Genel-Kapsamlı Veri Koruma Kanunu

Zeynep Turan Stefan 04 Nisan 2018, 10:09

 

Avrupa Birliği; siber saldırılar, çalınan kredi kartı veya kimlik bilgileri gibi konularda artan şikayetlere çözüm olması beklenen “Genel-Kapsamlı Veri Koruma Kanunu”nu Mayıs 2018’de yürürlüğe sokacak. GDPR, InsurTech ile daha veri merkezli ve teknoloji odaklı olmayı amaçlayan sigorta şirketleri için de oyun alanlarını sağlamlaştıracak ve pürüzleri giderecek bir düzenleme...

Avrupa Birliği, Solvency II’den sonra hazırladığı en büyük ve kapsamlı düzenlemesini hayata geçirebilmek için gün sayıyor. Yaklaşık 4 yılda hazırlanabilen, ülkelerden ve büyük ölçekli birçok şirketten gelen itirazlar dolayısıyla defalarca gözden geçirilen ve nihayet 14 Nisan 2016 tarihinde Avrupa Birliği Parlamentosu tarafından onaylanan GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girmiş olacak.
İngilizce GDPR’nin açılımı “General Data Protection Regulation” şeklinde. Türkçeye “Genel-Kapsamlı Veri Koruma Kanunu” olarak çevirebiliriz. Başındaki “General”, genel çerçeveyi tanımlayan bir kanun olmasından ziyade, çok geniş kapsamlı ve geniş etki alanına sahip olmasından kaynaklanıyor.
14 Nisan 2016’da onaylanan, 20 gün sonra Avrupa Birliği resmi gazetesinde duyurulduktan sonra 2 yıllık bir uyum süresi tanımlanan kanun, aslında Avrupa Birliği’nde zaten mevcut olan Veri Koruma Direktifi’nin (Data Protection Directive 95/46/EC) güncellenmiş versiyonu. Güncellemenin sebebi ise önceki direktifin 1995 yılında uygulamaya konulması; IoT (nesnelerin interneti), InsurTech, AI (yapay zeka) ve siber risk gibi son 5 yılın öne çıkan teknolojik gelişmelerine karşı ciddi anlamda yetersiz kalmasıydı.
GDPR ile öncelikle bütün Avrupa Birliği vatandaşlarının veri güvenliği ve gizliliğinin koruma altına alınması planlanıyor. Bu yapılırken ve kanun kaleme alınırken uzmanların çıkış noktası ise tek bir değişken yani iş etkisi (business impact). Düzenlemeleri değerlendirirken gözümüze çarpan ilk özellikse her durumda tüketici haklarının korunması amacının ilk sıraya konulması...

Yeni yaptırımlar ve düzenlemenin kapsamı

GDPR’ı okuyunca dokuz ana başlığın ortaya çıktığını görüyoruz. Bu dokuz başlık hem GDPR’ın ortaya çıkış nedenlerini hem de yaptırımların ana başlıklarını özetliyor. GDPR’ın getirdiği en büyük yenilik, veri gizliliğinin kaynağı. Yeni düzenlemeyle veri sahibinin Avrupa Birliği sınırları içerisinde oturması, düzenlemeden yararlanması için yeterli hale getiriliyor. Önceki düzenleme, ilgili tüzel kişinin lokasyonunu baz alıyordu. Bu sayede Avrupa Birliği sınırları içerisinde herhangi bir kurumu olmayan, ancak müşterileri Avrupa Birliği sınırları içerisinde olan kurumlar GDPR’ı uygulamak zorunda kalacak.
GDPR ile yönetmeliğin ihlali durumundaki cezalar da yenilendi. Düzenlemeye göre GDPR tarafından getirilen yükümlülüklerin ihlali durumunda 20 milyon Euro veya yıllık brüt cironun yüzde 4’üne kadar (bu iki değerden hangisi daha büyükse) çıkabilecek yaptırımlar söz konusu olacak. Diğer önemli bir nokta da “bulut” üzerinde mevcut organizasyonların da bu yaptırımlardan sorumlu tutulacak olması.

Verilerin kullanım onayı ve taşınabilirliği

Verinin kullanımıyla ilgili veri sahiplerinin onayı ise düzenlemede yine çok önemseniyor. Onayın açık ve anlaşılır bir biçimde yazılması, veri sahibinin verilerinin tamamı gibi bir kısımını da ilgili şirketin onayına sunabilmesi sağlanıyor. Önceden verilen ancak sonra kullanıma kapatılmak istenen veriler için de sürecin kolaylaştırılması hedefleniyor.
GDPR’da gördüğümüz diğer bir özellik de düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle ilgili, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi.
GDPR ayrıca, Türkiye’de “unutulma hakkı” olarak bilinen, düzenlemenin orjinal metninde “data erasure” veya “right to be forgotten” olarak belirtilen alanda da düzenleme yaptı. Veri sahiplerinin herhangi bir kurumun bünyesinde yer almasını istemediği veriler, öncelikle verinin kullanımındaki kamu çıkarı dikkate alınarak değerlendirilebilecek ve kullanımdan kaldırılabilecek.
GDPR, verinin kullanımının taşınabilirliğiyle ilgili de bir düzenleme içeriyor. Böylece kullanım için belli bir kuruma verilen veri, sahibinin onayıyla benzer kapsamda veya farklı bir kapsamda başka bir şirketin kullanımına da sunulabilecek, yani bir nevi taşınmış olacak.

Veri ulaşımında kademelendirme ve veri koruma görevlileri

GDPR, verinin kullanım hakkının sahibinden alınması sonrasında, kullanım onayını alan şirketin personeli arasında da bir sınıflandırma öngörüyor. Yani veriye ilgili şirketteki herkesin ulaşamaması, sadece veriyi kullanacak olan birimin görevlilerinin ulaşabilmesi amaçlanıyor. Bu nedenle şirketler içerisinde güvenlik esaslı veri erişim yapılarının kurulması gerekiyor.
Şirketler, zaten bünyelerinde olan veri koruma kuralları (DPA - data protection act) ile bazı önlemler almış durumda. Ancak birçok farklı ülkede faaliyet gösteren şirketler için birçok farklı kurala göre raporlama yapmak ciddi bir iş yükü ve verimsizlik yaratıyordu. GDPR ile olası ihlallerle ilgili bildirim yerine şirket içi kayıtların belirlenen kurallara göre düzenli ve yapılacak denetimlere hazır şekilde tutulması amaçlanıyor.
GDPR yaptırımlarına göre şirketlerin DPO (data protection officer - verinin korunmasından sorumlu personel) atamaları da gerekiyor. Öncelikle DPO, ilgili şirket bünyesinde olabilecek en yüksek yönetim seviyesine bağlı olacak, görev aldığı organizasyon bünyesinde çıkar çatışmasına yol açabilecek başka bir sorumluluğu olmayacak ve mutlaka görevin gerektirdiği profesyonel yeterliliğe sahip olacak.

InsurTech ve GDPR

GDPR ile Avrupa Birliği uzun zamandır gerçekleştirmek istediği ve özellikle finansal alanda ciddi boşluk olduğunu düşünülen bir alana el atmış oldu. Siber saldırılar, çalınan kredi kartı veya kimlik bilgileri gibi konularda artan şikayetler, GDPR’ın çözüm bulması umulan alanlar. InsurTech ile daha veri merkezli ve teknoloji odaklı olmayı amaçlayan sigorta şirketleri için de GDPR, oyun alanlarını sağlamlaştıracak ve pürüzleri giderecek bir düzenleme.
Türkiye sigorta sektörü açısından baktığımızda ise veri korunmasını amaçlayan düzenlemelerin olduğunu, ancak GDPR kadar detaylı ve müşteriyi koruma amaçlı olmadığını görüyoruz. Avrupa Birliği vatandaşı olan birçok müşteriye sahip Türk sigorta şirketi olduğunu düşünürsek, GDPR’ın ülkemizde de geniş anlamda olmasa bile uygulanacağını söyleyebiliriz. Düzenleyici kurumun GDPR sonrası Türk veri koruma anlayışını da Avrupa Birliği seviyesine çekmesi elbette olası ve memnuniyet verici bir gelişme olacaktır.

Diğer Yazıları