DECENTRALIZED AUTONOMOUS ORGANIZATION (DAO) NEDİR? 

DAO (Decentralized Autonomous Organization), merkezi olmayan otonom bir organizasyon anlamına gelir. Bir blockchain veya kripto para platformu üzerinde çalışan ve akıllı sözleşmeler yoluyla programlanmış bir şekilde işleyen bir organizasyon modelidir. 

 

Blockchain teknolojisinin gelişimiyle birlikte, merkezi olmayan otonom organizasyonlar (DAO), geleneksel yönetim ve organizasyon yapısına meydan okuyan yeni bir paradigmayı temsil etmektedir. DAO, katılımcıların oylamaları ve akıllı sözleşmeler gibi otomatik işlemler yoluyla kendini yöneten ve yönlendiren bir organizasyon türüdür. Bu makalede, DAO kavramını daha ayrıntılı olarak ele alacak ve nasıl işlediğini anlayacağız. 

 

DAO’nun Temelleri 

DAO kavramı, 2013 yılında Daniel Larimer tarafından ilk kez dile getirilmiştir, ancak daha sonra Ethereum’un yaratıcısı Vitalik Buterin ve diğer geliştiriciler tarafından daha da ileriye taşınmıştır. Merkezi olmayan otonom organizasyonlar, çeşitli katılımcılardan oluşur ve bu katılımcılar, DAO’nun varlık ve işleyişi hakkında söz sahibidir. Geleneksel şirketlerde olduğu gibi, bir CEO veya yönetim kurulu gibi merkezi bir otorite yoktur; bunun yerine DAO, topluluk tarafından alınan oylamalar ve programlanmış akıllı sözleşmeler tarafından yönetilir. 

 

Akıllı Sözleşmeler ve Oylamalar 

DAO’lar, katılımcıların oybirliği veya belli kurallar doğrultusunda kararlar alabildiği, yönetim ve operasyonel süreçleri otomatikleştirilmiş ve şeffaf bir şekilde gerçekleştiren yapıları ifade eder. Merkezi bir otoriteye veya aracı bir kuruma bağlı olmadan çalışırlar ve katılımcıların doğrudan etkileşimde bulunabildiği bir demokratik yapıya sahiptirler. 

 

DAO’lar, genellikle kripto para birimleri ve blok zincir teknolojileri kullanarak finansal işlemleri yönetmek, fon toplamak ve dağıtmak, oylama ve karar süreçlerini gerçekleştirmek gibi işlevleri yerine getirirler. Akıllı sözleşmeler sayesinde programlanmış kurallar ve otomatik işlemler, DAO’nun işleyişini ve katılımcıların haklarını düzenler. 

 

DAO’lar, merkezi yönetim yapılarının dezavantajlarını azaltma ve katılımcıların daha fazla kontrol sahibi olmasını sağlama potansiyeline sahiptir. Ancak, güvenlik, hukuki düzenlemeler ve karar alım süreçlerindeki zorluklar gibi bazı riskler ve zorluklar da beraberinde gelir. DAO’lar, kripto para ve blockchain dünyasında yenilikçi ve deneysel bir organizasyon modeli olarak kabul edilmektedir. 

 

DAO, temel işlevlerini programlanmış akıllı sözleşmeler yoluyla gerçekleştirir. Akıllı sözleşmeler, bilgisayar kodları aracılığıyla belirli koşullar gerçekleştiğinde otomatik olarak çalışan sözleşmelerdir. Katılımcılar, DAO’ya öneriler sunabilir, bu öneriler akıllı sözleşmelere dönüştürülür ve topluluk oylamaları yoluyla kabul veya reddedilir. Bu şekilde, DAO’nun yönetimine ve karar süreçlerine katılım demokratik bir şekilde sağlanmış olur. 

 

Avantajları ve Zorlukları 

DAO, geleneksel merkezi yapılarla karşılaştırıldığında birçok avantaja sahiptir. Özellikle, DAO’ların şeffaflığı ve hesap verilebilirliği artırması, katılımcıların daha büyük güce sahip olmasını sağlar. Ayrıca, merkezi olmayan yapılar sayesinde, yüksek düzeyde güvenlik ve güvenilirlik sağlanır. 

 

Ancak, DAO’ların da bazı zorlukları vardır. Özellikle, akıllı sözleşmelerin yazılım hataları veya kötü niyetli saldırılar gibi teknik risklerle karşı karşıya olmaları nedeniyle güvenlik önemlidir. Ayrıca, karmaşık karar süreçleri ve yavaş oylamalar, bazı durumlarda etkin ve hızlı bir şekilde çalışmayı engelleyebilir. 

 

Kullanım Alanları 

DAO’lar, kripto para ve blok zincir teknolojilerinin yaygın olarak kullanıldığı güncel alanlara şu şekilde örnek verilebilir: 

  • DeFi (Decentralized Finance): DAO’lar, DeFi protokollerinin yönetimini sağlamak için sıklıkla kullanılır. DeFi, merkezi olmayan finansal uygulamaları ifade eder ve kredilendirme, borç verme, likidite sağlama gibi finansal işlemleri gerçekleştirir. DAO’lar, bu protokollerin yönetimine katkıda bulunur, yönetim kararları alır ve protokollerin gelişimine katılır. 
  • Topluluk Yönetimi: DAO’lar, bir projenin veya topluluğun yönetimini merkezi olmayan bir şekilde gerçekleştirmek için kullanılır. Bu, projenin geliştirilmesi, kararlar alınması, kaynakların dağıtılması ve topluluk üyelerinin katılımının yönetilmesini içerir. DAO’lar, projeye katkıda bulunanlar arasında demokratik bir karar süreci sağlayarak topluluk yönetimini güçlendirebilir. 
  • Sanat ve Kültür: Sanat ve kültür alanında, DAO’lar sanat eserlerinin koleksiyonunu yönetmek, sanatçıların desteklenmesini sağlamak ve topluluk üyelerinin katkılarını değerlendirmek için kullanılır. DAO’lar, merkezi otoritelerin belirlediği geleneksel sanat dünyasında daha şeffaf ve katılımcı bir yapı sağlayabilir. 
  • Yatırım Fonları: Bazı DAO’lar, kripto para birimleri veya diğer dijital varlıklar üzerine yatırım fonları yönetmek için kullanılır. DAO üyeleri, belirli yatırım stratejilerini oylayabilir ve fonun performansına göre kararlar alabilirler. 
  • Sosyal Platformlar: DAO’lar, sosyal medya veya içerik platformlarının yönetimini merkezi olmayan bir şekilde gerçekleştirmek için kullanılabilir. Bu, içerik oluşturucuların ve kullanıcıların platformun geleceği üzerinde etkili olmalarını sağlar. 

 

Sonuç 

Decentralized Autonomous Organization (DAO), geleneksel organizasyon yapılarından farklı bir yaklaşım sunan ve blockchain teknolojisiyle desteklenen yeni bir organizasyon türüdür. Katılımcıların oylamaları ve akıllı sözleşmeler sayesinde, DAO’lar merkezi olmayan ve katılımcı odaklı bir şekilde işleyerek daha şeffaf ve demokratik bir yapı sunmaktadır. Gelecekte, DAO’ların daha yaygın olarak benimsenmesiyle, organizasyonların işleyişi ve yönetimi alanında önemli değişiklikler yaşanması beklenmektedir. Ancak, güvenlik ve karar alma süreçlerinin etkinliği gibi bazı zorluklar üzerinde çalışılması gerekmektedir. 

 

AV.DEMET CEYLAN DEMİRCAN 

HUKUKUN TEKNOLOJİYLE İMTİHANI: SAAS SÖZLEŞMELERİ

SaaS “Software as a Service” ya da Türkçe karşılığı Hizmet olarak Yazılım, esasen indirme yahut yükleme işlemlerine tabi olmadan bir web tarayıcısı aracılığıyla kullanımı mümkün kılan, hizmet sağlayıcının veri merkezi üzerinden yönetilen bir yazılım “software” çözümünü ifade eder. SaaS çözümü belirli sektörlerin gözünden -belki de- kaçmakta olsa da günlük yaşamımızda oldukça yoğun bir yer kaplamakta. İş hayatı içinde CRM, mailing, İK çözümleri gibi kullanımlarla karşımıza çıkan SaaS çözümü, aslında günlük bazda en çok da hangi çözümle karşımıza çıkıyor diye sorulduğunda, belki de ilk akılda beliren hizmet olmasa da kendisi Spotify.

Spotify’ın SaaS dünyasındaki yerine ilişkin olarak yayınlanmış olan şu podcastin linkini de dinlemeniz için buraya bırakıyorum:

SaaS ile ilgili yapılabilecek diğer ilk değerlendirme SaaS’ın bir hizmet sağladığı ve dolayısıyla bir hizmet olduğu, bu nedenle de herhangi bir lisanslama işlemi içermediğidir. SaaS ile sağlanan çözümün temel unsurları çoğunlukla sağlayıcı serverlarında muhafaza edilir ve kullanıcı tarafından yukarıda da bahsettiğimiz gibi web tarayıcı aracılığıyla ulaşılan yazılıma erişim, -özellikle kiralama yöntemi ile (subscription based) kullanıma açılan yazılımlar için- kullanım süresinin sona ermesi ile erişim de taraflar arası sözleşme de ya kısıtlı hale gelir ya da engellenir ve sona erer. Bu temel işeyiş biçimi itibariyle -istisnai haller de söz konusu- kullanıcı, sağlayıcının temel altyapısı üzerinde hizmetten yararlanır ve dolayısıyla bu kullanıma bağlı bir lisans varlığından söz edilmez. Kullanım lisansının söz konusu olacağı ve belirli hallerde dağıtımın da sağlayıcının belirlediği çerçeve dışına çıkabileceği haller on-premise servisler için geçerli olacaktır. SaaS kullanımı hususunda yaşanan bu anlam bulanıklığı nedeniyle, hizmete ilişkin sözleşmelerin revize ve müzakere süreci noktasında çözümsüz kalınan ve/veya sağlayıcı ile kullanıcı arasında kullanım esasına ilişkin belirsizliklerin giderilemediği haller yaşanabilmektedir. Bu nedenle SaaS’a ilişkin sözleşme müzakerelerinde dikkat edilmesi gereken birkaç hususu aşağıda paylaşmakta fayda var:

Saas’ın Erişebilirliği

Bahsetmiş olduğumuz üzere SaaS indirilen yahut lokal makinelere yüklenen bir servis değil, yazılım kullanımına dayanan bir hizmettir. Kullanıcılar internet bağlantısı ile sağlayıcı serverları üzerindeki yazılıma ulaşarak hizmete erişmekte olduğundan, yazılımın erişilebilirliği ve performans monitörleme önemli hususların başında yer almaktadır. Zira, sağlanan hizmetin her an erişilebilir olması ve performansının özellikle kullanıcı deneyimine etkisi, yazılımın kalitesini doğrudan etkileyen ve nihayetinde ticari başarısını belirleyen belki de en önemli faktör.

Kullanıcıların çoğunlukla beklentisi bilgisayarlarına yüklemiş oldukları uygulamalarına erişim nasıl mümkünse SaaS uygulamalarına da bu şekliyle erişimin mümkün olması. Aksi durumda kullanıcının ve nihayetine müşteri olan şirketin ticari faaliyetinin olumsuz yönde etkilenebilecek olduğunu -özellikle finans uygulamaları, e-mail kullanımı halinde- söylemek gerçek dışı bir durum olmayacaktır. Tam olarak bu riskin minimize edilebilmesini sağlamak adına da SaaS sözleşmelerine entegre SLA’ler “Service Level Agreement” kullanılmaktadır. Sağlayıcının ticari stratejisi ile altyapı yeterliliğine göre SLA SaaS sözleşmesi içerisinde ve her SaaS kullanımı gerçekleştiren müşteriye sağlanabilir olmakla, uygulamada da sıklıkla görüldüğü biçimiyle kiralama modellerine göre destek hizmetlerinin derecelendirilmesi yöntemi de söz konusu olmaktadır. Ancak her halde, müşteri ister enterprise ister basic (kullanımlar muhtelif olmakla çoğu ayırım bu ve benzeri iz düşümlere sahip) paketi kullanıyor olsun, erişilebilirlik hususunda destek hizmetleri müşterilerin erişimine sunulabilir olmalıdır. SLA içeriğinin oluşturulmasında response time ile resolution time süreleri yine bahsedilen paketlere göre farklılık gösterebilir olsa da özellikle kritik addedilen destek kategorisine dahil kullanıcı/müşteri talepleri her bir paket kullanıcısı için erişilebilir kılınmalıdır. Bir yandan sağlayıcının omuzlarına erişilebilirlik ve SLA sağlanmasına ilişkin ciddi bir yük bindirilse de kullanıcı/müşterinin de belirlenen bakım dönemleriyle, sağlayıcının kontrolü dışında gelişen -internet kesintileri gibi- hallerde de sağlayıcıyı zorlamaması daha sağlıklı bir sonuç verecektir.

Veri Güvenliği ve Veri İhlali

Hizmete bağlı üretilen veriler çoğunlukla yine sağlayıcı serverlarında tutulduğundan, sağlayıcının veri güvenliği yükümlülüklerini sağlamak noktasında önemli bir yükümü bulunmaktadır. Bu noktada sağlayıcının, müşteri/kullanıcının veri koruma prosedürlerine uygun düzenlemeler yapması talep edilebilir ve/veya veri güvenliği, veri kayıplarına ilişkin belirli garantiler sağlaması istenebilir. Ancak her halde veri güvenliğine ilişkin düzenlenmesi ve müzakeresi bakımından en hayati önemi taşıyan başlıklar mücbir sebep, felaket planı ve buna bağlı devamlılık senaryoları ile veri sorumlusu ve veri işleyen görevlerinin somut duruma göre belirlenmesi ve ilişkinin sona ermesi ile veri iadesi hususlarının belirlenmesi olacaktır.

Veri ihlali ile veri güvenliği hususları özellikle KVKK ile GDPR’ın belirlediği yükümlülükler nedeniyle SaaS sağlayıcısı bakımından ciddi bir önem ihtiva etmektedir. Bu nedenle sağlayıcının çalışanların gerekli eğitimleri aldığından emin olması, veri korumasının sağlanabilmesi adına firewall, şifreleme teknikleri gibi güvenlikle ilintili doğru teknolojik yöntemlerin kullanılması (Azure Information Protection, Microsoft AD gibi yöntemler güvenliğin sağlanmasında oldukça yarar sağlamakta), veri kaçağı ya da ihlalinin tespit edilmesine yarayan Azure Active Directory gibi ürünlerin entegre edilmesi yazılımın güvenilirliği bakımından artık zaruri bir hal almıştır. Ufak birkaç örnekle de olsa veri güvenliğinin sağlanmasının önemi, SaaS sağlayıcısının özellikle veri kaybı, veri kaçağı, verilerin 3. kişilere açılması vb. durumların vukuunda sorumlu tutulması ihtimali nedeniyle önemle ele alınması gereken bir husustur.

Bu iki başlığa ek olarak SaaS sözleşmelerinde bulunması gereken ve müzakere edilmesi muhtemel başlıklar şunlar olabilir:

  • Fiyat
  • Genel hizmet hükümleri
  • Sözleşmenin sona ermesi koşulları ve süreler
  • Altyapı gereksinimleri ve sorumluluk
  • SLA’e bağlı krediler ve erişilebilirlik oran garantisi
  • Fikri sınai haklar ve müdahale halinde belirlenmesi muhtemel ceza-i şartlar
  • Sağlayıcının devri, satılması hallerinde hizmet devamlılığı

Bunlara eklenebilecek birden çok başlık olmakla birlikte, tüm sözleşme sürecinde göz önünde bulundurulması gereken nokta şu: SaaS sağlayıcısı ile müzakere gerçekleştirmek mümkün müdür? Bazı durumlarda, örneğin global hizmet sağlayıcılarının herhangi bir hizmetinden faydalanılmak istendiğinde, bu sağlayıcılar ile herhangi bir müzakere gerçekleştirmenin mümkün olmadığı açıktır. Ancak daha küçük ölçekli ve belki de start-up seviyesindeki sağlayıcılar ile müzakere süreçlerinin yürütülmesi ve kullanıcı/müşteri tarafının faydasına olacak başlıkların görüşülmesi ya da en azından belirttiğimiz başlıklar üzerinden endişe ve belirsizliklerin giderilmesi yönünde talepte bulunmak uzun vadeli kullanımın mümkün olmasını sağlayacaktır.

CCTV Kullanımında Yasal Sınır

Şirket genel güvenliğinin sağlanması adına kullanılagelen CCTV sistemleri ile şirket yerleşkelerinin izlenmesi yanında personelin mesai saatleri dahilinde denetim ve izlemeye tabi tutulması yeni bir konu olmamakla, Kişisel Verilerin Korunması Kanunu (“KVKK”) göz önünde bulundurulduğunda, kullanımın denetim ve güvenlik amacının sınırlarının ve izlenenlerin özel yaşamının korunmasına ilişkin sınırların aşılıp aşılmadığı ve/veya veri işlemenin sınırlarının bulanıklaşması durumu ayrı bir soru işareti meydana getirebiliyor. CCTV kullanımı her ne kadar yaygınlaşarak devam eden bir uygulama olsa da belirli kullanımlar ve özellikle gizlenmiş sistemlerin kullanımı bakımından uygulama standartları değişkenlik gösterebiliyor. Bu bağlamda aşağıda da inceleyecek olduğumuz üzere gizlenmiş CCTV ile personelin özel hayatına tecavüze yönelik Avrupa İnsan Hakları Mahkemesi’ nin vermiş olduğu yakın zamanlı bir karar da mevcut. Ne var ki aynı mahkeme son kararından çok da önce olmayan bir tarihte gizlenmiş CCTV kullanımına müsaade eder kararlar da vermiş olduğundan, bu çelişkinin nasıl giderileceği ile ilgili yaşanan belirsizlik nedeniyle işverenlerin sınırlarını belirlemeleri ayrıca bir sorun meydana getirecek gibi görünüyor.

Personelin gözlemlenmesi/takip edilmesi özellikle Avrupa kıtasında kişisel haklara müdahale edildiği biçiminde yorumlanmakla, personelin özel yaşamını mahrem tutmak yönündeki haklı beklentileri yanında iş yaşamında da belli oranda gizlilik sağlanmasını isteme hakkı bulunmakta. Bu anlamda özellikle Avrupa Birliği ülkeleri bakımından da gizlenmiş CCTV kullanımı ile ilgili çok sınırlı haller bu işlemi gerekçelendirebiliyor. Duruma ilişkin olarak İngiltere Veri Kurulu (Information Commissioner’s Office- “ICO”) tarafından düzenlenen kılavuz gizlenmiş CCTV’ nin ancak belirlenen koşulların söz konusu olması halinde kullanılabilecek olduğunu belirtmektedir. Gizlenmiş CCTV kullanımına ilişkin ICO tarafından belirlenmiş koşullar şu şekildedir:

  • İşveren şirket dahilinde cezai müeyyidelere konu eylemlerin gerçekleştirildiği yahut usulsüz eylemlerin vukuu bulduğuna dair yeterli şüpheye sahipse;
  • Bu yönde bir önlem alınacak olduğunun personele bildirilmesi durumunda söz konusu eylemlerin yahut bahsi geçen eylemleri gerçekleştirenlerin tespitinin mümkün olamayabileceği bir durum söz konusu ise;
  • Belirli bir soruşturmanın parçası olarak kullanılması ve soruşturmanın tamamlanması ile gizli/gizlenmiş CCTV kullanımının sonlandırılması halinde, gizli/gizlenmiş CCTV kullanımı mümkün olacaktır.

DPA (25 Mayıs 2918 tarihinden itibaren de General Data Protection Regulation “GDPR“) çerçevesinde işveren gözlemleme eyleminin amacı ve yöntemleri ile ilgili açık olmalı ve seçilen gözlemleme yöntemlerinin hukuka uygun olarak uygulandığından emin olmalı. Bunun yanında ICO tarafından yayınlanmış olan kılavuz ile belirtilmiş olduğu üzere de amaç, yöntem ve muhafaza süreleri gibi unsurlar ile gözlemlemenin doğası ve sınırları da dahil organizasyon dahilinde hazırlanacak olan politikalar ile gözlemleme eylemi kayıt altına alınarak, personelin de gözlemlemenin neden ve sonuçlarından haberdar olması sağlanmalı. İşverenin personeli gözlemlemesi ile ilgili bilgilendirme eylemine yönelik yegâne istisnai durumu ise gizli/gizlenmiş CCTV yöntemlerinin kullanılması halinin hukuka uygun biçimde yine ICO tarafından hazırlanmış olan kılavuzda belirlenmiş sınırlar dahilinde gerçekleştirmesi ile söz konusu olmaktadır.

Bahsedilen gizli/gizlenmiş CCTV yöntemlerinin kullanılmasına ilişkin bir kısım mahkeme kararı şu şekilde:

Lopez Ribalda v Spain

9 Ocak 2018 karar tarihli işbu dosyada özetle beş şikayetçi de bir İspanyol Süpermarket zincirinin aynı şubesinde çalışmakta olup, 2009 yılının başlarında hem işverenden hem de müşterilerden para çalıyor oldukları iddiası nedeniyle şikâyet konusu CCTV kullanımı gerçekleştirilmiştir.

Şikayete konu kullanıma sebebiyet veren durum şu şekilde vukuu bulmuştur: Süpermarkette bir süredir stok ve nakit eksiği yaşanması nedeniyle, şube müdürleri eksiğin kaynağı işlem ve eylemleri tespit etmeye çalışmış ancak kaybolan para ile ürün stoklarındaki azalmaya yönelik olarak kayba müşterilerin mi yoksa personelin mi sebebiyet verdiğine emin olamadıklarından ve kayba sebebiyet veren eylemin tespitini sağlamak maksadıyla, marketin giriş ve çıkış kapılarına görünür biçimde CCTV sistemleri yerleştirmişlerdir. Yerleştirilen görünür durumdaki CCTV sistemleri ile ilgili personele kurulum öncesi bilgilendirme yapılmış olsa da işverenin kasaların kontrolünü sağlamak üzere yerleştirmiş olduğu gizli/gizlenmiş CCTV sistemine yönelik personeli bilgilendirilmemiştir. Şikâyet tarafı personel, işveren tarafından görünür durumdaki CCTV’ ler ile ilgili bilgilendirilmiş olmalarına rağmen stok ve nakit hırsızlığına devam etmiş, durumun tespiti ile ilgili şube müdürleri kendileri ile yüzleştiğinde ise eylemlerini kabul etmişler ve takiben işten çıkarılmışlardır. Hırsızlık yapıldığı gerekçesiyle işten çıkarılan 5 personel de gizli kameraların varlığına dair işverenin kendilerini bilgilendirmediği ve bu nedenle işverenin işbu eyleminin kişisel verilerin işlenmesi öncesinde veri sahiplerine açık, belirsizliğe yer bırakmayacak şekilde ve net olarak bilgi verme hükmü gereğince İspanyol Veri Koruma Kanunu’ na aykırı olduğu, bu nedenle de işten çıkarılmalarının haksız olduğu iddiasıyla İspanya İş Mahkemesi’ ne başvuruda bulunmuşlardır.

Başvuruda bulunanların başvuruları, her ne kadar veri işleme faaliyeti öncesinde veri sahipleri işveren tarafından bilgilendirilmemiş olsa da verilerin geçerli bir şüpheye dayanması, şirkete ait mülkiyetin korunmasına ilişkin maksadının uygun olması ve işleme faaliyetinin şüpheye dayalı olarak gerçekleştirilmesi gerekliliğinin gerekli ve ölçülü olması nedeniyle hukuka uygun biçimde işlendiğinden bahisle yerel mahkeme tarafından reddedilmiştir. Tüm bu süreç nihayetinde Avrupa İnsan Hakları Mahkemesi’ ne taşınmış, buna karşılık mahkeme mesai saatleri de dahil olmak üzere her personelin özel yaşamına saygıya yönelik bir beklenti içinde olması hakkı bulunduğunu kayıt altına almıştır. Bu karar ile birlikte mahkeme; başvuruda bulunanlardan önce CCTV kayıtlarını sendika temsilcisi ve işveren avukatı da dahil birden fazla kişinin görmüş olması, gizli/gizlenmiş CCTV kullanımı ile ilgili personellerin izninin alınmadığı, kullanım ile ilgili personellerin keyfiyetten haberdar edilmedikleri, haftalarca kayıt yapıldığı ve tüm kayıt süresi boyunca şüpheye konu eylemleri gerçekleştirmeyen personellerin de kayıt altına alındığı hususlarını da kayıt altına almıştır.

Sonuç olarak da mahkeme işverenin önlemlerinin ölçülü olmadığı yönünde bir karara varmıştır. Karara göre işverenin, satışa sunulan ürünleri personellerin özel hayatına daha az müdahale edecek biçimlerde koruma altına almış ve kayıt sistemlerinin kullanımı ile ilgili olarak personellerini önceden haberdar etmiş olması gerekli görüldüğünden, işverenin başvuruda bulunanların her birine 4.000,00-Euro ödemesine karar verilmiştir.

Köpke v Germany

Almanya’ da meydana gelen bu husumette de yine bir süpermarkette kasiyer olarak çalışan kişi, gizli/gizlenmiş CCTV kayıtları ile hırsızlık suçu işlerken yakalanmış, İş Mahkemesi nezdinde haksız olarak işten çıkarılmış olduğu iddialarına bir yanıt bulamamış ve madde 8′ in ihlaline dayanmak suretiyle tüm husumeti Avrupa İnsan Hakları Mahkemesi’ ne taşımıştır. Bu husumette ise işverenin gizli/gizlenmiş CCTV kullanımı hususuna yaklaşımı; ne kadar süre ile kullanılması gerektiği, satışa sunulan ürünlerin korunması gerekliliği ve kamu yararının korunması gibi hususların da göz önünde bulundurulması biçiminde olduğundan, hırsızlık şüphesi altında yalnızca bir personel bulunduğu ve gizli/gizlenmiş CCTV kullanımı yalnızca bu personele yöneltilmiş olduğundan, mahkeme gizli/gizlenmiş CCTV kaydı ile önüne geçilmek istenen hukuka aykırılık yanında işverenin personelin özel hayatına müdahalesinin kısıtlı olarak gerçekleşmiş olduğu kararına varmıştır.

GDPR ile birlikte veri işleyenlerin kişilerin özel yaşamlarına müdahale edebilecek herhangi bir süreci yürürlüğe sokması öncesinde veri koruma değerlendirme raporları zorunlu hale gelecek. Bu hususta KVKK nezdinde açık bir hüküm ve/veya bir zorunluluk öngörülmemiş olsa da birçok veri işleyen bakımından GDPR’ a uyum yükümü yanında, KVKK’ ya uyumluluk sürecinin takibi ile sürecin güncelliği ve hukuka uygunluğunun sağlanması bakımından bu yönde raporların, takiben veri işleyen şirket/organizasyon içi politika ve prosedürlerin oluşturulması sağlıklı olacaktır. 10.03.2018 tarihinde yayınlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’ i ile belirlenmiş esaslar göz önünde bulundurulduğunda da gizli/gizlenmiş kayıt yöntemleri yanında, CCTV kullanımı bakımından da yalnızca bildirim notlarının yeterli olmayacağı ve Kurul tarafından çıkarılacak kılavuzların hazırlanmasının beklenmesi esnasında, ICO tarafından düzenlenmiş ve dönem dönem de güncellenen kılavuzu takip ederek veri işleyen şirket/organizasyon dahili bir politika üretmek personelin Anayasal haklarının korunmasının garantisi olarak her iki tarafı da rahatlatan yahut her iki tarafın da veri işleme faaliyetine yönelik farkındalık hak ve sınırlardan haberdar olabileceği bir hamle olarak düşünülebilir. Bu bağlamda veri işleyen şirket/organizasyonlarda (gizli/gizlenmiş ya da değil farketmeksizin) CCTV kullanımı ile ilgili şu soruların yanıtlanması gerekliliği baş gösterecek:

  • Kısıtlı veya süre sınırı bulunan bir yöntem söz konusu olabilecek mi?
  • Personel mevcut prosedür ve politikalar ve hatta kişisel verilerin korunması hakkında gerçekleştirilecek periyodik eğitimler ile harici durumlarda gizli/gizlenmiş CCTV kayıt yöntemleri kullanılabilecek olduğundan haberdar mı?

Yukarıda bahsedilen ve GDPR ile zorunlu hale getirilen değerlendirme raporları ile ilgili olarak şu an için herhangi bir kılavuz vb. yöntem belirler doküman hazırlanmamış olsa da ilgili maddeler ile kanun gerekçesinden aşağıdaki gibi bir çerçeve çıkarılmakta:

  • Planlanan işleme prosedürünün bir tanımlaması ve işlemenin amacı,
  • Veri işleme faaliyetinin gerekliliği ve ölçülülüğünün değerlendirmesi,
  • İşleme faaliyetinin konusu ilgili kişiye yönelen risklerin bir değerlendirmesi,
  • Risklerin belirlendiği ve mevzuata uyumluluğa ilişkin alınması beklenen önlemlerin ölçütlerine ilişkin bir değerlendirme.

Özet olarak bahsedilmeye çalışılan işbu mahkeme kararları ışığı altında işveren gizli/gizlenmiş CCTV ile kayıt almanın hukuka aykırı yahut usulsüz eylemlerin gerçekleştiğine dair yeterli şüpheye sahipse, olağanüstü durumlarda gizli/gizlenmiş kayıt yöntemlerinin uygulanabileceği ile ilgili olarak personel/ler daha önce bilgilendirilmiş ise gizli/gizlenmiş kayıt yöntemlerinin kullanımı söz konusu olabileceği söylenebilir. Mesai saatleri de dahil olmak üzere bu yöntemin kullanılması personelin özel yaşamına kayda değer bir müdahaleyi içerdiğinden işverenin bu yöntemlerle kayıt almasının gerekliliği ile bu yöntemin önüne geçmeye çalıştığı/amaçladığı hususu sağlayıp sağlamadığı noktasında yazılı bir değerlendirme raporu hazırlaması/hazırlatması hayati bir değer taşıyacaktır. İşverenin bu değerlendirme raporunu hazırlarken/hazırlatırken, bu yöntemlerin personele bildirilmesi durumunda söz konusu eylemlerin yahut bahsi geçen eylemleri gerçekleştirenlerin tespitinin mümkün olup olmayacağını da göz önünde bulundurması gerekmektedir.

CCTV kullanımına ilişkin KVKK ile GDPR’ a uyumluluk sağlanması üzere personelin bilgilendirilmesine ilişkin https://www.peakup.org/#what-we-are-doing linkini ziyaret edebilirsiniz.

GENERAL DATA PROTECTION REGULATION NEDİR, NELER GETİRMEKTEDİR?

General Data Protection Regulation (GDPR) bir süredir fazlasıyla kullanılan bir kalıp ve birçok kişi de konu üzerinde fikir beyanında bulunmakta. Tam olarak bu nedenle de GDPR’ ın ne olduğu ya da belki de ne olmadığıyla ilgili ciddi bir bilgi kirliliği mevcut. Bu nedenle de mümkün mertebe konu ile ilgili soru işaretlerine cevap vermeye çalışacağımız bir seri derlemenin sağlıklı olacağı kanaati ile seriye ilk olarak temel bilgilendirme notlarıyla başlamayı uygun gördük.

Yıllar süren tartışma, görüşme, düzenleme ve fikir teatisi sonunda Avrupa Parlamentosu nihayet 14 Nisan 2016 tarihinde gerçekleştirdiği oylama ile GDPR’ ı kabul etti. Parlamentonun onayını takiben GDPR çevirileri gerçekleştirilerek onay takibinden itibaren takribi bir aylık bir süre sonunda Resmî Gazete’ de (Official Journal) yayınlandı ve böylece resmi olarak kabul edilmiş oldu. Konu ile ilgili olanların bildiği ve hatta konu ile ilgili malumat sahibi olunan yegâne husus ise yürürlüğe girme tarihinden itibaren iki yıl içerisinde Avrupa Birliği ülkelerindeki GDPR’ a uymakla mükellef olanların, uyumluluk sürecini tamamlamış olmaları gerektiği. GDPR ile ilgili Resmî Gazete ilanında Parlamento, yeni veri korumasına ilişkin düzenlemesine yönelik gerekçelerini de paylaşmış ve gerçek kişilerin, kişisel verilerinin işlenmesi ile bağlantılı olarak korunması gerekliliğini temel bir hak olarak nitelendirmiş; düzenlemenin maksadının ekonomik birliğin özgürlükler ile güvenlik ve adalet alanlarında başarının, ekonomik ve sosyal gelişimin ve iç marketler bakımından ekonomilerin yaklaşımının ve bunun yanında gerçek kişilerin refahının sağlanmasına katkıda bulunması olduğunu belirtmiştir. 1

Resmî gazetede yayınlanmasını takip eden 20 günün sonunda yürürlüğe giren GDPR her ne kadar sıkça tartışılan ve belki de bir anlamda yepyeni bir düzenlemeymişçesine veri işleyen/işlemek yükümü ve/veya zorunluluğu bulunanları tedirgin etse de Avrupa Birliği’ nin konu üzerindeki ilk düzenlemesi esasen oldukça geriye dayanıyor. İlk olarak; 1950 tarihli Avrupa İnsan Hakları Sözleşmesi’ nin “Özel ve Aile Hayatına Saygı” kenar başlıklı 8. maddesinde “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı………….için gerekli bir tedbir olması durumunda söz konusu olabilir.” hükmü yer almaktadır.

1981 yılında yürürlük kazanmış olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 sayılı Konvansiyon (Convention 108 for the Protection of Individuals with Regard to Automatic Processing of Personal Data) veri koruması hususunda bağlayıcılık öngören ilk düzenleme olarak düşünülmektedir. Söz konusu Konvansiyon, hem Avrupa Birliği üyesi ülkeler bakımından hem de üye olmayan ülkeler bakımından katılıma açık olması esası ile gündeme gelmiş, Türkiye de verilerin korunması açısından Avrupa Birliği uyumluluk çalışmaları çerçevesinde 108 sayılı Konvansiyona yönelik çalışmalar gerçekleştirmiş ve son olarak 30.01.2016 tarihinde kabul edilen 6669 sayılı Kişisel Verilerin Otomatik Olarak İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile 108 sayılı Konvansiyonu onaylamıştır. 2

108 sayılı Konvansiyonu takiben Avrupa Birliği nezdinde tam teşekküllü ilk düzenleme olarak yorumlanan ve 1995 yılında yürürlük kazanmış olan Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunmasına İlişkin 95/46/EC Direktifi (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)3 temelde Avrupa Birliği vatandaşlarının mahremiyetinin ve toplanan kişisel verilerinin korunmasına ilişkin bir düzenlemedir. Direktifin amacı birinci maddesinde yer aldığı biçimiyle “kişisel verilerin işlenmesi bakımından, bireylerin temel hak ve özgürlüklerinin korunması ve üye devletlerce verilen serbest dolaşımını engelleyecek düzenlemeler yapılmasının önüne geçilmesi” olarak belirlenmiştir.

95/46/EC yürürlük tarihi itibariyle tüm Avrupa Birliği üyesi ülkeler için geçerli olmakla beraber, her bir üye ülke bakımından kendi iç düzenlemelerini yapmalarına müsaade eden, belli ölçüde çerçeve bir düzenleme olarak düşünebilecek bir direktif iken GDPR; tüm 28 Avrupa Birliği ülkesi için aynı. Bu da demek oluyor ki; GDPR’ a uyum yükümü olan şirketler bakımın Avrupa Birliği içerisinde uymaları gereken tek bir standart söz konusu. Her ne kadar GDPR bakımından tek bir standart belirlenmiş olması ve bir üst uygulama standardı ile ülkeler bazında düzenlenmiş ayrıca bir uygulamaya uyumluluk yükümüne oranla daha pratik bir düzenleme olarak düşünülse de GDPR ile belirlenen standartlar oldukça yüksek ve birçok şirket bakımından uyumluluğun sağlanması ciddi bir yatırım anlamına geliyor.

Yukarıda bahsetmiş olduğumuz gibi GDPR’ a uyumluluk süresi olarak yürürlük tarihinden itibaren iki yıllık bir süre öngörülmüş durumda ve bu süre 25 Mayıs 2018 tarihi itibariyle sona erecek. Belirlenmiş olan işbu tarihe kadar ise Avrupa Birliği içinde, Avrupa Birliği vatandaşlarının verilerine erişim bakımından veri sorumlusu “controller” ve veri işleyen “processor” her bir şirket bakımından GDPR’ a uyum yükümünün yerine getirilmesi söz konusu. Bu iki terimin GDPR içerisindeki tanımı, 95/46/EC ile 95/46 direktifi göz önünde bulundurularak düzenlenmiş bulunan Kişisel Verilerin Korunması Kanunu “KVKK” tanımları ile temel noktalarda benzerlik göstermekle, veri işleyen bakımından herhangi bir veri kaybı durumunda kayda değer biçimde daha fazla hukuki sorumluluk yüklüyor olması gibi spesifik birtakım yükümlülükler öngörmüş bulunmakta. Veri sorumluları ise, veri işleyenin dahil olduğu durumlarda özellikle sözleşmelerinin GDPR uyumluluğunu sağlamak zorunda. Tüm bunların yanında uyumluluk yükümün doğması bakımından spesifik kriterler ise şöyle:

  • Bir Avrupa Birliği ülkesi içerisinde var olma,
  • Avrupa Birliği içerisinde bulunulmasa da Avrupa’ da yaşayan (European Resident) kişilerin kişisel verilerini işleme,
  • 250′ den fazla çalışanı olma,
  • 250′ den az çalışanı olmakla birlikte veri sahiplerinin hak ve özgürlüklerine etki eden veri işleme süreçlerinin bulunması ya da belli özel nitelikteki kişisel verileri içerme.

Kriterler temelde hemen tüm şirketleri kapsıyor olmakla, Pwc’ nin4 gerçekleştirdiği araştırmada Amerikan menşeili şirketlerin %92′ sinin GDPR’ ı verilerin korunması bakımından en öncelikli prosedür biçiminde yorumladığı tespiti yapılmıştır. Ovum raporuna5 göre; Amerika’ daki şirketlerin 2/3′ ü GDPR ile birlikte Avrupa’ daki stratejilerini değiştirmelerini gerekli kılacak. Yaklaşık %85′ lik bir kısmı ise GDPR’ ın Amerikan menşeili şirketleri Avrupalı rakipleri karşısında avantajsız bir konuma soktuğu görüşünde.

GDPR’ ın koruma alanı 95/46/EC direktifi ile 1998 tarihinde İngiltere’ de yürürlüğe girmiş olan Veri Koruması Kanunu’ nda (Data Protection Act “DPA”) olduğu gibi kişisel veri olmakla, GDPR’ ın tanımı çok daha detaylı ve IP adresi gibi online belirteçlerin de kişisel veri olarak kabul edilebilir olduğu hususunu açıkça dile getirmekte. Bu haliyle GDPR’ daki daha geniş kapsamlı tanım, sektörler arası veri işleme biçimleri göz önünde bulundurularak ve teknolojinin değişkenliği de hesaba katılarak kaleme alınmış gibi görünmekte. Regülasyon ile belirlenmiş olan spesifik kriterler çerçevesinde otomatik olarak işlenen veriler ile manuel olarak dosyalama sistemleri aracılığıyla işlenen kişisel veriler GDPR’ ın koruması altına girmekte. Bu düzenleme 95/46/EC ile DPA tarafından bakıldığında GDPR ile daha geniş bir kapsam anlamına geliyor.

KVKK ile birlikte özel nitelikli veri olarak tanımladığımız direktif ile ilgili düzenlemeler bakımından ise hassas kişisel veri (sensitive personal data) olarak betimlenmiş olan veri biçimi GDPR madde 96 ile kişisel verilerin özel kategorileri (special categories of personal data) olarak tanımlanmakta olup, tanım görece mülga düzenleme ile örtüşmekle beraber özel kategori olarak belirlenmiş bu veriler bakımından herhangi bir kişiyi özellikli olarak tanımlamaya yarayacak genetik ve biometrik veriler özellikle yer almakta.

GDPR ile detaylandırılmış bir diğer husus ise verilerin hukuka uygun işlenmesi. GDPR çatısı altında veri işlemenin hukuka uygun olabilmesi için uyumluluk yükümü olanların, kişisel veri işleme faaliyetlerine başlamadan önce çoğunlukla “işleme koşulları” olarak tanımlanan hukuka uygun bir temel belirlemeleri ve bu hukuka uygunluk temelini dokümante etmeleri gerekmekte. Hukuka uygunluk temeli oluşturma bakımından ise GDPR ile birlikte gelen değişikliklerden biri de verileri işlenen kişilerin haklarının belirlenen temele göre değişiklik gösterebilecek olması. Örneğin, bir uyum yükümü altındaki bir şirketin veri toplama temeli veri işlenen kişi/lerin rızasına dayanmakta ise, başka bir deyişle kişilerin rızası hukuka uygunluk temeli olarak belirlenmişse; bu noktada verisi işlenen kişinin veri işleyene karşı kullanabileceği daha güçlü haklara sahip olacağı; söz gelimi verilerinin silinmesini talep edebileceğini söylemek mümkün.

GDPR ile uyum yükümü altındakilerin belirlemesi ve dokümante etmesi gerekli görülen hukuka uygun işleme koşulları GDPR madde 67 ile düzenlenmiş bulunmakta. Bu koşullar ise özet olarak şu şekilde belirlenmiş bulunmakta:

  • 6(1)(a) Veri sahibinin rızası
  • 6(1)(b) Veri sahibi ile imza edilmiş bir sözleşmenin uygulanabilmesi veya sözleşmenin yürürlüğe girebilmesi bakımından veri işlemenin gerekli olması
  • 6(1)(c) Hukuki bir yükümlülüğe uyumluluk bakımından işlemenin gerekli olması
  • 6(1)(d) Veri işlemenin veri sahibinin yahut bir başka kişinin yaşamsal faaliyetleri bakımından gerekli olması
  • 6(1)(e) Kamu yararının sağlanması üzere gerçekleştirilen işlemler yahut veri sorumlusuna verilmiş kanuni bir yetkinin yerine getirilebilmesi bakımından veri işlemenin gerekli olması
  • 6(1)(f)8 Veri sorumlusunun haklarını, özgürlüğünü kısıtlamamak kaydıyla; veri sorumlusu yahut üçüncü kişi tarafından hukuki bir yararın sağlanması bakımından veri işlemenin gerekli olması

Veri işleme ile ilgili hukuka uygunluk temelinin belirlenmesi ve dokümante edilmesi yanında GDPR’ ın temellendirdiği ve 95/46/EC ile DPA göz önünde bulundurulduğunda detaylandırdığı konu başlıklarından biri de veri sahibinin rızası. Buna göre; GDPR’ a dayalı olarak verilen rıza veri sahibinin özgür iradesiyle, spesifik, bilgilendirilmiş ve kişinin isteklerinin belirsiz olmadığı bir biçime sahip olacaktır. Rızanın varlığından bahsedebilmek için onaylayıcı bir aksiyon yahut bir başka deyişle olumlu bir onay söz konusu; rızanın veri sahibinin sessiz kalması, hali hazırda tiklenmiş kutucuklar yahut veri sahibinin hareketsiz kalması onay olarak varsayılmayacağı belirlenmiştir. Ayrıca rıza uyumluluğa dair diğer hüküm ve koşullardan ayrı yer almalı ve veri sahibinin rızasını geri çekebilmesi için kullanıcı odaklı, basit yöntemler sunulmalıdır. Rızanın veri sahibinin özgür iradesi ile sağlanmış olduğuna ilişkin kamu makamları ile personellerin özel bir yükümlülüğü bulunmaktadır.

GDPR ile düzenlenen başka bir husus ise çocukların kişisel verileri. GDPR çatısı altında bu yönde bir düzenlemeye gidiliyor olmasının temel nedeni ise çocuklara ait kişisel verilerin korumasının artırılması. GDPR ile çocuklara yönelik verilerin işlenmesi ve çocuğun veri işlemesine ilişkin rızasının direkt çocuk nezdinde konu edilebilmesi bakımından öngörülen yaş alt sınırı 16 olarak belirlenmiş. 16 yaşın altındaki çocukların verilerinin işlenebilmesi bakımından başvurulacak merci ise kesin olarak çocuğun ebeveyn yükümlülüklerini üstlenenlere “holder of parental responsibility” özgülenmiş bulunmakta. Çocukların verisinin düzenlenmesinde yaş sınırının altında kalanlar bakımından başvurulacak mercii olarak yalnızca çocukların ebeveynleri değil aynı zamanda hukuki koruma sağlayanlar da düşünülmüş olduğundan, bu maddenin mevcut düzenlemeler göz önünde bulundurulduğunda çok daha geniş bir merci düzenlemesi sağlamış olduğunu söylemek mümkün. Çocukların verilerinin işlenmesine ilişkin düzenlenmiş işbu madde9 çerçeve bir düzenleme olarak düşünülmüş ve üye devletlerin kendi düzenlemelerine müsaade edilmiş. Ancak GDPR ile bu düzenleyici madde ile yine de bir alt sınır belirlenmiş ve verileri işlenecek çocuklar bakımından en az 13 yaş kuralı öngörülmüş bulunmakta. Bir başka deyişle verileri işlenecek çocuklar bakımından çocuğun rızasının alınabileceği yaş, üye devletlerin düzenlemeleri çerçevesinde en az 13 olabilecek. Bu sınırın altındaki çocuklar bakımından yine ebeveyn rıza beyanında bulunabilecektir. Uyum yükümlüsü olanlar bakımından yaş koşulu yanında bir de gizlilik bildiriminin çocukların anlayabilecekleri bir dille yazılması gerekliliği söz konusu. Yaş sınırı ile ilgili aktarılabilecek son bilgi ise ebeveyn/koruyucu rızasının aranmadığı durumlar ile ilgili. Bu haller ise GDPR kapsamında direkt olarak çocuğa yönelen önleyici yahut danışmanlık servisleri.

GDPR düzenlemeleri içerisindeki belki de en kayda değer yenilik -Avrupa Birliği üyesi ülkelerin her biri bakımından uygulanması gerekliliği göz önünde bulundurulduğunda- hesap verilebilirlik hükmüdür. Bu maddeye yakınsanabilecek yegâne düzenleme İngiltere’ nin konuya ilişkin düzenlemesi olan DPA ve buna bağlı kurulmuş ve çeşitli düzenlemeler getirmiş olan bilgi komisyonu ofisi (Information Commissioner’s Office) “ICO” olarak düşünülebilir olsa da GDPR, uyum yükümü altında olanların kanun hükümlerine uyumluluğun nasıl sağlandığının gösterilebilir olmasını örneğin; işleme faaliyetlerine ilişkin uyum yükümü altında olanların aldıkları kararların dokümante edilmesini öngörmekte.

Hesap verilebilirlik ile ilgili hüküm GDPR madde 5(2) ile düzenlenmiş olup, uyum yükümü altında olanların kanun hükümlerine uyumunu ve bu uyum yükümü sorumluluğun sarih biçimde yüküm altında olanlara ait olduğunu ifade etmektedir. Bu madde bakımından yüküm altında olanların uygun ölçüde teknik ve organizasyonel önlemler alarak uyumluluğun sağlanması ile ilgili tabir-i caizse bir garantör element oluşturmaları gerekliliği söz konusu. Gereklilik söz konusu olduğunda bir veri koruma yetkilisi atanması, dizayn olarak ve kendiliğinden veri koruması olarak ifade edilebilecek GDPR hükümlerine uyum için gerekli önlemlerin alınması, kişilerin veri işleme süreçlerini monitör edebilmelerinin sağlanması gibi koşullar ile de hesap verilebilirlik hükmü bakımından temel gerekliliklerin sağlanabilmesi öngörülmekte.

GDPR’ ın getirdiği yeniliklerden ve belki anahtar hükümlerden -üstünkörü de olsa- bahsetmişken, uyumu yükümü altında olanların en büyük çekincelerinden olan uyum yükümünün sağlanamaması/yerine getirilememesi halinde söz konusu olabilecek “ceza” tutarlarından da bahsetmek gerekecek. Belirlenen süre (25 Mayıs 2018) sonunda uyum yükümü altında olan şirketlerin uyumluluk hükümlerine uygun faaliyetleri gerçekleştirmemiş olması halinde, GDPR 20.000.000,00- Euro’ ya kadar ya da global yıllık cirosunun %4′ üne kadar cezayı -hangisi daha yüksekse onun uygulanması üzere- öngörüyor. Ovum raporuna10 göre uyum yükümü altında olan şirketlerin %52′ si uyumluluğu sağlayamadığından, bahsi geçen cezaların aleyhlerinde uygulanacak olduğunu düşünüyor. Söz konusu cezalara yönelik olarak öngörüler ise Avrupa Birliği’ nin ilk yıl sonunda 6.000.000.000,00- Euro’ ya kadar ceza uygulayacak olduğu. Bu konu ile ilgili olarak ICO ise şunu söylüyor; “GDPR cezalar ilgili değil, tüketici ve vatandaşları ilk sıraya koymakla ilgili. Cezai şart üst sınırının yükseldiği ve bu durumun şirketleri korkuttuğu doğru olsa da ICO; şirketlere kanuna uyumlulukla ilgili olarak yol gösterici olmaya, tavsiye ve eğitim veren misyonuna GDPR altında da devam edecektir. Geçtiğimiz dönem içerisinde (2016-2017) 17.300 talebi karara bağladık ve ilintili şirketlerden yalnızca 16 adedi cezaya hükmedildi.”11 Bu konu ile ilgili olarak Avrupa Birliği ülkeleri nazarında bir değerlendirme yapıldığında da ICO’ nun GDPR dönemine kadar benimsemiş olduğu yukarıda bahsedilen ilkeden sapmadıkları görülmekte. Dolayısıyla uyum yükümü altında olanların endişelenmesi her ne kadar haklı görülebilir olsa da minör ihlaller ile bunlara bağlı cezai yükümlerin uygulanmasının hiçbir zaman bir norm haline gelmediği ve GDPR sonrasında da bu politikadan sapılmayacağını söylemek yanlış bir değerlendirme olmayacaktır.

ICO’ dan bahsetmişken, İngiltere’ nin Brexit sonrası veri koruması ile ilgili tam olarak ne yönde ilerleyeceği belirsizliği de ortadan kaldırılmış gibi görünüyor. İngiltere’ nin Avrupa Birliği’ nden ayrılmasını takiben, diğer Avrupa Birliği üyesi olmayıp da Avrupa Birliği vatandaşlarının verilerini işleyenler gibi değerlendirilecek olduğuna şüphe yok. Hali hazırda bu konuda -GDPR- ICO gerekli çalışmaları başlatmış olup, uyum yükümü altında olanlara GDPR’ a uyumluluk ile ilgili birifinglerde bulunmaya başlamış olduğundan, Brexit’ in yürürlük tarihine kadar İngiltere menşeili şirketlerin GDPR uyumluluklarını yerine getirmek çabasında olacaklarını söylemek yanlış olmaz.12

Bir yandan GDPR’ ın öngördüğü cezalar uyum yükümü altında olanları ürkütmekte iken, diğer yandan 25 Mayıs 2018 tarihine kadar gerçekleştirilecek uyumluluk çalışmaları da ciddi bir bütçeyi öngörmekte. PwC’ nin gerçekleştirmiş olduğu bir araştırmaya göre, Amerikan menşeili şirketlerin %68′ i GDPR gerekliliklerini sağlayabilmek adına 1.000.000,00 ila 10.000.000,00-$ arasında bir harcama gerçekleştirmeleri gerektiğini öngörürken, %9′ luk bir kısım da 10.000.000,00- $’ ı aşacak oranda bir harcama gerekeceğini öngörmekte.

Temel olarak GDPR düzenlemeleri ele alındığında global bağlamda ve veri işleyenler özelinde ciddi değişiklikler yaşanacağının ve bu değişikliklerle birlikte, veri işleme faaliyetlerinde hali hazırda Anayasal bir hak olarak görülen kişilerin özel hayatının gizliliği hususlarının çok daha sık duyulacak olduğuna şüphe yok. GDPR uyum yükümü altında olanlar bakımından hem pahalı hem de cezai şart bakımından ürkütücü görünse de veri işleme bakımından devrim niteliğinde bir düzenleme olduğunu düşünen bir çevre de mevcut. GDPR’ ın şirketlerin veri stratejileri, big data ve veri temelinde ilerleyen inovasyonlar bakımından ve bu başlıkların önümüzdeki dönemlerde çok daha fazla zikredilecek olmasına dayalı olarak düzenlenmiş olduğunu ve önleyici hukuk düzleminde bir düzenleme olarak düşünülmüş olduğunu söylemek yanlış olmayacaktır.

Yukarıda özet olarak belirtilmiş olan veri korumasına ilişkin regülasyon ve düzenlemeler çerçevesinde GDPR’ ın temel çerçevesine ve veri işlemesi hususları bakımından yenilik olarak nitelendirilebilecek hükümlerine yönelik bir inceleme gerçekleştirmiş olsak da GDPR hükümlerinin her birine ve buna bağlı uygulamalar ile ilgili olarak devam ettirecek olduğumuz seri ile bu yazıda ele alınmayan konular, bahsedilmiş olsa dahi detaylandırılmamış olan düzenlemelere dayalı bilgilendirmeler devam eden yazılarda paylaşılacaktır.

[1] Official Journal of the European Union, L119/1, 04.05.2016

[2]http://www.resmigazete.gov.tr/main.aspxhome=http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm&main=http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm

[3] http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A31995L0046

[4] http://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf

[5] https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape

[6] https://gdpr-info.eu/art-9-gdpr/

[7] https://gdpr-info.eu/art-6-gdpr/

[8] Bu madde ile belirlenmiş olan koşullardan (f) fıkrası, kamu kuruluşlarının görevleri esnasında işleyecekleri veriler bakımından geçerlilik arz etmemektedir.

[9] https://gdpr-info.eu/art-8-gdpr/

[10] https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape

[11] https://iconewsblog.org.uk/2017/08/09/gdpr-sorting-the-fact-from-the-fiction/

[12] http://www.cio.co.uk/opinion/legal-briefing/brexit-law-what-cios-need-know-about-eu-gdpr-it-contracts-3642872/