılaşabilir.
Ek olarak, raporlar sismik bir değişimi tasvir etse de gerçek, mevcut yapıların incelikli bir şekilde ayarlanmasıdır. Küresel kuruluşlar, özellikle de hem AB hem de Birleşik Krallık pazarlarında faaliyet gösteren kuruluşlar, kendilerini ikili mevzuat uyumluluğu içinde bulabilirler.
DPDI’nin Birleşik Krallık’ta veri korumanın gelişiminde önemli bir an olduğu açıktır. Önerilen bu değişikliklere proaktif katılım ve bunların net bir şekilde anlaşılması, bu dönüştürücü ortamda güvenle ilerlemeye ve güçlendirilmiş veri koruma çağını başlatmaya hazır kuruluşlar için çok önemlidir.
Önerilen DPDI Tasarısı değişiklikleriyle ilgili daha fazla ayrıntı için lütfen buradan ücretsiz kılavuzumuzu indirin.