Son Gelişmeler
Veri koruma kanunları şirketlerin çalışma şeklini değiştiriyor
Şirketlerin verileri işleme, saklama veya iletme prosedürlerini değiştiren veri koruma yönetmeliği, bir çok ülke tarafından farklı şekillerde yasalaşıyor.
Gartner tarafından yapılan yeni bir araştırma, şirketlerin veri kaybını önlemek için yaptığı güvenlik yatırımlarında, 2018 sonuna kadar %65 artış yaşanacağını öngörüyor. Avrupa Birliği ülkelerini etkileyen Genel Veri Koruma Yönetmeliği (GPDR) başta olmak üzere son iki yıl içerisinde pek çok ülkede yeni veri koruma yasalarının yürürlüğe girmesinin bu artışta büyük etkisi bulunuyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, farklı ülkelerdeki uygulamaların yeni yasalarla nasıl iyileştirildiğini mercek altına alıyor.
Şiddeti gitgide daha çok hissedilen veri koruma kanunları, global anlamda büyük farklar yaratıyor. Avrupa Birliği’ndeki ülkelerde Mayıs 2017’de devreye giren ve hesap verebilirlik, rıza alma ve raporlama gibi alanlarda ciddi düzenlemeler getiren GDPR’den ilham alan ülkeler, kendi versiyonlarını üretip uygulamaya koyarak değişime ayak uyduruyor. Benzer şekilde, Türkiye’deki veri koruma uygulamalarının seyri de hızla değişiyor.
ABD: Tüketici Gizlilik Yasası
ABD, GPDR’den aldığı ilham ile yeni kanunlar yaratıyor. Yeni uygulamalardan biri olan 2018 Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya eyaleti vatandaşlarına GDPR’ye özellikle DSAR konusunda benzerlik gösteren haklar tanıyor. Bu haklara göre kişiler, hangi verilerinin ne amaçla işlendiğine ve üçüncü bir şirket veya kişiye verilip verilmediğine dair şirketlerden bilgi talep edebiliyor. Elektronik veya fiziksel olarak oluşturulabilen bu taleplere şirketler bir ay içinde ücretsiz olarak cevap vermek zorunda kalıyor.
ABD’deki başka bir eyalet olan Colorado’daki yasama organı da bu bölgedeki kişilerin veri koruma düzeyinin artırılması için uygulamaya konulması istenen yeni prosedür ve pratikler ile ilgili bir yasa tasarısını yakında sunmayı düşünüyor. Bu yasa tasarısı ile kişisel veri teriminin kapsamının genişletilmesi ve bir veri sızıntısının ardından kullanıcılara bilgilendirme yapılması gereken zaman aralığının değiştirilmesi hedefleniyor. Tüketici Gizlilik Yasası ABD’deki şirketlere şimdiye kadar 30 günlük sızıntı bildirim süresi veriyordu. Bu süre, AB ülkeleri için sadece üç gün olduğundan, ABD’deki şirketler için de sürenin kısaltılması isteniyor.
İngiltere: Veri Koruma Yasa Tasarısı
Brexit’in ardından harekete geçen İngiltere, İngiltere Bilgi Komisyonluğu Ofisi başkanlığında veri koruma ve gizliliği ile ilgili kendi düzenlemelerini oluşturuyor. İngiltere Bilgi Komisyonluğu Ofisi, GDPR ile uyumlu kuralların yürütülmeye devam edilmesi adına yeni bir Veri Koruma Yasa Tasarı taslağı hazırlamakta olan İngiltere için bu konunun oldukça önemli olduğunu ve veri korumaya dair sorunların kamuoyunda sıkça ses getirdiğini belirtiyor.
Avustralya: Gizlilik Yasası
Avustralya’daki Gizlilik Yasası, ülkedeki tüm gizlilik düzenlemelerinin birbiriyle tutarlılık göstermesini sağlayarak eksiksiz bir uyum mekanizması oluşturulmasını hedefliyor. Bu yasalar, ülke içindeki veri akışının Avustralya sınırları dışına çıkışının azaltılmasını ve kişisel gizlilik hakkını garanti altına alacak kurallar içeriyor.
Veri denetleyicilerine pek çok sorumluluk yükleyen Avustralya, bu kişilerden kişisel bilgileri tamamen açık ve şeffaf bir şekilde yönetmesini ve yasaların tüm prensiplerine uyum göstermesini bekliyor. Veri sızıntısı ile ilgili bildirimler, raporlama kuralları ya da “ciddi hasar” teriminin tanımı kısımlarındaki farkların haricinde Avustralya, veri korumada GDPR’ye yakın bir yörüngede ilerliyor.
Meksika: Federal Veri Koruma Kanunları
Meksika’nın Özel Taraflarca Yapılan Federal Veri Koruma Yasası, Avrupa’da uygulanan yasalardan neredeyse hiç ayrılmıyor. Uluslararası Gizlilik Profesyonelleri Birliği’nden Veri Koruma Yasası Başkanı Miguel Recio, “Avrupa Birliği’nde olduğu gibi Meksika da da veri koruma alanında dinamik gelişmeler yaşıyor. Bu gelişmelerde mesuliyet hissi, sağlam ve etkili bir veri yönetimi için anahtar rol oynuyor. Meksika’daki veri denetleyicileri, teknik ve operasyonel önlemler hakkında AB’dekilerle benzer sorumluluklar alarak veri gizliliği yasalarına uyumu proaktif bir şekilde gösteriyor.” sözleriyle Meksika’nın veri korumaya yeni bakış açısını özetliyor.
Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler Yasası
GDPR ile çok alakalı olmayan uygulamaları gündeme getiren ülkeler de bulunuyor. Kanada, oluşturduğu Kanada Kişisel Veri Koruma ve Elektronik Belge Yasası kapsamında kendi standartlarını yaratıyor. Ayrıca, temel işleri direkt veri işlemeye dayanan tüm Kanadalı şirketlerin, Kanada kanunları dışında bütün GDPR kurallarına da uyması bekleniyor.
Türkiye: Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu, Türkiye’de 24 Mart 2016’dan beri yürürlükte bulunuyor. Şirketlerdeki pek çok uygulamayı baştan yazan Kişisel Verilerin Korunması Kanunu, çalışan hak ve gizliliğinden kullanıcı gizliliğine kadar pek çok konunun tekrar değerlendirilmesine imkan yaratarak kişisel verilerin üçüncü kişilere iletilmesi hususunda yenilikler getiriyor.
Her ne kadar iki yıldır gündemde olsa da işlenmiş kişisel verilerin yeni kanuna uyumu için kurumlara iki yıl süre verilmesi nedeniyle KVKK, asıl gücünü Nisan 2018’den beri gösteriyor. KVKK, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlarken, nedensiz ve sınırsız şekilde yapılan veri işlemelerini kabul etmeyerek cezaya tabii tutuyor.
Ayrıca, Ekim 2018 başında veri korumada yeni bir düzenlemeye daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.