Veri Koruma ve Dijital Bilgi (DPDI) Tasarısı, Birleşik Krallık’ın dört yıl önce Avrupa Birliği’nden (AB) ayrılmasından bu yana veri koruma mevzuatının ilk önemli parçasıdır. DPDI tasarısı, mevcut mevzuatı tamamen değiştirmek yerine, Birleşik Krallık’ın mevcut veri koruma rejimini revize ediyor.
Uzun yıllar boyunca Birleşik Krallık’ın veri koruma rejimi Avrupa Birliği’ninkiyle uyumluydu. Avrupa Birliği’nin yaklaşık yirmi yıldır güncellenmeyen veri koruma politikasında büyük bir değişiklik olan Genel Veri Koruma Yönetmeliği (GDPR) 2016 yılında yayımlandı. GDPR, başta Veri Koruma Yasası 2018 olmak üzere bir dizi veri koruma politikası olarak Birleşik Krallık hukukunda yürürlüğe girmiştir. GDPR, dünya çapında veri korumasına yönelik fiili standart haline geldi.
AB’den ayrılmak, Birleşik Krallık’ın artık AB’nin veri koruma rejiminin bir parçası olmadığı anlamına geliyordu. Bununla birlikte, Birleşik Krallık’ın veri koruma mevzuatı AB’ninkilerle uyumlu olduğundan, Birleşik Krallık’ın, AB merkezli kuruluşların verileri AB dışındakilerle serbestçe paylaşabilmesi için gerekli olan bir veri yeterliliği anlaşması kazanması kolaydı.
DPDI tasarısı ilk kez 2022’de Parlamento’ya sunulduğundan bu yana iki yıl geçti ve şu anda Lordlar Kamarası’nda komite aşamasında.
Birleşik Krallık’ın veri koruma politikalarında yapılacak herhangi bir değişiklik, veri yeterliliği sözleşmesinin geçerli olup olmadığını doğrulamak için Avrupa Komisyonu tarafından incelenecek. AB, 2016 tarihli Soruşturma Yetkileri Yasası’nın müdahaleci niteliği konusunda Birleşik Krallık’ı zaten sorgulamıştı.
DPDI yasa tasarısı, dijital doğrulama hizmetleri adı verilen çevrimiçi kimlik belirlemeye yönelik düzenleyici bir çerçeve getiriyor ancak çevrimiçi kimliklerin uygulanmasına ilişkin herhangi bir yasal gereklilik içermiyor. Birleşik Krallık’ın temel veri koruma politikaları kabaca AB’ninkilerle aynı çizgide kalırken, DPDI bazı düzenleyici unsurları gevşetiyor. Ancak bu yalnızca AB içinde faaliyet göstermeyen kuruluşlar için geçerlidir.
Konusunda uzmanlaşmış bir ortak olan Daniel Tozer, “AB’de de faaliyetleri olan bir işletmeniz varsa, o zaman fiilen aynı olan ancak artık belirli alanlarda ayrılmaya başlayan iki rejime sahip olursunuz” diyor. Keystone Yasası için bir teknoloji ve veri yasası.
Önerilen değişikliklerden biri veri koruma etki değerlendirmesi gerekliliğinin kaldırılmasıdır. Bunun yerine kuruluşların yüksek riskli işlemlere yönelik değerlendirmeler yapması beklenecek.
“Verilerin yüksek riskli işlenmesi söz konusu olduğunda yine de değerlendirmeler yapmanız gerekecek, ancak bunların nasıl yapılacağı konusunda daha fazla esneklik olacak. Belirli şablonlara veya gereksinimlere uymanıza gerek kalmayacak,” diyor Gunnercooke’un bilgi teknolojisinde uzmanlaşmış ortağı Anthony Lee. “Birçok işletme, uyumluluk yükünü azaltacağı için bunu iyi bir şey olarak görecek.”
Temel değişikliklerden biri, DPDI tasarısının veri koruma görevlisine (DPO) olan ihtiyacı ortadan kaldırmasıdır. Bunun yerine DPO’nun görevleri, bilgi sorumlusu (CIO) veya pazarlama müdürü (CMO) gibi üst düzey sorumlu bir kişiye devredilebilir.
DPO’yu kaldırma potansiyelinin hem olumlu hem de olumsuz etkileri vardır. Şu anda DPO, yönetim ekibi içinde uygun veri koruma politikalarının takip edilmesini sağlamaktan sorumlu bağımsız bir kişidir. Ancak çoğu durumda veri koruma yetkilileri, yukarıda adı geçen baş bilgi sorumlusu gibi verilerin işlenmesinden sorumlu kişilerle konuşmak isteyecektir, bu nedenle rollerin birleştirilmesi mantıklı olacaktır.
Tozer, “Kıdemli sorumlu bireyin tüm amacı, örneğin bir pazarlama listesinin nasıl kullanılacağı veya analiz için hangi veri kümelerinin kullanılacağı gibi kararları veren kişinin kendisi olmasıdır” diyor. “Bunlar bu tür şeylere evet ya da hayır diyen insanlar, dolayısıyla bu pozisyondan neden ICO’nun konuşmak istediği kişinin onlar olduğunu anlayabilirsiniz.”
Bununla birlikte, bir DPO’nun rollerini bir CIO veya CMO’nun rolleriyle birleştirmenin çıkar çatışmalarına yol açabileceği argümanı da vardır. Kıdemli sorumlu kişinin görevleri devredilse bile, verilerin kullanılabilirliğini en üst düzeye çıkarmak istemek ile veri koruma politikalarına tam uyum sağlamak arasında bir çatışma olacaktır.
DPDI, veri sahibinin rızası olmadan otomatik veri işlemeye ilişkin bazı veri koruma politikalarını, konunun kendisi üzerinde anlamlı bir etkisi olmaması kaydıyla gevşetmiştir.
DPDI tasarısı aynı zamanda Bilgi Komiserliği Ofisi’nin (ICO) yerine Bilgi Komisyonu’nu getirecek. Baş komiserin dışişleri bakanı tarafından atanması nedeniyle kamu kurumu bağımsızlığının ve tarafsızlığının bir kısmını kaybedecek olsa da, aynı zamanda yetkileri artırılacak ve veri ihlalleri ve veri koruma düzenlemelerine uyulmaması durumunda daha büyük para cezaları verebilecek.
DPDI tasarısının mevcut taslağında, değişikliklere ilişkin ifadelerin çoğu olması gerektiği kadar açık değil. Sübjektif terminolojinin kullanılması, Birleşik Krallık’ta veri işlemeyle ilgili olarak neye izin verilip verilmeyeceğine ilişkin bazı alanlarda belirsizliklere yol açmaktadır.
“Test davalarının Birleşik Krallık mahkemelerinde hızlı bir şekilde görünmesini bekleyebiliriz. Tozer, ICO’nun otomatik karar verme konusunda özellikle sıcak olacağını düşünüyor çünkü birçok işletme, uygulamalarında bir tür otomatik karar alma yöntemini kullanıyor.
DPDI tasarısı AB standartlarını karşılayacak mı?
DPDI tasarısının Birleşik Krallık’ın veri koruma rejimine getireceği değişiklikler yalnızca ülke içinde faaliyet gösteren kuruluşları etkileyecektir. Bir kuruluş bir Avrupa ülkesinde faaliyet gösteriyorsa yine de GDPR’ye uyması beklenecektir. Birleşik Krallık merkezli birçok kuruluş Avrupa ülkelerinde faaliyet gösterdiğinden, bu mevzuatın iş dünyası üzerinde ihmal edilebilir bir etkisi olacaktır.
Lee, “Bir işletmenin Birleşik Krallık ve Avrupa’da faaliyetleri varsa, Birleşik Krallık için bir dizi prosedüre ve Avrupa için farklı bir dizi prosedüre sahip olmak yerine, genel olarak GDPR’ye uymaya devam etmek muhtemelen mantıklı olacaktır” diyor.
Ek bir risk de, Birleşik Krallık’ın veri koruma rejiminin Avrupa Komisyonu tarafından DPDI tasarısı nedeniyle gözle görülür şekilde zayıflatıldığı kabul edilirse Birleşik Krallık’ın veri yeterliliği anlaşmasını kaybedebilmesidir. Böyle bir durumda, AB içinde faaliyet gösteren ve Birleşik Krallık’taki bir şirketle veri paylaşması gereken herhangi bir şirketin, sözleşmeye dayalı veri paylaşım anlaşmalarına ihtiyacı olacaktır.
“Tasarı mevcut haliyle kabul edilirse, Avrupa Komisyonu’nun yeni yasanın esasen GDPR’ye eşdeğer olmadığı veya Schrems tipi bir zorluk olabileceği görüşünde olması nedeniyle Birleşik Krallık’ın potansiyel olarak yeterlilik statüsünü kaybedebileceğini görebilirsiniz. ”diyor Lee.
“Eğer böyle bir şey olursa, Fransa ya da Almanya gibi ülkelerden Birleşik Krallık’a veri aktarımının, standart sözleşme maddeleri ya da başka bir tür yeterlilik çerçevesi aracılığıyla yapılması gerekecektir. Bu endişe yaratacaktır ve Avrupa ülkelerindeki işletmelerin, uyumlu olmama korkusu nedeniyle verilerinin Birleşik Krallık’a taşınmasına izin verme konusunda daha az istekli olacaklarını görebilirsiniz.”
Birleşik Krallık veri yeterliliği anlaşmasını kaybederse, bu durum Birleşik Krallık’a veri ve hizmet sağlayan şirketlerin maliyetlerinin artmasına yol açacak ve hatta kendilerinden beklenen artan yasal ve sözleşmeden doğan yükümlülükler nedeniyle ülke içinde faaliyet göstermeyi reddetmeleriyle sonuçlanabilecektir.
Açık Haklar Grubu’nun hukuk ve politika sorumlusu Mariano delli Santi, “Yeni Ekonomi Vakfı, yeterlilik kararını kaybetmenin yalnızca yasal ücretler olarak 1 milyar £ ile 1,6 milyar £ arasında bir maliyete yol açacağını tahmin ediyor” diyor. “Bu sadece avukatın sözleşmelerinizi gözden geçirmesi ve hükümleri değiştirmesi için olurdu.”
DPDI tasarısı şu anda Parlamento’dan geçiyor ancak Birleşik Krallık yasalarına geçmesi garanti edilmiyor. Düzenleyici gerekliliklerin gevşetilmesi yoluyla Brexit’ten bazı faydalar talep etmek, mevcut yönetimin politikalarının son zamanlarda odak noktası haline geldi. Ancak Temmuz ayında yaz tatilinin yaklaşması ve yıl sonundan önce genel seçimlerin yapılmasının beklenmesi nedeniyle bunun hiçbir şekilde garantisi yok.
DPDI tasarısı genel seçim zamanına kadar kraliyet onayı almazsa yürürlüğe girmeyebilir. İşçi Partisi şu anda Birleşik Krallık’taki kamuoyu yoklamalarında önde gidiyor ve politikaları Muhafazakar Parti’ninkinden farklı olduğundan, DPDI tasarısı daha fazla takip edilmeyebilir veya farklı bir biçim alabilir.
DPDI tasarısı, yalnızca Birleşik Krallık’ta faaliyet gösteren kuruluşlara, özellikle de yeni kurulan şirketlere ve küçük ve orta ölçekli işletmelere (KOBİ’ler) yönelik bazı sınırlı düzenleyici faydalar sunuyor. Ancak AB’ye genişleyen herhangi bir şirketin, GDPR standartlarını karşılamak için veri koruma politikalarını yine de sıkılaştırması gerekecek.
“Tasarının bir sonraki genel seçimlerden önce yasa kitaplarına geçmemesi yönünde gerçek bir risk var. Eğer seçimin diğer tarafında bir İşçi Partisi yönetimi varsa ki bu giderek daha muhtemel görünüyor, tasarıyı pekala geri çevirebilir” diyor Lee.
“Bu koşullar altında, özellikle işinizde uluslararası bir tat varsa, hiçbir zaman yeni bir mevzuatın ışığını göremeyecek bir mevzuata hazırlanmak için zaman ve kaynak harcamak yerine, mevcut rejime uymaya devam etmek muhtemelen mantıklı olacaktır. gün.”