Genel Veri Koruma Yönetmeliği (GDPR), AB vatandaşlarının mahremiyetini ve kişisel verilerini korumak için tam beş yıl önce, Mayıs 2018’de Avrupa Birliği’nde (AB) hayata geçirildi.
Bu beş yıllık GDPR, veri ihlalleri için daha katı kuralların uygulamaya konduğunu gördü ve kuruluşların bir ihlal olması durumunda ilgili makamları ve etkilenen bireyleri belirli bir zaman dilimi içinde bilgilendirmesini gerektirdi.
GDPR, kuruluşun AB içinde yer alıp almadığına bakılmaksızın, AB vatandaşlarının kişisel verilerini işleyen tüm kuruluşlar için geçerlidir.
Bunu, dünya genelinde benzer düzenlemeler dalgası, daha iyi ifşalar için artan talep, Big Tech’in veri kullanımı ve satışı üzerindeki serbest dizginlerini korumak için aralıksız lobi faaliyetleri ve milyon dolarlık cezalar izledi.
GDPR’nin sınır ötesi erişimi, dünya çapındaki kuruluşları Avrupa Birliği (AB) vatandaşlarının kişisel verilerinin korunmasını sağlayarak katı gerekliliklerine uymaya zorlamıştır.
martin sloanBirleşik Krallık hukuk firması Brodies LLP’nin ortağı, başlangıcından bu yana GDPR’nin ince ayrıntılarıyla ilgileniyor.
Beş yıllık GDPR’nin AB ve dünya üzerindeki artan etkisine, Brexit’in düzenlemeler üzerindeki yansımalarına ve Birleşik Krallık’ın bir GDPR alternatifi oluşturmaya yönelik devam eden çabalarına tanık oldu.
Alandaki kapsamlı uzmanlığıyla Martin, GDPR’nin geçmişine, bugününe ve geleceğine ilişkin değerli içgörülerini bir tartışmada paylaşıyor. Chandu Gopalakrishnan ile ilgili Siber Ekspres. Düzenlenmiş alıntılar:
GDPR’nin beş yılı boyunca bir değişim denizine tanık olduk. GDPR’nin uygulanması, kuruluşların veri koruma ve mahremiyete ilişkin uygulamalarını nasıl etkiledi?
Birçok kuruluş için, giriş, veri korumaya ilişkin mevcut uygulamalarının geliştirilmesini gerektirdi.
Birçoğu zaten doğru olanı yapıyordu, ancak yalnızca bazı iç politika ve prosedürlerini sıkılaştırmaları gerekiyordu. Diğerleri için daha kapsamlı bir çalışma gerektiriyordu.
GDPR’nin yaptığı şey, ister yönetim kurulu düzeyinde dahili uyumluluk risklerinin farkında olun, ister yatırım ve birleşme ve satın alma anlaşmalarında titizlik için kilit bir nokta olsun, veri koruma uyumluluğunu önemli bir kurumsal risk olarak ön plana çıkarmaktı.
Buna paralel olarak, birçok işletme artık verilerle yönetiliyor. Bu, yalnızca işletmeler AI ve diğer teknolojilere yatırım yaptıkça artacaktır.
Siber riskle birleştiğinde, veri koruma ve bilgi güvenliği artık çoğu işletme için temel kurumsal riskler haline geldi.
Riskleri ve ihlalleri artık cezalar takip ediyor. Bu beş yıllık GDPR’de önemli para cezalarıyla sonuçlanan bazı dikkate değer veri ihlali veya gizlilik ihlali örnekleri nelerdir ve bu vakalardan hangi dersler çıkarılabilir?
İrlanda Veri Koruma Komisyonu tarafından bu hafta başlarında Meta’ya verilen 1,2 milyar avroluk para cezası, GDPR kapsamında bugüne kadar verilen en büyük para cezası oldu. Bu, sınır ötesi veri aktarımlarına ilişkin kurallara uyulmaması ile ilgiliydi.
Ayrıca şeffaflık, izin kullanımı, yasa dışı işleme ve tanımlama bilgilerinin kullanımı, yüz tanıma teknolojisi ve veri güvenliği ile ilgili başarısızlık nedeniyle önemli para cezaları gördük.
Birleşik Krallık’ta verilen en büyük para cezaları, siber saldırılara yol açan veri güvenliği başarısızlıklarıyla ilgili olarak British Airways ve Marriot’a verildi.
Para cezasıyla aynı manşetlere çıkmamakla birlikte, DPC’nin bu hafta Meta’ya karşı yürüttüğü yaptırım eyleminin daha önemli kısmı, ABD veri aktarımlarının beş ay süreyle askıya alınması ve uyumsuzluğun altı ay içinde düzeltilmesi emridir.
Bunların Meta’nın işinin işleyişi üzerinde doğrudan ve ani bir etkisi vardır.
Meta, daha önce bireysel kullanıcıların bilgilerini özgürce kontrol edebiliyordu. GDPR, bireylere kişisel verileri üzerinde daha fazla kontrol sahibi olma yetkisini hangi yollarla verdi ve veri koruma haklarını kullanmak için hangi mekanizmalar oluşturuldu?
GDPR, bireylerin önceki mevzuat kapsamındaki mevcut haklarını, silme hakkı (unutulma hakkı), verileri başka bir kuruluşa taşıma hakları ve otomatik karar verme ile ilgili belirli haklar gibi ek haklarla destekleyerek ileriye taşıdı.
GDPR’nin medyada yer alması ve düzenleyici kurumların bilinçlendirme faaliyetleri, bireylerin bu haklar konusunda daha fazla bilinçlenmesine yardımcı oldu ve böylece işletmelerin GDPR’den önce olduğundan daha fazla talep almasına yol açtı.
Bununla birlikte, haklar genellikle yanlış anlaşılmaktadır. Örneğin, hakların çoğu niteliklidir, bu da bazı durumlarda işletmelerin bir talebi reddedebileceği anlamına gelir.
Reddetme ve çekişme olasılığı genellikle daha büyük girişimleri etkilemiştir. GDPR, sınır ötesi veri aktarımlarını ve uluslararası veri koruma standartlarının oluşturulmasını nasıl etkiledi? Küresel olarak faaliyet gösteren işletmeler için etkileri nelerdir?
GDPR, sınır ötesi veri aktarımlarına ilişkin AB kurallarında herhangi bir önemli değişiklik yapmasa da, son beş yılda çok sayıda dava ve başka gelişmeler yaşandı.
Bunlar arasında Avrupa Adalet Divanı’nın ABD veri aktarımlarına yönelik Gizlilik Kalkanı planının AB yasalarına aykırı olduğunu tespit eden Schrems II davasındaki kararı da yer alıyor.
Transfer etki değerlendirmelerine ilişkin yeni AB standart sözleşme hükümlerinin ve düzenleyici rehberliğin getirilmesi başka bir tartışma noktasıdır.
Ve tabii ki, düzenleyicilerin Meta’nın ABD’deki veri transferlerinin yasa dışı olduğunu tespit etmesinden sonra, İrlanda Veri Koruma Komisyonu tarafından Meta’ya karşı geçen hafta yayınlanan bir emir var.
Buna paralel olarak, şimdi bazı diğer ülkelerin sınır ötesi transferler konusunda kendi kurallarını uygulamaya koyduğunu görüyoruz.
Bunların her biri, dünya çapında farklı kurallarla ve sürekli olarak gelişen düzenleyici kılavuzlukla uğraşmaya çalıştıklarından, verileri uluslararası olarak aktaran işletmeler için zorluklar oluşturmaktadır.
İleriye baktığımızda, GDPR’nin ötesinde veri düzenlemelerinde hangi eğilimleri veya gelişmeleri öngörebiliriz? Yapay zeka, blockchain veya IoT gibi gelişmekte olan teknolojiler, veri koruma ve gizlilik düzenlemelerinin geleceğini nasıl şekillendirebilir?
Veri koruma düzenleyicilerinin yapay zeka gibi yeni teknolojilerle boğuştuğunu şimdiden görüyoruz.
Bu yılın başlarında, İtalyan veri koruma kurumu İtalya’da ChatGPT’yi geçici olarak askıya aldı, ancak OpenAI ChatGPT’nin çalışma biçiminde ve kullanıcılara sağladığı bilgilerde bazı değişiklikler yaptığında bu askıya alma işlemini kaldırdı.
Yapay zekaya özgü mevzuat hem AB’de hem de Birleşik Krallık’ta öneriliyor ve bunun veri koruma yasalarıyla nasıl etkileşime gireceği henüz belli değil.
AI’nın düzenlenmesine yönelik farklı yaklaşımlar ve Birleşik Krallık Parlamentosu’ndaki yeni bir veri koruma yasasıyla, AB ile Birleşik Krallık arasında Brexit sonrası sapmanın başlangıcını görmeye başlıyoruz.
Ayrıca, sınır ötesi veri aktarımları ve AB veri koruma yasaları ile yerel kolluk kuvvetlerinin yetkileri arasındaki gerilimler konusunda kat edilmesi gereken uzun bir yol olduğu da açıktır. Meta, DPC’nin kararına itiraz edeceğini zaten söyledi.
Hem AB hem de Birleşik Krallık, ABD ile yeni bir sınır ötesi veri aktarımı çerçevesi üzerinde anlaşmaya çalışıyor, ancak kampanyacıların, Güvenli Liman ve Gizlilik Kalkanı ile yaptıkları gibi, mahkemelerde buna itiraz etmeleri kaçınılmaz.
Bu anlaşmazlıklar, GDPR’den uzun yıllar öncesine dayanmaktadır ve gelecek yıllarda da devam edecektir.