Bilişim Dünyası 11 MAYIS 2015 / 08:46

AB veri koruma düzenlemesine bir kala

Avrupa Birliği veri koruma hakkında düzenlemeye gitmek üzere görüşmelerini sürdürürken, düzenlemenin detayları ortaya çıkmaya başlıyor. Düzenleme AB’nin yanı sıra Türkiye’yi de ilgilendiriyor.

Bulut bilişimin yaygın bir iş modeli olarak kullanılmaya başlamasıyla birlikte tüm ülkelerde yapılacak düzenlemeler birbirini etkiler hale geldi. Sınırların ortadan kalkmaya başladığı günümüzde, ortaya çıkan dev veri sızıntılarının ardından toplumlarda bu konuya ilişkin eleştirel sesler yükselmeye başladı. NSA skandalının ardından bireysel verilerin toplanması özellikle Avrupa’da birçok yürüyüş ile protesto edildi. Bu protestolar yeni bir veri koruma yasasının işaretçisi oldu.  Avrupa Adalet Komisyoneri Viviane Reding’in verdiği bilgilere göre, AB vatandaşlarının yüzde 72’si verileriyle ilgili endişe duyduğunu belirtti.

Geçtiğimiz yılın Mart ayında Avrupa Parlamentosu’nda oylamaya sunulan yeni düzenlemeyle birlikte verilerin daha sıkı korunmasına ilişkin bir dizi önlem alınması kararına varıldı. Düzenlemeler bireylerin yanı sıra tüm işletmeleri de yakından ilgilendiriyor. Özellikle bulut bilişim hizmeti veren ya da araçlarını kullanarak hizmet veren işletmeler, Avrupa Birliği Veri Koruma Düzenlemesi (EU General Data Protection Regulation – GDPR) ile ilgili yasal süreci tamamlayacak son kararları dört gözle bekliyor. Zira bu düzenlemeyle birlikte Avrupa ile iş yapan tüm şirketlerin işleyişi değişecek. Ancak konuyla ilgili bilinç henüz oluşmuş değil. 2014 yılının son aylarında Skyhigh Networks’ün 7 binden fazla bulut bilişim hizmeti üzerinde yaptığı araştırmaya göre, 100 bulut hizmeti sağlayıcısından yalnızca biri AB’nin yürürlüğe sokmayı planladığı düzenlemeye uyumlu yapıda. Ayrıca bulut hizmetlerinin yalnızca yüzde 2,9’u kullanıcıların şifre kullanmasına yönlendiriyor.

1995 yılından bu yana ilk kez bu çapta bir değişikliğe uğrayacak düzenlemenin 2016 yılının başında devreye girmesi bekleniyor. Düzenlemeden olumsuz etkilenmemek için işletmelerin alması gereken tedbirlerle ilgili uyarıları EMC’nin güvenlik birimi RSA’in EMEA bölgesi Baş Güvenlik Mimarı Rashmi Knowles yapıyor:

“Genel ya da karma bulut kaynaklarını kullanarak hassas verileri barındıran herhangi bir işletme, Avrupa parlamentosundan geçmesi beklenen düzenlemeyle ilgili bir sorun yaşamamak için iç araştırma yapmalıdır. Eğer verilerle ilgili bir sızıntı şüphesi oluşursa acilen BT birimlerinin gerekli tedbirleri alması gerekiyor.”

Knowles, aralarında Türkiye’nin de bulunduğu EMC’nin bulut bilişim üzerine anketini hatırlatarak şunları ekliyor:

-          Verilerin yüzde 30 bir bulut çeşidinde depolanıyor.

-          İşletmelerin yüzde 62’si; büyük veri, mobilite ve karma bulut kaynaklarını veri koruması zor alanlar olarak öne çıkarıyor.

Düzenlemelerle ilgili uyum süreci maddi açıdan da işletmeler açısından önem taşıyor. Düzenlemeye uymayan işletmeler 1 milyon avro ya da toplam yıllık küresel cirosu üzerinden yüzde 2 (hatta Avrupa Birliği Parlamentosu’nun önerisi kabul edilecek olursa 100 milyon Avro’ya veya yıllık ciro üzerinden % 5)  kadar ceza ödemeye mahkum olabilecekler.

Düzenlemeler neleri kapsıyor?

Knowles’a göre işletmeler BT sistemlerini geliştirmek zorundalar. Önceleri CTO’lar yalnızca düşük maliyetli çözümler üzerinde yoğunlaşırlarken, şimdi veri sızıntısı riskini göz önünde bulundurmak çok daha önemli hale geldi. Zira maliyet hesabı yaparken Dimyat'a pirince giderken evdeki bulgurdan olmak da var.

Viviane Reding’e göre, yapılacak düzenleme sonucunda işletmelerin yönetimsel olarak da faydalar sağlayacak ve yılda 2,3 milyar avroluk tasarruf elde edilecek. Ayrıca işletmelerin gereksiz kağıt masrafından kurtulmasıyla da yılda 130 milyon avronun boşa harcanmasının önüne geçilecek.

Düzenlemeye göre, Avrupa’daki 250 ve daha fazla çalışana sahip olan işletmelerin, veri koruma yöneticileri istihdam etmeleri zorunlu olacak. Avrupa Birliği’nde iş yapan işletmeler içinse bir veri koruma otoritesinden alınan onay tüm ülkelerde iş yapılmasına olanak tanıyacak. Yani veri konusunda en az bir otoriteden onaylı olmak gerekiyor.

Ayrıca işletmelerin herhangi bir kişisel veriyi kullanmadan önce bireyleri bu konu hakkında açıkça bilgilendirmeleri gerekiyor. Yeni düzenleme ile birlikte unutulma hakkı da vatandaşlara tanınıyor. Bu konu önceki yıllarda da gündeme gelmiş, webin kurucu olarak bilinen Tim Berners Lee’nin de aralarında bulunduğu birçok kişi aksi görüş belirtse de AB, unutulma hakkını düzenleme içerisine aldı. Unutulma hakkıyla birlikte bir vatandaş istediği takdirde herhangi bir çevrimiçi hizmetten kişisel bilgilerinin silinmesini ya da kaldırılmasını talep edebilecek.

Bununla birlikte kişilerin verilerini kolayca taşıyabilmesi için de düzenlemede bir madde yer alırken, bu maddenin veri özelinde iş yapan işletmeler arasındaki rekabeti artırması bekleniyor. Düzenlemeyle veri sızıntılarında mağdur olan vatandaşların ise olaydan geçen 24 saat içerisinde bilgilendirilmesi öngörülüyor.

Türkiye’deki işletmeler ne kadar etkilenecek?

2016 yılı başında yürürlüğe girmesi beklenen düzenlemede “AB hükümleri, AB pazarı içerisinde aktif olan ve AB vatandaşlarına hizmet veren yabancı şirketler için de geçerlidir” şeklinde bir ifade yer alıyor. Bu ifadeye göre Türkiye merkezli, AB’ye iş yapan tüm işletmelerin sorumluluğu ortaya çıkıyor.

İstanbul Bilgi Üniversitesi Hukuk Fakültesi’nde Veri Koruması Hukuku dersini veren Yard. Doç. Dr. Nilgün Başalp, bu noktada Türkiye merkezli işletmelerin AB hükümlerine uyum sağlaması gerektiğini ifade ediyor. Başalp’e göre, bulut bilişim gibi hizmetlerle internet üzerinden AB vatandaşlarına ulaşan işletmelerin bu faaliyetleri nedeniyle oluşabilecek zararlardan sorumlu tutulması olanak dahilinde. Özellikle e-ticaret yapan şirketlerin veri koruma düzenlemesine dikkat etmesi gerektiğinin altını çizen Başalp, süreci şu şekilde özetliyor:

“Türkiye’de veri korumayla ilgili yeterli bir yasal düzenleme olmamasına rağmen şirketlerin gerekli korumayı sağlama yükümlülüğü bulunmaktadır.  Özellikle yeni veri koruması reformu ile bu yükümlülük daha belirgin bir şekilde düzenlenmektedir. AB’ye hizmet götüren Türkiye merkezli şirketlerin doğrudan ciddi yaptırımlarla karşılaşma ihtimali bulunuyor. Bu nedenle Türkiye’deki yasal boşluğa bakmaksızın Avrupa Birliği Veri Koruması Otoriteleri’nce verilecek herhangi bir idari para cezası ya da AB vatandaşlarının olası manevi tazminat talepleri ile karşılaşmamak için AB veri koruması mevzuatı ile uyumlu iş süreçlerinin izlenmesi büyük önem taşıyor.

Güncel AB mevzuatı yönünden de bulutta tutulan kişisel verilerin hukuka aykırı surette tutulması ya da paylaşılması halinde uğranılan zararın giderilmesine yönelik talepler söz konusu olabilir. AB içinde hizmet sunan bir şirketin merkezi AB üyesi bir ülkede olmamasına rağmen güncel AB mevzuatı gereğince bu şirket verinin işlenmesi sürecinde AB sınırları içindeki araçlardan yararlanıyorsa, hizmeti sunduğu ilgili AB üyesi ülkenin veri koruması mevzuatına uyumlu davranması beklenir. Bu son ihtimal Türk şirketleri için söz konusu olmaktadır. Dolayısıyla Türk şirketlerinden de AB mevzuatının gereklerini yerine getirmeleri beklenmektedir.”

Düzenleme Türk vatandaşlarını ilgilendiriyor mu?

Peki, merkezi Avrupa Birliği’nde olup da Türk vatandaşlarının bilgilerini elinde tutan şirketlerin bu verilerle ilgili sorumluluğu var mı? Bu sorunun yanıtını Başalp, şu şekilde veriyor:

“Tabii ki sorumlulukları var. Zarar görenin AB vatandaşı olmaması bir fark yaratmaz. AB merkezli şirketlerin iş süreçlerini AB mevzuatı ile uyumlu yürütme konusunda yasal yükümlülükleri var. Buna aykırı davranışlar öncelikle AB Veri Koruması Otoriteleri bakımından olası bir idari para cezası yaptırımını beraberinde getirir. Manevi tazminata ilişkin davanın nerede açılacağı konusu ise Türk hukuku açısından cevaplanacak olursa, bu bir yetki sorunudur. Hiç kuşkusuz haksız fiil oluşturan bu eylem Türkiye’de de dava edilebilir niteliktedir. Ancak sorun şirketin Türkiye’de malvarlığının bulunmaması dolayısıyla alınan mahkeme kararının fiilen icra edilebilir olmamasından doğacaktır. Bu sebeple şirket merkezinin bulunduğu ilgili AB üyesi ülkede davanın açılması ve alınan kararın orada icra edilmesi yerinde olacaktır.”

Avrupa Birliği’nde Ocak 2016’da kabul edilmesi beklenen bu düzenlemenin bir benzerinin Türkiye’de de kabul edilerek veri korumasının yasallaşması kamuoyunda bekleniyor. Her durumda AB ile ilişkisi bulunan tüm şirketlerin büyük cezalardan kaçınmak için uyum sürecine dikkat etmesi gerekiyor.
ETİKETLER : 1021