GDPR Bizdeki Karşılığı ile KVKK Dijital Dünyada Neleri Değiştirdi?

GDPR5.png

Avrupa’da GDPR, ülkemizdeki karşılığı ile KVKK düzenlemesi ile beraber Kişisel Verilerin işlenebilmesi dolayısıyla değerinin artması, temel hak ve özgürlükler alanı biraz daha genişletmiş oldu.

Temelde kişisel veriyi elde tutan otoritenin hakimiyetini kişilere devreden ve kişilerin kendi verileri üzerinde tasarrufta bulunmasını amaçlayan GDPR yönetmeliği, web dünyasında da birçok değişime neden oldu.

Kullanıcı profili oluşturan forum sitelerinden, ürün ve hizmet satışı yapan ve böylelikle kullanıcı verilerini kaydeden e-ticaret sitelerinden kurumsal web sitelerine kadar internet dünyası GDPR’dan etkilenmiştir. Hatta kişilere yorum yapma izni vermesi sebebiyle WordPress siteleri de bu düzenlemeden etkilenmektedir. Henüz 4 yaşından küçük olmasına rağmen etkileri bir hayli fazla olan GDPR düzenlemesi, öncelikle web dünyasındaki “ahlaki” değişime öncülük etmektedir.

Kullanıcı verilerinin akıbeti hususunda ilgili web sitesine başvurursa, site kullanıcıya söz konusu kanuna göre 30 gün içerisinde cevap vermek zorundadır. Düzenlemenin web sitelerine yüklediği açık izin (Açık Rıza Beyanı) alma sorumluluğundan dolayı web siteleri sadece “Şartlar ve Koşullar” gibi genel bir seçenekle izin alma işlemini gerçekleştirememekte, her veri toplama işleminde kullanıcıya sorulması anlamına gelen “net onay” yani “açık rıza” sistemi web sitelerinde benimsenmektedir. Kullanıcılar ülkemizde yine kanundan gelen hakları sebebiyle ister İYS (kayıt girildi ise) üzerinden, eğer onayı İzinver.net üzerinden verildi ise yine İzinver.net üzerinden veya ilgili kuruma başvuruda bulunarak istedikleri zaman onayladığı izinlerini silebilir yani iptal edebilirler.

GDPR’ın dijital dünyadaki etkisini incelediğimizde, ABD ve İngiltere’deki büyük firmaların uyumluluk maliyetlerinin yaklaşık 10 milyar dolara ulaştığını görüyoruz. Ülkemizde ise süreç çok daha yavaş ilerliyor. GDPR yürürlüğe girdikten 9 ay sonra Avrupa Ekonomik Alanına bağlı 11 ülkede toplam 56 milyon euroluk bir ceza uygulandı. Yine ülkemizde de büyük ölçekli firmalara milyonu bulan cezai yaptırımlar uygulandı. Bu finansal tablonun yanı sıra, markaları artık tüketici verisi toplarken ve işlerken çok daha dikkatli davrandıkları ortada. Firma içi bilincin artırılması, hukuk firmalarından danışmanlık alınarak hazırlıkların tamamlanması, tüm iş birimlerinin bilgilendirilmesi, dijital izin yönetimi uygulamalarına yatırım yapılması hem içeride hem de müşterilere dokunulan noktalardaki dokümanların ve formların tekrar düzenlenmesi gibi çeşitli aksiyonlara girişildi.

İzinver.net tamda bu aksiyonlar neticesinde fikir olarak ortaya çıktı ve uygulamaya alındı. Platformumuzda hem hizmet sağlayıcılar hem de bireysel kullanıcıların tüm kişisel veri süreçleri iki tarafında kanuni açıdan lehine olacak şekilde geliştirildi. Bu konuda yatırımlar hala sürüyor.

Avrupa’da genel uyumluluk oranı 2019 sonunda hala %42 idi. Şuan ise %80’i geçtiğini söyleyebiliriz. Ancak ülkemizde hala KVKK’ya genel manada uyumluluğun %40’ı bulduğunu söyleyemiyoruz. İzinver.net’in bu manada uyumluluk sürecine olumlu katkı sunacağını ve uyumluluk oranını arttıracağını düşünüyoruz.

GDPR1.png

-

GDPR’dan Özellikle Hangi Sektörler Etkilendi?

GDPR şirketlerin, müşterilerinin veya çalışanlarının kişisel verilerini toplama, işleme ve saklama gibi faaliyetlerinde çeşitli kısıtlamalar getirmektedir. Bu kapsamda değerlendirildiğinde, GDPR, özellikle e-ticaret şirketlerini, reklam şirketlerini, reklam verenleri, ajansları, teknoloji şirketlerini ve yayıncıları etkilemektedir. Kısacası kişisel verileri işleyerek var olan bütün sektörler GDPR’dan etkilenmiştir. Doğal olarak kullanıcıları da birebir etkilemektedir. AB içerisindeki kuruluşlar ile AB sınırları içerisindeki kişilere mal ve hizmet sağlayan tüm işletmeler (AB sınırı içerisinde bulunup bulunmamasına bakılmaksızın) GDPR’a karşı sorumlu tutulmaktadır. Düzenlemeler hem denetçiler hem de işleyiciler için de geçerli olduğundan, özellikle son yıllarda bir hayli popüler olan veri depolama süreçleri nedeniyle bulut sistemleri de düzenlemeden etkilenmektedir.

Şirketlerin Dikkat Etmesi Gereken Hususlar Nelerdir?

GDPR ile veriyi işleyen şirketlerin sorumlulukları artırılmıştır. 1995’ten beri gizlilik yasası olarak bildiğimiz Veri Koruma Direktifi’nin yerini alan GDPR’ın Direktif’e göre kapsamı daha genişletilmiştir. Buna göre şirketler müşterilerine ve ilgili kişilere, bilgilerin toplaması, saklaması ve işletilebilmesi için, verilerin hangi amaçla kullanılacağını özellikle belirtmesi gerekir. Eğer şirketin veriyi işleme amacı değişirse ilgili kişiden muvaffakiyet alınmalıdır. Şirketler, kişisel verileri talep ettiği, işlediği ve sakladığı tüm süreçlere ilişkin davranışlarını açık, şeffaf ve anlaşılabilir olarak yürütmelidir. Eğer kullanıcılar verilerinin kullanılması için izin vermişse, şirket kişiye bu izinleri istediği anda kaldırabilme hakkını da tanımak zorundadır. Özellikle 16 yaşından küçük çocukların kişisel verilerinin işlenmesi konusunda ailesinin veya velisinin açık imzasının alınması zorunlu tutulmaktadır.

GDPR yönergesi ile şirketler kurallara nasıl uyduklarını ispatlamak zorundadırlar. Bunun yanında şirketler için ihlal bildirimleri de zorunludur. Eğer bir ihlal olduğu tespit edilmişse 72 saat içerisinde bu ihlalden etkilenen kullanıcılar tespit edilmeli ve net bir şekilde bilgilendirilmelidir. Şirketler kişisel verilere dayanan tüm işlemlerinin hesap verilebilir olmasına dikkat etmelidir. Öte yandan GDPR’a uymayan şirketlere ise çok ağır yaptırımlar uygulanmaktadır. Kişisel veriler konusunda düzenlemeye uygun hareket etmeyen şirketlere yıllık cirosunun %4’üne veya 20 milyon avroya (hangisi daha fazla ise) varan cezai yaptırımlar getirilmektedir.

GDPR4.png

-

GDPR’ın Sunduğu Fırsatlar Nelerdir?

GDPR bir mal veya hizmet satın alan kullanıcılar için, kişisel verilerin gizliliği konusunda, büyük avantajlar da sağlamaktadır. Bireyin merkeze alındığı ve kullanıcı-şirket ilişkisinde hakimiyeti bireyin ele almasını sağlamaktadır. “Rıza” kavramının altı çizilmekte ve kullanıcının rızayı açık bir şekilde onaylayıcı eylemde bulunması şart koşulmaktadır. Bireylerin ırk, etnik köken, cinsel yönelim gibi hassas bilgilerinin işlenmesi için de açık rıza şart olarak koşulmuştur.

Öte yandan GDPR büyük şirketlerin hakimiyetini ve etki alanını da azaltmakta ve büyük veri şirketlerinin tekelleşmesini engellemeye çalışan bir regülasyon olarak düşünülmektedir. İkincil hedefi büyük teknolojiler ve tüketiciler arasındaki güç dengesizliğini gidermek olan düzenleme sayesinde kamuoyunda da çok tartışma yaratan büyük teknoloji şirketlerini verilerin işlenmesinden ve saklanmasından sorumlu tutmaktadır.

Dijital pazarlama dünyasında ise verilerin korunması anlamında birtakım sorumluluklar yüklenirken aynı zamanda GDPR sayesinde müşteri güvenini de sağlayarak daha güvenilir veriler üretebilecek ve netice de şirketin güvenilirliği artacaktır.

Yorumlar