Birkaç hafta önce, Genel Veri Koruma Yönetmeliği – kısaca GDPR – beşinci yaş gününü kutladı. Kutlamak için bir sebep mi? Bazıları öyle diyor, diğerleri öyle. GDPR kesinlikle bir şeyi başardı: veri koruma konusu hepimizi her zamankinden daha fazla etkiledi. Ancak: GDPR, örneğin Facebook veya Google gibi veri ahtapotlarını onların yerine koymak gibi büyük vaatlerini yerine getirdi mi? Şimdiye kadar nelerin iyi gittiğine ve nelerin hala değişmesi gerektiğine daha yakından bakıyoruz.
Bochum’dan avukat ve veri koruma uzmanı Christof Kolyvas, düzenlemenin yaklaşımını özetleyerek, “GDPR, gerçek kişilerin temel hak ve özgürlüklerini ve özellikle de kişisel verilerin korunması hakkını korur” diyor. Hukuki açıdan kulağa sıkıcı gelen şey, günlük dile tercüme edildiğinde şu anlama gelir: GDPR, verileri değil, insanları ve haklarını korumak ister. O yapıyor mu?
Rahatsız edici çerez afişleri, GDPR doğumu içermez
Her halükârda. Kişisel verilerin korunması ve genel olarak BT güvenliği açısından bazı şeyler gelişti. GDPR bize “yan ürün” olarak çerez afişleri şeklinde sonsuz bir tıklama alemi vermiş olsa bile. Çerez afişlerinin, GDPR’nin tanıtımıyla doğrudan hiçbir ilgisi yoktur. Bunlar bir dikkatsizliğin sonucudur. Çünkü GDPR’ye paralel olarak, sözde e-gizlilik direktifi veya “çerez direktifi” de reforme edilmelidir. Bu reform, her bir AB Üye Devletinin sorumluluğundadır. Almanya henüz tek tip bir çözüm üretebilmiş değil. Neden? Karar daha sonra gelecek.
eGizlilik Direktifini GDPR’den ayıran nedir? Politika temel olarak şirketlerin kişisel verileri gizli tutma konusundaki dijital taahhüdüdür. Öte yandan GDPR, veri işlemenin kendisiyle ilgilenir. Örneğin, AB dışındaki ülkelere açıklamaya izin verilmez.
Ayrıca can sıkıcı çerez afişleri de GDPR açısından neden “sorunlu”? İnternet kullanıcıları genellikle daha yakından incelendiğinde asla onaylamayacakları bir şeye rıza gösterirler. Ancak, bazı şirketler onay sürecini kasıtlı olarak kendi lehlerine tasarladılar.
Bir ret genellikle kafa karıştırıcıdır, karmaşıktır veya henüz hiç planlanmamıştır. Bu nedenle, çerez banner’ları yalnızca bir baş belası olmakla kalmaz, aynı zamanda tasarımları nedeniyle kişisel verilerin işlenmesi üzerinde tam bir kontrol kaybına yol açar. Bu, GDPR anlamında değildir.
Ayrıca şunu okuyun: Basitçe açıklandı: Yeni GDPR ne anlama geliyor?
Para cezaları etkilidir
bu Avusturyalı avukat ve veri koruma aktivisti Max Schrems Yıllardır Facebook ile savaşıyor. Birkaç yıl önce, Facebook’un kendi platformunda kendisi hakkında hangi kişisel verileri sakladığı hakkında bilgi istedi. GDPR, Mark Zuckerberg’in şirketine karşı yıllarca süren savaşıyla da şekilleniyor. Facebook, Twitter ve Co. artık şirket tarafından saklanan kişisel verileri sorgulamak için karmaşık olmayan bir işleve sahip. İstenirse şirketlerin “tüm” verileri bile silmeleri gerekir.
Veri koruma uzmanı Christof Kolyvas, “Para cezalarının uygulanması, Avrupa Adalet Divanı’nın GDPR’ye ilişkin içtihadı ve ulusal mahkemeler, tek tip AB düzenlemesinin etkinliğini görünür kılıyor.” Aslında: Kısa bir süre önce, İrlanda’da Facebook’tan sorumlu veri koruma kurumu 1,2 milyar avroluk rekor bir para cezası verdi. Facebook böylece “rekortmen” olarak Amazon’un yerini alıyor. Bir önceki para cezası lideri 746 milyon euro para cezası getirdi.
DSGVO ayrıca yetkililerle ilgili bir sorun
İrlanda’daki yetkililer iyi bir iş çıkarıyor gibi görünüyor. Ancak, bu yalnızca sınırlı bir ölçüde doğrudur. Çünkü Facebook, Microsoft, Google veya TikTok gibi büyük şirketler, yemyeşil çayırlar nedeniyle İrlanda’yı Avrupa merkezleri olarak seçmediler. Düşük vergi oranlarına ek olarak, ada, GDPR’nin son derece gevşek bir yorumuyla dikkat çekiyor. Ayrıca, İrlanda veri koruma düzenleyicisi kronik olarak yetersiz bir kadroya sahiptir. Otorite bu nedenle çok daha etkin çalışabilir. Manşet kapma para cezaları bu nedenle mum yakma amacına hizmet ediyor.
Benzer bir resmi sorun Almanya için de geçerlidir, ancak tersi yöndedir. Almanya, kendisini Ulrich Kelber’in şahsında bir federal veri koruma görevlisine emanet ediyor. Ancak, 17 eyalet yetkilisiyle iletişimi makul ölçüde katlanılabilir ve amaca uygun hale getirmekle yeterince ilgisi var. Çünkü veri koruma konusu Almanya’da federal olarak düzenlenmektedir. Buna göre, her bir federal eyaletin kendi veri koruma otoritesi vardır, hatta Bavyera kendisine iki tane izin vermektedir. Bu, GDPR açısından tek tip bir Alman hattını en azından zorlaştırıyor.
Bununla birlikte, veri koruma uzmanı Christof Kolyvas, veri koruma söz konusu olduğunda Almanya’yı doğru yolda görüyor. “Küçük ve orta ölçekli şirketler için, GDPR’nin uygulanması başlangıçta daha fazla çaba anlamına gelir. Ancak, erken aşamada veri korumayı dikkate alan şirketler, yanlış kararlar veya hukuki ihtilaflar nedeniyle daha sonra maliyetlerden tasarruf ediyor.”
Bochum avukatı, özellikle küçük ve yalnız serbest meslek sahipleri için gelecek için basitleştirmeler görmek istiyor. Beş yıl sonra bile, GDPR hakkında hala büyük bir cehalet ve belirsizlik var.
Ayrıca okuyun: Bunlar, GDPR’nin en saçma sonuçlarıdır
GDPR’nin olumlu ve olumsuz sonuçları
GDPR, insanlara yalnızca saklanan verileri görüntüleme, değiştirme veya silme veya yayılmasına itiraz etme gibi olumlu şeyler getirmedi. Şirketlerin verilerin kullanımını güvence altına almak zorunda olması idari yükü de artırmıştır. Çünkü bir şirket ne zaman kişisel verileri işlemek isterse, izin kaydı olarak hukuki bir dayanağa ihtiyaç duyar. Bunu özel formlar biçiminde elde ederler – hem çevrimiçi hem de analog. Birçoğu bunları tıbbi uygulamalardan biliyor olabilir. Mayıs 2018’de GDPR’nin kullanıma sunulmasından bu yana, yeni hastalar, verilerinin işlenmesine onay verdiklerini gösteren bir fiş doldurmak zorunda kaldı. Bu, doktorlar ve klinikler arasında teşhis değiş tokuşu yapabilmek için gereklidir. Ancak bu formlarla, kullanıcılar kabul ettikleri veri kullanım ve işleme türüne ve kapsamına dikkat etmelidir. “Meşru menfaat” gibi formülasyonlara dikkat edilmeli ve bunun yerine bir uzmana danışılmalıdır.
Bu arada, “meşru menfaat” çerez sorgularında da sıklıkla bulunur. Meşru bir menfaatten neyin anlaşılabileceği sorusu her zaman kalır. Kullanıcılar, sorumlu kişinin meşru menfaatinin gerçekten üstün olduğundan emin olmalıdır.
GDPR küresel bir standart olma yolunda mı?
Uygulama başlangıçta heyecan uyandırsa da, GDPR artık dünyanın diğer bölgelerinde de bir model olarak hizmet ediyor. Eleştirmenlerin en büyük korkularından biri gerçekleşmedi: ABD şirketleri, GDPR nedeniyle Avrupa’ya sırtlarını dönmediler.
Buna göre, düzenleme AB dışındaki diğer ülkeler için bir model olabilir. Bu arada, bu küresel olarak aktif şirketlerin de çıkarına olacaktır. Çünkü sayısız “standart” onları ilgilendirmez çünkü farklı düzenlemeler uyum için daha yüksek maliyetlere neden olur.
Devasa bir Avrupa veri koruma projesi olarak başlatılan GDPR, son beş yılda pek çok şeyi doğru yöne taşıdı. Tabii ki, böyle bir yasa, her küçük ama önemli ayrıntıyı hemen kapsayamaz. Ayrıca hızla değişen bilişim alanında beş yıl çok uzun bir süre demek. O zamanlar bazı gelişmeler hiç de endişe verici değildi.
GDPR’yi sürekli değişen bir strateji olarak anlayın
“GDPR, AB’nin veri stratejisinin bir parçası olarak görülmelidir. Veri koruma uzmanı Christof Kolyvas, bunları gelecekteki bir AB veri stratejisine dahil etmek için düzenli ayarlamalar yapılması gerektiğini açıkça belirtiyor. 2018’de GDPR’nin fiili olarak uygulanmasından bu yana, Bochum avukatı şirketlerden artan sayıda soruşturma kaydetti. Önceki uygulama, GDPR’nin Avrupa veri korumasını iyileştirdiğini ve daha tekdüze hale getirdiğini göstermiştir.
Ancak, hala birçok gri alan var. Bazı şirketler, GDPR hükümlerini kendi ihtiyaçlarına göre yorumlamak ve uyarlamak için bundan yararlanır. Anahtar Kelime: “Gizlilik Yıkama”. Terim, iş dünyasında iyi bilinen “yeşil yıkama” ile benzer bir yöne gidiyor.
“Gizlilik yıkama” ile şirketler, GDPR hükümlerine uygun hareket eder. Ancak gri alanlar ve yasal karmaşıklık sayesinde, kişisel verileri başlangıçta kendi ekonomik amaçları için kullanmaya devam ediyorlar. İnsanları korumak ikinci sırada gelir.
AI, GDPR düzenlemeleri gerektirir
Bu bağlamda artık yapay zeka (AI) konusu baskın bir rol oynuyor. Çünkü GDPR, sosyal medyadaki sözde profillemeyi ve algoritmaların gücünü frenlemek için de devreye girdi. Veri koruma uzmanları, burada yetişmek için acil bir ihtiyaç görüyor. Çünkü AI tüm durumu daha da kötüleştirdi. AI, Facebook veya Google’ın yalnızca küçük veri izlerine dayalı olarak insanların belirli “hareket profillerini” oluşturmasını daha da kolaylaştırır.
Bu nedenle, özellikle AI kullanımı söz konusu olduğunda, GDPR’yi keskinleştirmek için artan çağrılar var. Veri profilleri oluşturmaya yönelik önceki yönergeler 2018’den kalmadır ve bu nedenle artık yapay zeka alanındaki güncel gelişmeleri yansıtmamaktadır. Sorun uzun süredir AB’nin başını ağrıtıyor. Bu nedenle, sözde kapsamında Mayıs 2022’den beri Yapay Zeka Yasası, yapay zekanın aşırılıklarını açıkça sınırlama çabaları. Yeni AI kılavuzu, GDPR ile paralel olarak uygulanmalıdır. Belki de bu, veri koruma açısından GDPR’yi “altın standart” olarak belirlemeyi gerçekten başaracaktır.