GDPR (General Data Protection Regulation) veya Avrupa Birliği Genel Veri Koruma Yönergesi; güvenlik uzmanları tarafından 2016 yılından beri geliştirilen ve 25 Mayıs 2018 tarihinde Avrupa Birliği sakinleri için yürürlüğe giren, bir veri güvenliği standardıdır. Bir süredir posta kutunuzu işgal eden GDPR mailleri ve GDPR’ın bizleri de ilgilendirdiğini/ilgilendireceğini düşünürsek, bu konu hakkında kilit noktaları öğrenmeniz faydanıza olabilir.
İnternetin, hobici gençlerinin uğraşı olmaktan çıkıp dünyanın yeni iletişim standartına dönüşmesi şirketler için çeşitli fırsatlar doğurdu. Önceden gazetesini klozetin üstünde okuyan biri hakkında veri toplamak için tek şansınız, bunu gidip kendisine sormaktı. İnternet ve internet yayıncılığı sayesinde şirketler (klozette oturma alışkanlığımız dahil) milyarlarca veriyi toplamaya ve Big Data'lar oluşturma imkanına sahip oldular.
Sorun tek başına birilerinin bizden pazarlanabilir bilgiler yürütmesi değildi. Bir medya kuruluşunun “neden klozette oturarak okumayı sevdiğimizi” bir ilaç firmasına pazarlaması gibi saçma bir veri alışverişi başladı. Şirketler ortada hiçbir geçerli neden olmadan kullanıcıların verilerini topluyor ve tüy dikercesine veri skandallarıyla, verilerimizi başkalarına kaptırıyordu.
Şirketlerin interneti değneksiz çoban görmesinin bir sonucu olarak, Yahoo’nun hacklenmesi ve Facebook’un büyük The Cambridge Analytica skandalı gibi her yıl büyük veri skandalları sahne almaya başladı. Bilinenlerin yanında bilinmeyen küçük şirketler de aynı skandallara konu olduğundan, Avrupa Birliği bu işe bir dur demek adına, tamamen kullanıcıyı koruyup kollayan bilgi güvenliği yasalar bütününü geliştirdi.
GDPR’a göre kişisel veri nedir?
GDPR, kullanıcıların “kişisel verilerini” koruyor. GDPR’da kişisel veri ise “tanımlanmış veya tanımlanabilir doğal kişiyle alakalı tüm veriler” kapsamında değerlendiriliyor. Birkaç basit örnek vermem gerekirse:
- İsminiz, adresiniz, telefon numaranız, sosyal güvenlik numaranız gibi biyografik bilgileriniz.
- Fiziksel görünüşünüze dair veriler. Saç, göz ve ten rengi ya da vücut ölçüleriniz.
- Eğitim hayatınız ve çalışma geçmişiniz hakkındaki bilgiler. Okuduğunuz okullar, maaşınız, eğitim durumunuz, vergi bilgileriniz ve kimlik bilgileriniz.
- Tıbbi veya genetik veriler.
- Arama geçmişiniz, özel mesajlarınız veya konum bilgileriniz gibi hassas verileriniz.
Bu listedeki verilerin her biri sizi tanımlanabilir kişiye dönüştürüyor. GDPR kapsamında bu listenin daha uzunca bir yolculuk yaptığını ve belirttiklerimin kilit noktalar olduğunu unutmayın.
Reddit, Facebook’u Geçerek ABD’nin En Popüler 3. İnternet Sitesi Oldu!
Space Jam’i andıran tasarımıyla sizi iğreti eden Reddit’i hatırlıyor musunuz? Popüler kültürün internet kahvehanesi ve dedikodu kazanı Reddit, şimdi, Facebook’u geride bırakarak, ABD’nin en popüler 3. internet sitesi olmaya hak ...
GDPR ne yapacak? Neyi değiştiriyor?
GDPR, Avrupa Birliği sakinlerinin verilerine ilişkin haklarının korunduğu bir güvenlik standardıdır. GDPR’a göre bu kişilerin verileri yasal koruma altındadır ve şu sekiz hak sunulmaktadır:
- Bilgilendirilme hakkı: Eğer bir şirket verilerinizi topluyorsa, net bir şekilde hangi verilerinizi toplandığını bu verileri hangi amaçla kullanacağını, ne süre ve hangi koşullarda saklayacağını, paylaşılacaksa bilgilerin hangi üçüncü parti taraflarla paylaşılacağını bildirmelidir. Bu bilgiler toplanıyorsa, bugüne kadar kimsenin okumadığı kullanım şartları sayfası yerine görülebilir bir sayfada ve kullanıcıların anlayabileceği yalın dilde olmalıdır.
- Erişim hakkı: Bir kişi, şirket veya organizasyonun topladığı kişisel verilerin neler olduğunu görmek istiyorsa bu veriler kendisine bir ay içinde sunulabilmelidir.
- Düzeltme hakkı: Bir kişi, şirketin elindeki verilerin geçersiz olduğunu beyan ediyorsa bu verilerin şirket tarafından düzeltilmesini talep edebilir. Şirketler ve organizasyonlar bu isteği bir ay içinde uygulamalılar.
- Silinme hakkı: Bir kişi, şirketin elinde tuttuğu verilerin bazı şartlar altında silinmesini talep edebilir. Örneğin verilerinizin artık kullanılmamasını istiyorsanız veya ihtiyaç duyulmadığını düşünüyorsanız verilerinizin silinmesini talep edebilirsiniz.
- İşlem sınırlama hakkı: Eğer organizasyon ilgili kişiye ait verileri silemiyorsa -örn: verilerin yasal süreçlerde kullanılması gerektiği için- kişi verilerinin kullanım hakkını sınırlayabilir.
- Veri taşınabilirliği hakkı: Kullanıcılar, kişisel verilerini bir servisten başka bir serviste kullanmak için alabilirler.
- Objektif gerekçeler: Veriler hangi amaçla kullanılıyor olursa olsun, verilerin ne amaçla kullanıldığı bildirilmelidir. Eğer yasal nedenler veya toplumun faydası için toplanıyorsa bu durumda yasal nedeler belirtilmelidir.
- Otomatikleştirilmiş karar vermeye özne olmama hakkı: GDPR kapsamında bireylerin kendilerini ve verilerini etkileyen otomatik kararlar konusunda bir itirazda bulunabilmeleri veya açıklama yapabilmeleri için güvenlik önlemleri koyulmaktadır.
Yukarıdaki haklardan anlayabileceğiniz üzere AB sakinleri, GDPR sayesinde çeşitli yasalarla korunmak, kişisel verilerinin neden ve hangi amaçla toplandığı konusunda bilgilendirilme hakkına sahip oluyor. Eskiden olduğu gibi şirketlerin kullanıcıların tüm verilerini topladığı ve kullanıcıları bundan haberdar dahi etmediği günler GDPR ile sona ermiş görünüyor.
GDPR kimleri ilgilendiriyor?
GDPR; dijital reklamcılıkla alakalı olarak reklam verenler, ajanslar, reklam ağları, veri/teknoloji şirketleri ve birçok yayıncıyı ilgilendiriyor. Bu sektörde hizmet veren kuruluşların kendilerini GDPR’a uyumlu hale getirmesi gerekiyor.
GDPR, Avrupa Birliği sakinlerini ilgilendiriyor ancak AB dışında kurulmuş olan (örneğin Türkiye) şirketlerin de AB vatandaşları ve kullanıcıları için GDPR’a uyum sağlamış olması bekleniyor. GDPR’a uyum sağlamayan kuruluşları ciddi yasal yaptırımlar bekliyor. GDPR’ı ihlal eden şirketler 20 milyon euro veya yıllık gelirlerinin yüzde 4’ü kadar (hangisi daha çoksa) para cezasına çarptırılabiliyor. Amazon ve Google gibi şirketleri göz önüne aldığımızda, yasanın ihlali konusunda milyarlarca dolarlık yasal tazminatlar caydırıcı olabiliyor.
GDPR Türkiye ve Türk vatandaşlar için ne anlama geliyor?
İçerik boyunca belirttiğim gibi GDPR yasal korunma hakkını Avrupa Birliği sakinleri ve vatandaşlarına (illa vatandaşı olması gerekmiyor) sunuyor. Türkiye de Amerika gibi bu yasal kapsama girmeyen ülkelerden biri fakat, GDPR’ın bir yerde bağımsız olması kısmen bizleri de ilgilendiriyor. Şirketlerin günlerdir GDPR’a ilişkin mail bombardımanında bulunmaların en önemli nedeni, şirketlerin hangi müşterilerinin AB sakini olduğundan emin olmamalarıdır.
GDPR’ın gelecekte hepimizi daha çok etkileyeceğini de unutmamalıyız. Birçok şirket şimdiden GDPR’ı bir veri standardı olarak kabul etmekle kalmayıp, AB dışında yaşayan kullanıcılar için de GDPR’ın uygulanması kararı aldı. Apple, önümüzdeki birkaç ay için GDPR’ı tüm müşterileri için sunacağını bildirirken, Facebook da GDPR korumasını AB dışındaki bazı kullanıcılar için sunulacağı açıklamasında bulundu.
Eğer GDPR ile yakından ilgiliyseniz, IAB Turkey tarafından hazırlanan Türkçe GDPR dokümanına da göz atmanızı önerebilirim.
Yürürlüğe gireli henüz sadece birkaç gün olmasına rağmen GDPR’ın gelecekte karşımıza daha çok çıkacağı kesin. GDPR hakkında siz ne düşünüyorsunuz?