AB GÜNDEMİ: Yürürlükteki GDPR, AB’yi Dünyanın Veri Güvenliği Polisi Yapacak (mı?)
Yürürlükteki GDPR, AB’yi Dünyanın Veri Güvenliği Polisi Yapacak (mı?)
25 Mayıs 2018 tarihinde, AB açısından son yılların en heyecan verici gelişmelerinden biri yaşandı ve Birlik çapında geçerli olacak AB Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girdi. Bir süredir e-posta kutularımıza devamlı olarak Avrupa merkezli kurumların hesaplarından düşen onay taleplerinin kaynağı da esasında bu gelişme.
GDPR’ın hazırlık, geçiş ve uygulama aşamaları, güncel konjonktürde kişisel verilerin korunması ve gizliliğe ilişkin mevcut hukuk sistemini küresel ölçekte sarsacak gibi duruyor. Son aylarda dillerden düşmeyen ve her kesimden uzmanın bir anda dikkatini çeken GDPR, aslında en temelde tüm AB vatandaşlarının gizliliğinin ve veri güvenliğinin eşit şartlarda korunmasını amaçlıyor. Başka bir ifadeyle, AB vatandaşlarının kredi kartı bilgilerini, Facebook hesap bilgilerini, hastane kayıtlarını ve bunlar gibi çok çeşitli veriyi korumayı hedefliyor. Bununla da kalmıyor, AB’deki paydaşlarıyla karşılıklı veri paylaşımında bulunan üçüncü ülkelerdeki kurumların da bu standartlara uymasını öngörüyor. Peki, GDPR’ın yürürlüğe koyulmasıyla sağlanmaya çalışılan öncelikli kazanım ne?
Senelerce süren danışma ve tartışmalar, dikkate alınan köklü AB insan hakları içtihadı ve önceki yönergelerin eksikliklerine ilişkin ortaya koyulan akademik çalışmalar ışığında oluşturulan sayfalarca uzunluktaki GDPR’ı 1-2 cümleyle özetlemek mümkün. GDPR, en temelde AB vatandaşlarının kişisel verilerinin anca kendi rızaları olduğu takdirde üçüncü taraflarca kullanılabilmesine izin veren, bu veri işleme ve kullanım süreçlerinden sorumlu her kurumda en az bir gerçek kişi bulunmasını garanti altına alan, uyulmaması halinde ise ciddi para cezaları öngören bir sistem. GDPR çerçevesinde her ülkede düzenleyici ve denetleyici Tek Temas Noktası bulunması, bunları koordine eden de AB çapında genel bir denetim makamının bulunması amaçlanıyor. GDPR tartışmalarının tüm dünyayı kasıp kavurmasının sebebi ise kesinlikle AB’de bu alanda ileri standartlar ortaya koyuluyor olması değil. Bu kuralların tüm dünyayı etkileyeceği gerçeği. Nasıl mı?
Bir üçüncü ülkeden AB ülkeleriyle karşılıklı veri transferinin sağlanabilmesi, ancak o ülkede AB standartlarında bir veri güvenliği mevzuatı bulunmasıyla mümkün. Bu standartları da 25 Mayıs tarihinden itibaren GDPR oluşturacak. Bununla birlikte, AB vatandaşlarının verilerini işleyen üçüncü ülke kurumlarının da faaliyetlerini sürdürebilmesi ancak GDPR’ın gerekliliklerini karşılamalarıyla gerçekleşebilecek.
Yani AB, çok uzun zaman sonra, özellikle de varoluşsal tartışmaların odağında olduğu, popülizm ve mülteci krizi sarmalları içerisinde Gordion düğümleri arasından bu düğümleri keserek sıyrılmaya çalıştığı bir dönemde “beşinci günün şafağında gelen atlı süvarileri” bekler gibi GDPR’ı bekliyordu. Çünkü böylelikle AB, süper güç olarak konumunun ve rolünün sınandığı ve sorgulandığı bir çağda veri güvenliği gibi teknolojik dönüşümlerin merkezindeki bir alanda, küresel norm koyucu ve standart belirleyici rolünü yeniden hatırlatmış oldu. AB’nin kan kaybetmekte olduğu ve özgüven sorunları yaşadığı bir dönemde, böylesi şaşaaya, güç isteğine belki de her zamankinden daha çok ihtiyacı vardı. Bu nedenle bazı kesimlerce bu GDPR tutkusu ve aşırılığı biraz abartıldı. GDPR harfleri şeklinde hazırlanmış pastalardan mum üfleyenler ve GDPR partileri düzenleyenler, AB semalarında sıkça gözlenir oldu. Bütün bu hızlı devinim aslında değerli. AB’nin nüfuzunu, kendisine hatırlatacak bir tetiğe çok ihtiyaç vardı. GDPR’ın devreye girmesiyle birlikte teknoloji devlerinin art arda küresel ölçekte bu kuralları uygulayacaklarını açıklamaları, Komisyonun tekrar yıldızının parlamasına sebep oldu. AB yetkilileri, çevrimiçi dünyada büyük bir gövde gösterisine imza attı. Bu gövde gösterisinin ise şüphesiz ki odağında Facebook’un kurucusu Mark Zuckerberg vardı. Veri güvenliği tanrıları bir kurban istiyordu ve o kurban da Zuckerberg oldu.
Veri Güvenliği Tanrıları Kurban İstiyordu ve O Kurban da Zuckerberg’di
Karşısında oturan ve kendisine donuk gözlerle bakan teknoloji milyarderi Zuckerberg’e AP’nin şahin üyelerinden, deneyimli politikacı Guy Verhofstadt şöyle sordu: “Steve Jobs ve Bill Gates gibi teknoloji öncüleriyle mi anılmak istiyorsun yoksa demokrasilerimizi yok eden dijital bir canavarın yaratıcısı olarak mı?” AP’de Zuckerberg’in misafir edildiği oturum bu ve bunun gibi sert, net ve yüksek ölçüde doğruluk payı taşıyan sorulara sahne oldu. Ancak ilgili oturum, uluslararası toplumu ve AB vatandaşlarını tatmin etmekten uzaktı. Bunun sebebi ise toplantının formatıydı.
AP Başkanı Antonio Tajani, oturum öncesinde ve sonrasında, Zuckerberg’in fazlasıyla suyuna gitmekle eleştirildi. Zuckerberg, AP’nin karşısına çıkmadan önce bazı şartlar öne sürmüştü. Oturum az sayıda AP üyesiyle gerçekleşecekti ve kapalı olacaktı. Tahmin edileceği üzere bu teklif, AB çevrelerinde fazlasıyla topa tutuldu. Dolayısıyla çözüm, oturumun canlı bir şekilde internet ve hatta ironik olarak Facebook üzerinden yayımlanmasında bulundu. Ancak bu çözüm de kimseyi tatmin etmedi. Toplantının formatına ilişkin ikinci sorun da şu oldu: Zuckerberg başta uzun bir açış konuşması ve özür seansı gerçekleştirdi, devamında tüm AP siyasi gruplarından toplantıya katılan üyeler, uzun tiratlar eşliğinde sorularını iletti ve ardından Zuckerberg kalan kısıtlı zamanda bu iğneleyici sorulara genel ve tatmin edicilikten uzak yanıtlar verdi.
Prosedürel sorunların ötesinde, oturumun içeriğine bakılacak olursa, o da aynı şekilde pek tatmin edici bulunmadı. Zuckerberg, platformun sahte haberlere açık yapısı, çok sayıda seçimin manipülasyonunda kullanılmış olması ve birçok kişinin verilerinin izinleri dışında kullanılmasına sebebiyet vermesinden dolayı özür diledi. AP Üyesi Guy Verhofstadt o konuda da kinayeli bir tutum takındı ve Zuckerberg’e daha kaç kere özür dileyeceğini sordu. Zuckerberg gerçekten de son yıllarda, her yıl en az bir kez özür diliyor. Son olarak da bu yılın daha ilk yarısında bir kere ABD Kongresi bir kere de AP önünde olmak üzere şimdiden iki kere özür diledi. AP üyelerinin gündeme getirdiği kritik bir mesele, Zuckerberg’in teknoloji imparatorluğunun dönüşmekte olduğu monopoldü. Sahip olduğu çok sayıda güçlü sosyal medya ve internet platformuyla birlikte Zuckerberg’in sahadaki rekabeti tamamen ortadan kaldırmakta olduğu düşüncesi hakimdi. Brexit mimarlarından, AP Üyesi Nigel Farage’ın çıkışı ise istisnasız her kesimin memnuniyetsiz olduğunu gösterdi. Farage, Facebook algoritmasındaki son değişikliklerle, sağ muhafazakâr hareketlerin küresel ölçekte önünün kesildiği görüşünde.
Neticede, küresel sistemin geçirmekte olduğu dönüşümler ışığında henüz daha ne internet platformları ne de onları büyük ölçüde regüle etmesi beklenen hukuki düzenlemeler dengeyi bulabilmiş durumda. Genel olarak uzmanlar, GDPR’ın kenarında gezinmeye müsait bir yapı ortaya koyduğu görüşünde. Yine de her şeye rağmen başarılı bir AB reklamına dönüştüğü muhakkak ve ileri seviye veri güvenliği standartları açısından bir yerden başlamak gerekiyor.
Peki, Türkiye bu resmin neresinde diye soracak olursak, çok da dışında sayılmaz. AB uyum süreci çerçevesinde Türkiye de kişisel verilerin korunması mevzuatını güçlendirmeye çalışıyor. Bunun için bir kurul oluşturuldu ve etkin bir şekilde işlemeye başladı. İlgili kamu birimlerinin özel sektör ve sivil toplumdaki paydaşlarıyla fikir alışverişi ise kesinlikle kötü bir aşamada değil. Nitekim halen Türkiye’deki mevzuat AB standartlarında değil ve bu durum Türkiye’nin vize serbestliği serüveni ile AB’deki kolluk ve güvenlik birimleriyle işbirliğini sınırlandırıyor. GDPR’ın yürürlüğe girmesiyle artık buna ticari ve ekonomik boyutlar da eklendi. Çünkü KOBİ’ler de dâhil olmak üzere tüm Türk şirketlerinin AB’deki paydaşlarıyla veri alışverişi yapabilmeleri için Birliğin veri güvenliği standartlarına uymaları gerekecek.
Ahmet Ceran, İKV Uzmanı
