İKTİSADİ KALKINMA VAKFI
E-Bülteni
İKTİSADİ KALKINMA VAKFI
E-Bülteni
16-30 NİSAN 2024

AB GÜNDEMİ: AB’nin Veri Koruma Mevzuatına İnce Ayar: Avrupa Parlamentosu, AB’nin Genel Veri Koruma Tüzüğünü Güçlendirmek İstiyor

AB’nin Veri Koruma Mevzuatına İnce Ayar: Avrupa Parlamentosu, AB’nin Genel Veri Koruma Tüzüğünü Güçlendirmek İstiyor


AP, AB Genel Veri Koruma Tüzüğünün uygulanmasına ilişkin yeni usul kurallarını 10 Nisan 2024 tarihinde kabul etti. Yeni kurallar, ilgili veri koruma otoritelerinin iş birliği düzeyini arttırarak AB üye ülkeleri arasındaki veri akışlarını uyumlu hâle getirmeyi, uyuşmazlık çözüm mekanizmalarını iyileştirmeyi ve usul kuralları ile kişisel hakları senkronize etmeyi amaçlıyor. Söz konusu yeni kuralların haziran ayında AB genelinde yapılacak seçimlerin ardından göreve gelecek olan AP tarafından da ele alınması bekleniyor.


25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR), AB’de kişisel verilerin işlenmesi ve bu verilerin korunmasıyla ilgili AB vatandaşlarının veri gizliliğini ve veri güvenliğini sağlamayı amaçlıyor. AB içinde ve AB dışındaki tüm şirketlerin, AB vatandaşlarının kişisel verilerini işlerken birtakım kurallara uymalarını zorunlu kılan GDPR; kişisel verilerin toplanması, saklanması, işlenmesi, aktarılması ve silinmesi gibi konularda AB’nin belirlediği kuralları uyguluyor. Ayrıca GDPR, veri sahiplerine (bireylere) daha fazla kontrol ve şeffaflık sağlayarak kişisel verilerinin nasıl kullanıldığını anlamaları ve onaylamaları imkânını veriyor. GDPR’nin uygulanmasını güçlendirmek için de kuralların ihlali durumunda ciddi cezalar söz konusu olabiliyor. Bu cezalar, şirketlerin yıllık küresel gelirlerinin belirli bir yüzdesine kadar da ulaşabiliyor. Bu nedenle, kişisel verilerin GDPR’ye göre işlenmesini sağlamak, şirketler için kritik bir zorunluluk hâline gelmiş durumda.

“AB Dijital Tek Pazarı’nın temel taşı ve teknolojiye insan merkezli bir yaklaşım sağlayan hayati bir mevzuat parçası” olarak görülen ve beşinci senesini dolduran GDPR’nin tam olarak uygulanması, gerçekten AB için oldukça önemli. Verilerin, dijital ekonominin ve yapay zekâ gibi gelişmekte olan temel teknolojilerin can damarı olduğu ve kişisel verilerin korunmasının bir insan hakkı hâline geldiği varsayılırsa, GDPR’nin önemli bir denge içinde uygulanması gerekiyor.

Son iki senede, başta AP olmak üzere çeşitli sivil toplum kuruluşları, sınır ötesinde GDPR’nin uygulanması ile ilgili çeşitli endişelerini dile getirmişlerdi. Bu eleştirilerin merkezinde ise;

  • GDPR’nin merkezi olmayan bir uygulama modeli benimsemesi (GDPR’nin mevcut yapısı),
  • AB üye ülkelerinin Veri Koruma Otoriteleri’nin (Data Protection Authorities-DPA'lar) GDPR'yi sadece kendi bölgelerinde uygulama yetkisine sahip olması (GDPR’nin uygulanmasının bölgesel olması),
  • Sınır ötesi unsurlar içeren durumlarda iş birliği yapılmasının gecikmesi (GDPR'nin yargı yetkisinin sınırlarına maruz kalması) bulunuyordu.

Bu mekanizmalar, DPA’lar arasındaki iş birliklerinin sağlanması ve GDPR'nin AB genelinde tutarlı bir şekilde uygulanması için bir temel oluştursa da Avrupa Komisyonu, sınır ötesi GDPR uygulama eyleminin verimliliğini ve uyumunu artırmak için daha fazla yasama eylemine ihtiyaç olduğunu belirledi. Ayrıca Komisyon, GDPR uygulama davalarının genellikle sınır ötesi unsurlarla karakterize edildiğini de kabul etti. Bu gelişmelerin ardından Avrupa Komisyonu, 4 Temmuz 2023 tarihinde, GDPR’yi sınır ötesi durumlarda uygularken DPA'lar arasındaki iş birliğini standartlaştırmak ve kolaylaştırmak için usul kuralları belirleyen yeni bir tüzük önerdi (GDPR Usul Tüzüğü).

AP, Güçlendirilmiş GDPR ile Neyi Amaçlıyor?

AP üyeleri, GDPR’nin uygulanmasını güçlendirmeyi amaçlayan yeni usul kurallarına ilişkin pozisyonları üzerinde 10 Nisan 2024 tarihinde anlaşmaya vardı. Kabul edilen pozisyonda AP’nin, GDPR'nin yürürlüğe girmesinden bu yana uygulanmasının üye ülkeler arasında dengesiz ve sınır ötesi davaların ele alınmasının verimsiz olduğu yönündeki eleştirilere yanıt verdiği görülüyor.

AP’nin kabul ettiği değişikliklerin merkezinde, şikâyetlerin nereden kaynaklandığına bakılmaksızın, şikayetlere dâhil olan tüm taraflar için eşit ve tarafsız muamele vurgusu yer alıyor. Ayrıca AP, herhangi bir olumsuz tedbir alınmadan önce tüm tarafların dinlenilme hakkına sahip olmalarının sağlanmasının öneminin altını çiziyor ve usule ilişkin şeffaflığı savunuyor. Dahası AP, prosedürlerin hızlandırılması amacıyla, şikâyetlerin kabul edilmesi ve işleme konulması için belirli süreler belirlenmesini, usule ilişkin son tarihlerin standartlaştırılmasını da öneriyor.

AP, sınır ötesi prosedürleri kolaylaştırmak amacıyla ortak dava dosyalarını ele alan bir değişiklik de yapmak istiyor. AP’ye göre ortak dava dosyaları, tüm tarafların “şikâyetlerinin nerede yapıldığına bakılmaksızın eşit ve tarafsız muamele görme” ve “usule ilişkin şeffaflık hakkına sahip olmalarının sağlanması” ihtiyacının ele alınmasında önemli bir rol oynayacak. AP’nin, ortak dava dosyalarının ilgili tüm bilgileri içermesini ve denetim makamlarının ortak dava dosyasına “anında, sınırsız ve sürekli” erişimi olmasını talep ettiği de biliniyor. Ayrıca AP üyeleri, usule ilişkin sürelerin standartlaştırılmasına yönelik değişikliklere ilişkin de görüş bildirdi. Buna göre, denetim makamlarının bir şikâyeti kabul, kabul edilebilir veya kabul edilemez ilan etmeleri için en fazla iki haftalık süre verilmesi gerektiğini belirten AP, ardından, ilgili GDPR davasının sınır ötesi bir dava olup olmadığına veya eğer sınır ötesi bir dava ise hangi makamın öncü makam olması gerektiği konusunda da bir karara varılması için en fazla üç haftalık bir süre olması gerektiğini ifade etti. “Belirli istisnai durumlar” dışında ise taslak kararların bir şikâyetin alınmasından itibaren dokuz ay içinde teslim edilmesi önerisinde bulunuldu. Son olarak AP, “dostane çözüm” olarak adlandırılan çözümlere ilişkin kurallara açıklık getirmeye çalıştı. Bu tür çözümlerin sadece tarafların açık rızasını gerektirdiğini ortaya koyan AP, aynı zamanda bir DPA’nın konuya ilişkin kendi soruşturmasını başlatmasının engellenemeyeceğini de açıkça belirtti.

Yeni usul kurallarını içeren GDPR dosyası kurumlar arası müzakereler için ilerlerken, yaklaşan Avrupa seçimlerinden sonra toplanacak olan yeni AP, bu değişiklikler üzerinde daha fazla müzakere etmek ve GDPR uygulama prosedürlerinin etkili bir şekilde uygulanmasını sağlamakla görevlendirilecek.

Şirketlerin Çekincelerine Rağmen AP’den Onay

Şirketlerin, son beş senedir, GDPR’nin çok sıkı ve uygulanması zor kurallar ve uzun süreli prosedürleri içerdiği ve art niyetli şikâyetleri ele almadığıyla ilgili şikâyetleri bulunuyordu. Bu aktörler, güncellenecek GDPR kurallarının da kötü niyetli şikayetleri arttıracağı ve uzun prosedürleri daha da yavaşlatacağı endişelerini dile getirmişlerdi. Bu bağlamda, hemen hemen her alanda lobilerle görüşmelerde bulunan AP’nin, yukarıdaki şikâyetleri dile getiren teknoloji lobisine karşı nasıl bir pozisyon belirleyeceği merak ediliyordu. 10 Nisan’daki 329 lehte, 213 aleyhte ve 79 çekimser oyla AP, değişiklikleri onaylayarak, GDPR’ye konu olan tüm tarafların (tüketiciler, şirketler ve sicil toplum kuruluşlarının) haklarını güçlendirmek istediğini göstermeye çalıştı. Ancak teknoloji şirketleri, güncellenen düzenlemelerin, özellikle davalara katılımları ve temyiz süreci ile ilgili olarak haklarını sınırlayabileceği ile ilgili endişelerini sürdürüyor. Ayrıca şirketler, yeni kurallarla birlikte gizli bilgilerin birden fazla makamla paylaşılması zorunluluğundan endişe duyuyor ve bunun suistimal şikayetlerinin artmasına ve zaten uzun olan prosedürlerin daha da gecikmesine yol açabileceğinden korkuyor.

Sema Nur Yeniyıldız, İKV Uzmanı