Giriş

Genel Veri Koruma Yönetmeliği[1] [General Data Protection Regulation], Mayıs 2018’den beri yürürlükte olan önemli bir uluslararası mevzuattır. Uyumsuzluk cezaları önemli bir ticari etkiye sahip olabilir, ancak birçok kuruluş hâlâ tam uyumlu değildir. Genel Veri Koruma Yönetmeliği’ne uyumlu hale gelmek, kuruluşların veri işleme uygulamalarında önemli değişiklikler yapmasını gerektirdiği için zor olabilir.

Ancak, kuruluşların uyumu sağlamak için alabileceği bir dizi önlem bulunmaktadır; örneğin, bir veri koruma görevlisi atamak, veri koruma etki değerlendirmeleri yapmak ve teknik ve kurumsal güvenlik önlemleri uygulamak gibi. Uyumu sağlamak için gereken adımlar, kuruluşun özel koşullarına bağlı olarak değişecektir.

1. Genel Veri Koruma Yönetmeliği ve Önemi

Genel Veri Koruma Yönetmeliği, Avrupa Birliği sınırları içindeki bireylerin kişisel verilerinin toplanması ve işlenmesine ilişkin kuralları belirleyen bir Avrupa Birliği düzenlemesidir. Büyüklükleri veya konumları ne olursa olsun, Avrupa Birliği’nde bireylerin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Genel Veri Koruma Yönetmeliği, bireylere kişisel verileri üzerinde daha fazla kontrol sağlar ve kuruluşların bu verileri nasıl toplayıp kullandıkları konusunda daha şeffaf olmalarını gerektirir.

2. Genel Veri Koruma Yönetmeliği’nin Temel İlkeleri

Genel Veri Koruma Yönetmeliği, kişisel verilerin toplanması, paylaşılması, saklanması ve kullanımıyla ilgili yedi temel ilkeyi ortaya koymaktadır. Bu ilkelere uyum, kişilerin mahremiyetini korumak ve idari para cezalarından kaçınmak için önemlidir.

2.1. Yasallık, adalet ve şeffaflık [lawfulness, fairness, and transparency]

Kişisel verilerin işlenmesi, veri sahibi (birey) açısından yasal, adil ve şeffaf olmalıdır; yani:

• Kişisel veriler ancak hukuki bir dayanağın varlığı halinde işlenebilir. Altı hukuki dayanak ise; rıza (onay), sözleşme, hukuki yükümlülük, hayati menfaatler, kamu görevi ve meşru menfaatlerdir [consent, contract, legal obligation, vital interests, public task, and legitimate interests].
• Kişisel veriler adil ve bireyler açısından şeffaf bir şekilde işlenmelidir.
• Kuruluşlar, kişisel verileri nasıl topladıkları, kullandıkları ve paylaştıkları konusunda şeffaf olmalıdır.

Örnek: Bir şirketin, pazarlama e-postaları göndermek amacıyla müşterilerinden kişisel veri toplamak istediğini varsayalım. Şirketin onaya ihtiyacı olacaktır; yani müşterilerin, verilerinin pazarlama amacıyla toplanıp kullanılmasına açıkça izin vermeleri gerekecektir. Şirket ayrıca, verileri nasıl kullanacağı konusunda şeffaf olmalı ve müşterilerine verilerine erişme, düzeltme ve silme hakkı vermelidir.

2.2. Amaç sınırlaması [purpose limitation]

Kişisel veriler belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayan bir şekilde işlenmemelidir, yani:

• Kuruluşlar kişisel verileri yalnızca belirli, açık ve meşru amaçlar için [for specific, explicit, and legitimate purposes] toplamalıdır.
• Kuruluşlar, toplamanın asıl amacı ile doğrudan ilişkili olmayan hiçbir amaç için kişisel veri toplamamalıdır.

Örnek: Ayakkabı satan bir şirket, müşterilerinin adlarını ve iletişim bilgilerini toplar. Bu veriler, yeni ayakkabılar ve indirimler hakkında pazarlama elektronik postaları (e-posta) göndermek amacıyla toplanır. Şirket, bu verileri üçüncü taraflara satmak veya müşteri profili oluşturmak gibi başka hiçbir amaçla kullanamaz.

2.3. Veri minimizasyonu [data minimization]

Veri toplama, amaç doğrultusunda gerekli olanla sınırlı olmalıdır, yani:

• Veri minimizasyonu ilkesi, kuruluşların yalnızca işlendikleri özel amaç için gerekli olan [necessary for the specific purpose] kişisel verileri işlemesini gerektirir.
• Veri minimizasyonu, gizlilik ve veri korumasını ürün ve hizmetlerin geliştirilmesinin en erken aşamalarından itibaren dâhil etme uygulaması olan tasarıma dayalı gizlilik kavramıyla yakından bağlantılıdır.

Örnek: Bir sosyal medya platformu, kullanıcılarından şu verileri toplar: ad, e-posta adresi, doğum tarihi, cinsiyet ve konum. Ancak, platformun hizmeti sunabilmesi için yalnızca kullanıcılarının ad ve e-posta adreslerini toplaması yeterlidir. Bu nedenle, platform kullanıcılarının doğum tarihi, cinsiyeti ve konum bilgilerini toplamayarak topladığı veri miktarını en aza indirmelidir.

2.4. Doğruluk [accuracy]

Veriler doğru olmalı ve gerektiğinde güncel tutulmalıdır [kept up to date]; yani:

• Kişisel verilerin doğru ve güncel olmasını sağlamaktan kuruluşlar (bireylerin kendileri değil) sorumludur.
• Kuruluşlar, yanlış veya eksik verileri düzeltmek veya güncellemek için her türlü makul adımı atmalıdır.

Örnek: Bir perakende şirketinin, müşterilerinin adlarını, adreslerini ve telefon numaralarını içeren bir müşteri veritabanı vardır. Şirket, müşterilerinden birinin telefon numarasının hatalı olduğunu tespit eder. Verilerin doğruluğunu sağlamak için veritabanındaki müşterinin telefon numarasını güncellemelidir.

2.5. Depolama sınırlaması [storage limitation]

Veriler, amaç için gerekenden daha uzun süre boyunca veri sahiplerinin kimliğinin tespit edilmesine olanak verecek biçimde saklanmalıdır; yani:

• Kuruluşlar, topladıkları her tür kişisel veriyi ne kadar süreyle saklayacakları konusunda bireyleri bilgilendirmelidir. Bu, belirli bir süre [örneğin bir yıl (specific time period) veya tetikleyici bir olay meydana gelene kadar [until a triggering event occurs] olabilir.
• Kuruluşların kişisel verileri belirli bir süre boyunca saklamak için her zaman geçerli bir nedenleri olmalıdır.

Örnek: Bir şirket, müşteri desteği sağlamak amacıyla müşterileri hakkında veri toplar. Şirket, bu verileri müşterinin şirketle en son etkileşim kurduğu tarihten itibaren 1 yıl boyunca saklar. Şirket, 1 yıl sonra, kişisel verileri gerekenden daha uzun süre saklamamak için verileri silmelidir.

2.6. Dürüstlük ve gizlilik [integrity and confidentiality]

Veriler, yetkisiz veya hukuka aykırı işleme, kazara kayba, imhaya veya hasara karşı koruma da dâhil olmak üzere güvenliğini sağlayacak şekilde işlenmelidir; bu, şu anlama gelir:

• Kuruluşlar, kişisel verileri güvence altına almak, iç ve dış tehditlere karşı korumak ve veri ihlallerini önlemek [secure personal data, guard against internal and external threats, and avoid a data breach] için uygun teknik ve organizasyonel önlemleri almalıdır.
• Kuruluşlar, kişisel verileri yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korumak [unauthorized access, use, disclosure, alteration, or destruction] için uygun teknik ve organizasyonel önlemleri uygulamalıdır. Bu önlemler arasında şifreleme, takma ad kullanımı ve erişim kontrolleri [encryption, pseudonymization, and access controls] gibi önlemler yer almalıdır. Kuruluşlar ayrıca güvenlik önlemlerini düzenli olarak test etmeli ve çalışanlarını veri güvenliği konusunda eğitmelidir.

Örnek: Müşterilerinden kişisel veri toplayan bir banka, bu verileri yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korumak için uygun teknik ve organizasyonel önlemleri almalıdır. Örneğin, banka verileri şifreleyebilir, erişimi yetkili personelle sınırlayabilir ve güvenli bir şekilde imha etmek için bir politika uygulayabilir.

2.7. Hesap Verebilirlik [accountability]

Veri denetleyicisi (verileri işleyen kuruluş), diğer ilkelerden sorumludur ve bunlara uyduğunu gösterebilmelidir; yani:

• Kuruluşlar, Genel Veri Koruma Yönetmeliği ilkelerine uyumlarını gösterebilmelidir.
• Kuruluşlar, politika ve prosedürler geliştirerek, bir veri koruma görevlisi atayarak ve veri eşleme çalışmaları yürüterek Genel Veri Koruma Yönetmeliği kapsamında hesap verebilirliklerini gösterebilirler. Ayrıca, uygun durumlarda veri koruma etki değerlendirmeleri [data protection impact assessments] de gerçekleştirebilirler.

Örnek: Müşterilerinden kişisel veri toplayan bir şirket, Genel Veri Koruma Yönetmeliği’ne uyumunu denetlemek üzere bir veri koruma görevlisi [data protection officer] atayabilir. Veri koruma görevlisi, şirketin kişisel verileri korumak için uygun politika ve prosedürlere sahip olmasını ve Genel Veri Koruma Yönetmeliği yükümlülüklerine uymasını sağlamaktan sorumlu olacaktır.

3. Genel Veri Koruma Yönetmeliği’ne Uyulmaması Durumundaki Cezalar

Genel Veri Koruma Yönetmeliği’ne uyum, Avrupa Birliği’nin ötesinde bile zorunludur. Dünyada bir Avrupa Birliği vatandaşının verilerini işleyen her şirket, Genel Veri Koruma Yönetmeliği politikasına tabidir. Avrupa Birliği, koşullarına uymayan kuruluşlara katı cezalar uygulamaktadır. Genel Veri Koruma Yönetmeliği’ne uymayan kuruluşlara, hangisi daha yüksekse, 20 milyon avroya veya küresel yıllık cironun yüzde 4’üne kadar para cezası [fines of up to €20 million or 4% of global annual turnover, whichever is greater] verilebilir.

Finansal cezalara ek olarak, şu diğer potansiyel riskler de göz önünde bulundurulmalıdır:

Güven kaybı [loss of trust:]: Genel Veri Koruma Yönetmeliği’ne uyulmaması, müşteri güveninin kaybına yol açabilir ve bu durum herhangi bir finansal cezadan daha uzun vadeli bir etkiye sahip olabilir.

Olumsuz tanıtım [negative publicity]: Genel Veri Koruma Yönetmeliği’ne uyulmamasının medyada yer alması bir şirketin imajını zedeleyebilir.

Hukuk davalarına maruz kalma [civil lawsuits]: Genel Veri Koruma Yönetmeliği’ne uyulmamasından etkilenen kişiler, şirkete karşı hukuki davalar açabilir.

Tedbirler [injunctions]: Düzenleyici otoriteler, veri işleme faaliyetlerine yasaklar veya kısıtlamalar getirebilir.

Veri akışı [data flow]: Uyulmaması durumunda veri transferinin yasaklanması söz konusu olabilir ve bu durum özellikle sınır ötesi faaliyet gösteren şirketler için iş operasyonlarını ciddi şekilde etkileyebilir.

Kaynak tüketimine yol açma [resource drain]: Genel Veri Koruma Yönetmeliği ihlalinin yol açtığı sonuçları yönetmek, yasal ücretler ve veri yönetim sistemlerini iyileştirme çabaları da dâhil olmak üzere önemli miktarda zaman ve kaynak yatırımı gerektirebilir.

Sonuç: Genel Veri Koruma Yönetmeliği Uyumunun Otomatikleştirilmesi

Genel Veri Koruma Yönetmeliği’nin söz konusu ilkeleri genellikle uyulması gereken iyi uygulamalardır. Nerede olunursa olsun, Avrupa Birliği’ndeki kişilerin verileri yönetiliyorsa, bunlar son derece önemlidir. Özetle, her şey şu şekildedir:

• Mümkün olduğunca az veri toplanmalıdır.
• Mümkün olduğunca sık izin alınmalıdır.
• Kullanıcı verileri güncel tutulmalıdır.
• Veriler yalnızca makul amaçlar için kullanılmalıdır.
• Kullanıcılar korunmalıdır.
• Sorumlu olunmalıdır.

Genel Veri Koruma Yönetmeliği’ne uyum sağlamak teknolojik olarak karmaşık veya gerçekçi değildir. Ancak birçok şirket, bunu başarmakta yetersiz kalmaktadır çünkü bunu başaracak titizlik ve disipline sahip değildirler.

[1] < https://gdpr-info.eu/ > [metne, çeviren tarafından iliştirilmiştir].

Yavuz Akbulak

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.