Top

E-Gizlilik Regülasyonu – GDPR’ın ikizi nihayet geliyor mu?

E-Gizlilik Regülasyonu – GDPR’ın ikizi nihayet geliyor mu?

AB, kişisel verilerin hukuki güvenceden yoksun kalacağı her hangi bir alan bırakacağa benzemiyor. 2016 yılında büyük ve çığır açıcı GDPR hamlesini yaptıktan sonra, özellikle elektronik iletişimde, son kullanıcıların mahremiyetini, iletişimlerinin gizliliğini ve cihazlarının bütünlüğünü korumayı sağlamaya yönelik olarak ePrivacy Regülasyonu’nu (şimdilik E-Gizlilik Regülasyonu) yayınlamaya hazırlanıyor. Artık Avrupa Birliği’nde yerleşik yalnızca gerçek kişilerin değil, tüzel kişilerin de gizli kalması gereken verilerin işlenmesi ve bu verileri işleyen hizmetleri sunan elektronik iletişim hizmet sağlayıcıları için yeni yükümlülükler ve sınırlamalar geliyor!

Avrupa Birliği 2003 tarihli e-Gizlilik Direktifinin yerini alacak  olan yeni regülasyonun taslağını 5 Ocak 2021 tarihinde yayınladı. E-Gizlilik Regülasyonunun GDPR ile birlikte yayınlanmasının ve yürütülmesinin planlandığını, ancak farklı lobilerin engellemeleri sebebiyle e-Gizliliğin yürürlüğe girmesi geciktiğini de hatırlatmakta fayda var. 

Regülasyonlar AB müktesebatı (acquis communautaire) normlar hiyerarşisinde direktiflerin üstünde yer alırlar. Direktifler üye ülkeler için bir hedef oluşturur ve her bir üye ülke ilgili alanda kendi özgün düzenlemelerini üretir. Regülasyonlar ise belirlenmiş bir tarihte bütün Avrupa Birliği genelinde aynı anda yürürlüğe girer ve Birliğin her yerinde bağlayıcılık kazanır. Yeni gizlilik düzenlemesinin bir ‘Regülasyon’ olması bu nedenle yani işin ciddiyetini göstermesi bakımından önemlidir.

Ülkemizdeki 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’nun AB’nin yeni e-Gizlilik Regülasyonu gibi elektronik iletişim alanını düzenliyor olması sebebiyle benzer olduğunu düşünebilirsiniz. Ancak, mevcut 6563 sayılı yasa yalnızca veri, ses ve görüntü içerikli ve ticari amaçlagönderilen iletileri kapsıyor. e-Gizlilik Regülasyonu ise çok daha geniş bir gizilik çerçevesi çiziyor. Yeni Regülasyonun taslağı yakından incelendiğinde bu daha da iyi anlaşılıyor. 

e-Gizlilik Regülasyonunun Bölümleri

  1. Bölüm:  Regülasyonun coğrafi uygulama kapsamını ve düzenlemede kullanılan terimleri tanımlar ve açık rıza standardını belirliyor. EEA dışı hizmet sağlayıcılar için bir temsilci atama gerekliliği gibi yükümlülükleri getirir. 
  2. Bölüm: son kullanıcıların cihazlarındaki verilere çerezler ve pikseller gibi araçlar aracılığıyla erişim için şartları belirler.  (1) Elektronik iletişimin içeriği, (2) elektronik iletişimde metadata (üst veri), (3) verileri işleme için ek gereksinimleri ve sınırlamaları belirler. Bu sınırlamalar son kullanıcıların kullandığı yazılımlar kadar  donanımları da içerecek şekilde tasarlanmıştır. Ayrıca son kullanıcıların cihazlarının işleme ve depolama yeteneklerinin kullanım kısıtlarını da ele alır.
  3. Bölüm : (1) Numaraya dayalı kişilerarası iletişim hizmetleri (ör. genel telefon hizmetleri, WhatsApp, Skype) ve (2) doğrudan pazarlama iletileri (ör. e-postalar ve diğer e-mesajlar) için gereksinimleri ve sınırlamaları ele alır;
  4. Bölüm : Yetkili otoriteleri ve yetkilerini tanımlar;
  5. Bölüm: Alınacak tedbirleri, sorumluluk ve cezaları belirler.

Yeni tasarıya görüş bildiren kuruluşlardan birisi de GDPR bağlamında en üst otorite olan Avrupa Veri Koruma Otoritesi (EDPB). EDPB özellikle yetki kargaşası  ortaya çıkacağı çekincesiyle yetkili otorite sayısının artırılmaması konusunda görüş bildirdi. 

2021 yılı başında başlayan Portekiz’in dönem başkanlığında da, konum (lokasyon) verilerinin de kapsama alınması, teknik ya da elektronik iletişimin fiilen gerçekleşmesini esas almak yerine daha geniş çerçevede taraflar arasındaki sözleşmenin uygulanmasının esas alınması gibi hukuki ve somut gerekçeli bazı öneriler getirilmekte. 

Anonimleştirilmiş istatistiksel elektronik iletişim verilerini üçüncü şahıslarla paylaşan hizmet sağlayıcılarının bir veri koruma etki değerlendirmesi (DPIA) yapmasını ve son kullanıcıların veri işleme süreçleri hakkında bilgilendirme gerekliliği gibi önemli bir araçların eklenmesi de tartışılıyor.

Yeni Regülasyon Ne Getiriyor 

İster elektromanyetik, ister optik, ister radyo ve hatta kablo aracılığı ile iletilsin tüm elektronik iletişimler koruma kapsamına alınıyor. Böylece elektronik kablo sistemleri, sabit ağlar, kablolar ve uydular aracılığıyla gönderilen tüm iletişimler kapsama alınmış oluyor. Regülasyonla öngörülen önemli başlıkları şu şekilde sıralayabiliriz: 

  • OTT Hizmet sağlayıcıları ve üst veri: Skype, WhatsApp, Messenger ve Google gibi Over the Top (OTT) olarak bilinen ses ve video aktarım hizmeti sunan hizmet sağlayıcılarına ve internet TV ve video servislerine özel uygulama ve yükümlülükler geliyor. Yasalar ihlal edildiğinde onları daha hesap verebilir hale getirecek daha katı gizlilik kuralları geliyor.
  • Daha sıkı gizlilik kuralları: GDPR ile hayatlarında ilk kez ciddi yasal sınırlamalarla karşılaşan veri devleri yeni e-Gizlilik Regülasyonu ile daha da ciddi düzenlemelere uyum sağlamak zorunda kalacaklar. Facebook, Apple, Google vb. Amerikan teknoloji devlerinin Avrupa Ekonomik Alanı içindeki kullanıcıları için İrlanda’da bir temsilcilik kurmasının sebebi 2016’da yayınlanan GDPR’dan olduğu kadar eli kulağındaki ePrivacy Regülasyonu olduğunu da söylemek gerekiyor.
  • Daha çok anonimleştirme: Yeni düzenleme kullanıcıların, lokasyon, kullanıcı bilgileri gibi kişisel verilerinin saklanmasına izin vermemesi durumunda bu kuruluşların verileri anonimleştirilmesini veya silinmesini gerektiğini öngörüyor. 
  • Çerezler: Çerez kurulumu ve kullanımı konusunda sorumluluğun web siteleri yerine web tarayıcılarında olması için çerez uyarılarını içeren süreci basitleştirilmeye ve onay süreci de kolaylaştırılmaya çalışılıyor. Veri sorumlusu şirketlere, ‘çerezleri asla kabul etmeme‘ ve ‘üçüncü taraf çerezlerini reddet‘ gibi kullanıcılara yönelik açıkça görülebilen, anlaşılması kolay daha yüksek seviyeli bir çerez politikası sunmaları tavsiye ediliyor. Ancak, e-ticaret çerezleri ve alışveriş sepeti geçmişlerini hatırlama gibi kullanıcının ya da tüketicinin hayatını kolaylaştırdığı kabul edilen ‘gizlilik dışı müdahaleci’ çerezler, şimdilik kısıtlamalara tabi tutulmuyor.
  • İstenmeyen Reklam, Pazarlama mesajları– Bizdeki 6563 sayılı Yasaya benzer şekilde,  SMS ve e-posta yoluyla doğrudan reklam/pazarlama (direct marketing) amaçlı pazarlama mesajları ve telefonla arama ile ilgili daha katı kurallar öngörülüyor. Telefon ile yapılan aramalar konusunda kısmen bizdeki İYS uygulamasına benzer bir model öngörülüyor. Hali hazırda müşteri-satıcı ilişkisi olan bir müşterisine benzer hizmetler veya ürünler sunmak için e-posta gönderen bir şirketin, GDPR’a uygun olarak aldığı onay şartıyla bu şekilde iletişim kurabileceği öngörülüyor. 
  • Halka açık Wi-Fi ve internet tabanlı iletişim teknolojileri ve cihazlar– Özellikle elektronik İletişimde mahremiyet ve hakların tam olarak korunmasını sağlamayı amaçlayan yeni Regülasyon’un  daha çok, AB hedefi olan dijital tek pazarda cihazdan cihaza yapılan internet tabanlı iletişime odaklandığı da söylenebilir. Diğer yandan, halka açık kablosuz ağlar, yani ‘Wi-Fi erişim noktaları’, bulundukları yere, hizmeti sağlayan şirkete veya bu hizmetin sunulduğu yönteme bakılmaksızın Regülasyon kapsamına alınıyor. İş ortamında kullanılan ağlar gibi halkın açık kullanımına kapalı olanlar ise kapsam dışında bırakılıyor.

Yaptırımlar

Yeni Regülosyonda GDPR’a benzer şekilde daha küçük çaplı ihlaller için şirketin global yıllık cirosunun % 2’si ile 10.000.000 Euroya kadar, veya daha büyük ölçekli ihlaller için yıllık cironun % 4’ü ile 20.000.000 Euro’ya kadar – her durumda hangisi daha yüksekse – ağır para cezaları öngörülüyor.. 

Yürürlükteki ePrivacy Direktifi’ne benzer şekilde taslak Regülasyon da, elektronik iletişim hizmeti sağlayıcıları tarafından toplanan kişisel verilerin işlenmesinde GDPR’da yer alan temel prensipleri içeriyor. Ancak taslak Regülasyonun öngördüğü bazı kuralların GDPR’den daha geniş olduğu ayrıntısına da dikkat çekmemiz gerekiyor. Zira yeni Regülosyan GDPR gibi yalnızca kişisel verileri değil, kişisel olsun veya olmasın elektronik iletişim sırasında son kullanıcının cihazlarından toplanan diğer verileri de kapsamına alıyor gibi görünüyor. Bu da, GDPR ile eşgüdümü ve her iki Regülasyonun çakışmadan yürümesini sağlayacak bir denge kurması gereken Avrupa Konseyin işini zorlaştırıyor. Ama GDPR’ın ikizi konumundayken bir türlü doğamayan bu taslağın yasalaşması gerektiği konusunda üye ülkeler ve AB otoriteleri oldukça kararlı ve hevesli görünüyor.

Ali Atlıhan
Ali Atlıhan
Yorum Bulunmuyor

Yorum Yapın