General Data Protection Regulation (GDPR) bir süredir fazlasıyla kullanılan bir kalıp ve birçok kişi de konu üzerinde fikir beyanında bulunmakta. Tam olarak bu nedenle de GDPR’ ın ne olduğu ya da belki de ne olmadığıyla ilgili ciddi bir bilgi kirliliği mevcut. Bu nedenle de mümkün mertebe konu ile ilgili soru işaretlerine cevap vermeye çalışacağımız bir seri derlemenin sağlıklı olacağı kanaati ile seriye ilk olarak temel bilgilendirme notlarıyla başlamayı uygun gördük.
Yıllar süren tartışma, görüşme, düzenleme ve fikir teatisi sonunda Avrupa Parlamentosu nihayet 14 Nisan 2016 tarihinde gerçekleştirdiği oylama ile GDPR’ ı kabul etti. Parlamentonun onayını takiben GDPR çevirileri gerçekleştirilerek onay takibinden itibaren takribi bir aylık bir süre sonunda Resmî Gazete’ de (Official Journal) yayınlandı ve böylece resmi olarak kabul edilmiş oldu. Konu ile ilgili olanların bildiği ve hatta konu ile ilgili malumat sahibi olunan yegâne husus ise yürürlüğe girme tarihinden itibaren iki yıl içerisinde Avrupa Birliği ülkelerindeki GDPR’ a uymakla mükellef olanların, uyumluluk sürecini tamamlamış olmaları gerektiği. GDPR ile ilgili Resmî Gazete ilanında Parlamento, yeni veri korumasına ilişkin düzenlemesine yönelik gerekçelerini de paylaşmış ve gerçek kişilerin, kişisel verilerinin işlenmesi ile bağlantılı olarak korunması gerekliliğini temel bir hak olarak nitelendirmiş; düzenlemenin maksadının ekonomik birliğin özgürlükler ile güvenlik ve adalet alanlarında başarının, ekonomik ve sosyal gelişimin ve iç marketler bakımından ekonomilerin yaklaşımının ve bunun yanında gerçek kişilerin refahının sağlanmasına katkıda bulunması olduğunu belirtmiştir. 1
Resmî gazetede yayınlanmasını takip eden 20 günün sonunda yürürlüğe giren GDPR her ne kadar sıkça tartışılan ve belki de bir anlamda yepyeni bir düzenlemeymişçesine veri işleyen/işlemek yükümü ve/veya zorunluluğu bulunanları tedirgin etse de Avrupa Birliği’ nin konu üzerindeki ilk düzenlemesi esasen oldukça geriye dayanıyor. İlk olarak; 1950 tarihli Avrupa İnsan Hakları Sözleşmesi’ nin “Özel ve Aile Hayatına Saygı” kenar başlıklı 8. maddesinde “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı………….için gerekli bir tedbir olması durumunda söz konusu olabilir.” hükmü yer almaktadır.
1981 yılında yürürlük kazanmış olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 sayılı Konvansiyon (Convention 108 for the Protection of Individuals with Regard to Automatic Processing of Personal Data) veri koruması hususunda bağlayıcılık öngören ilk düzenleme olarak düşünülmektedir. Söz konusu Konvansiyon, hem Avrupa Birliği üyesi ülkeler bakımından hem de üye olmayan ülkeler bakımından katılıma açık olması esası ile gündeme gelmiş, Türkiye de verilerin korunması açısından Avrupa Birliği uyumluluk çalışmaları çerçevesinde 108 sayılı Konvansiyona yönelik çalışmalar gerçekleştirmiş ve son olarak 30.01.2016 tarihinde kabul edilen 6669 sayılı Kişisel Verilerin Otomatik Olarak İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile 108 sayılı Konvansiyonu onaylamıştır. 2
108 sayılı Konvansiyonu takiben Avrupa Birliği nezdinde tam teşekküllü ilk düzenleme olarak yorumlanan ve 1995 yılında yürürlük kazanmış olan Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunmasına İlişkin 95/46/EC Direktifi (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)3 temelde Avrupa Birliği vatandaşlarının mahremiyetinin ve toplanan kişisel verilerinin korunmasına ilişkin bir düzenlemedir. Direktifin amacı birinci maddesinde yer aldığı biçimiyle “kişisel verilerin işlenmesi bakımından, bireylerin temel hak ve özgürlüklerinin korunması ve üye devletlerce verilen serbest dolaşımını engelleyecek düzenlemeler yapılmasının önüne geçilmesi” olarak belirlenmiştir.
95/46/EC yürürlük tarihi itibariyle tüm Avrupa Birliği üyesi ülkeler için geçerli olmakla beraber, her bir üye ülke bakımından kendi iç düzenlemelerini yapmalarına müsaade eden, belli ölçüde çerçeve bir düzenleme olarak düşünebilecek bir direktif iken GDPR; tüm 28 Avrupa Birliği ülkesi için aynı. Bu da demek oluyor ki; GDPR’ a uyum yükümü olan şirketler bakımın Avrupa Birliği içerisinde uymaları gereken tek bir standart söz konusu. Her ne kadar GDPR bakımından tek bir standart belirlenmiş olması ve bir üst uygulama standardı ile ülkeler bazında düzenlenmiş ayrıca bir uygulamaya uyumluluk yükümüne oranla daha pratik bir düzenleme olarak düşünülse de GDPR ile belirlenen standartlar oldukça yüksek ve birçok şirket bakımından uyumluluğun sağlanması ciddi bir yatırım anlamına geliyor.
Yukarıda bahsetmiş olduğumuz gibi GDPR’ a uyumluluk süresi olarak yürürlük tarihinden itibaren iki yıllık bir süre öngörülmüş durumda ve bu süre 25 Mayıs 2018 tarihi itibariyle sona erecek. Belirlenmiş olan işbu tarihe kadar ise Avrupa Birliği içinde, Avrupa Birliği vatandaşlarının verilerine erişim bakımından veri sorumlusu “controller” ve veri işleyen “processor” her bir şirket bakımından GDPR’ a uyum yükümünün yerine getirilmesi söz konusu. Bu iki terimin GDPR içerisindeki tanımı, 95/46/EC ile 95/46 direktifi göz önünde bulundurularak düzenlenmiş bulunan Kişisel Verilerin Korunması Kanunu “KVKK” tanımları ile temel noktalarda benzerlik göstermekle, veri işleyen bakımından herhangi bir veri kaybı durumunda kayda değer biçimde daha fazla hukuki sorumluluk yüklüyor olması gibi spesifik birtakım yükümlülükler öngörmüş bulunmakta. Veri sorumluları ise, veri işleyenin dahil olduğu durumlarda özellikle sözleşmelerinin GDPR uyumluluğunu sağlamak zorunda. Tüm bunların yanında uyumluluk yükümün doğması bakımından spesifik kriterler ise şöyle:
-
Bir Avrupa Birliği ülkesi içerisinde var olma,
-
Avrupa Birliği içerisinde bulunulmasa da Avrupa’ da yaşayan (European Resident) kişilerin kişisel verilerini işleme,
-
250′ den fazla çalışanı olma,
-
250′ den az çalışanı olmakla birlikte veri sahiplerinin hak ve özgürlüklerine etki eden veri işleme süreçlerinin bulunması ya da belli özel nitelikteki kişisel verileri içerme.
Kriterler temelde hemen tüm şirketleri kapsıyor olmakla, Pwc’ nin4 gerçekleştirdiği araştırmada Amerikan menşeili şirketlerin %92′ sinin GDPR’ ı verilerin korunması bakımından en öncelikli prosedür biçiminde yorumladığı tespiti yapılmıştır. Ovum raporuna5 göre; Amerika’ daki şirketlerin 2/3′ ü GDPR ile birlikte Avrupa’ daki stratejilerini değiştirmelerini gerekli kılacak. Yaklaşık %85′ lik bir kısmı ise GDPR’ ın Amerikan menşeili şirketleri Avrupalı rakipleri karşısında avantajsız bir konuma soktuğu görüşünde.
GDPR’ ın koruma alanı 95/46/EC direktifi ile 1998 tarihinde İngiltere’ de yürürlüğe girmiş olan Veri Koruması Kanunu’ nda (Data Protection Act “DPA”) olduğu gibi kişisel veri olmakla, GDPR’ ın tanımı çok daha detaylı ve IP adresi gibi online belirteçlerin de kişisel veri olarak kabul edilebilir olduğu hususunu açıkça dile getirmekte. Bu haliyle GDPR’ daki daha geniş kapsamlı tanım, sektörler arası veri işleme biçimleri göz önünde bulundurularak ve teknolojinin değişkenliği de hesaba katılarak kaleme alınmış gibi görünmekte. Regülasyon ile belirlenmiş olan spesifik kriterler çerçevesinde otomatik olarak işlenen veriler ile manuel olarak dosyalama sistemleri aracılığıyla işlenen kişisel veriler GDPR’ ın koruması altına girmekte. Bu düzenleme 95/46/EC ile DPA tarafından bakıldığında GDPR ile daha geniş bir kapsam anlamına geliyor.
KVKK ile birlikte özel nitelikli veri olarak tanımladığımız direktif ile ilgili düzenlemeler bakımından ise hassas kişisel veri (sensitive personal data) olarak betimlenmiş olan veri biçimi GDPR madde 96 ile kişisel verilerin özel kategorileri (special categories of personal data) olarak tanımlanmakta olup, tanım görece mülga düzenleme ile örtüşmekle beraber özel kategori olarak belirlenmiş bu veriler bakımından herhangi bir kişiyi özellikli olarak tanımlamaya yarayacak genetik ve biometrik veriler özellikle yer almakta.
GDPR ile detaylandırılmış bir diğer husus ise verilerin hukuka uygun işlenmesi. GDPR çatısı altında veri işlemenin hukuka uygun olabilmesi için uyumluluk yükümü olanların, kişisel veri işleme faaliyetlerine başlamadan önce çoğunlukla “işleme koşulları” olarak tanımlanan hukuka uygun bir temel belirlemeleri ve bu hukuka uygunluk temelini dokümante etmeleri gerekmekte. Hukuka uygunluk temeli oluşturma bakımından ise GDPR ile birlikte gelen değişikliklerden biri de verileri işlenen kişilerin haklarının belirlenen temele göre değişiklik gösterebilecek olması. Örneğin, bir uyum yükümü altındaki bir şirketin veri toplama temeli veri işlenen kişi/lerin rızasına dayanmakta ise, başka bir deyişle kişilerin rızası hukuka uygunluk temeli olarak belirlenmişse; bu noktada verisi işlenen kişinin veri işleyene karşı kullanabileceği daha güçlü haklara sahip olacağı; söz gelimi verilerinin silinmesini talep edebileceğini söylemek mümkün.
GDPR ile uyum yükümü altındakilerin belirlemesi ve dokümante etmesi gerekli görülen hukuka uygun işleme koşulları GDPR madde 67 ile düzenlenmiş bulunmakta. Bu koşullar ise özet olarak şu şekilde belirlenmiş bulunmakta:
-
6(1)(a) Veri sahibinin rızası
-
6(1)(b) Veri sahibi ile imza edilmiş bir sözleşmenin uygulanabilmesi veya sözleşmenin yürürlüğe girebilmesi bakımından veri işlemenin gerekli olması
-
6(1)(c) Hukuki bir yükümlülüğe uyumluluk bakımından işlemenin gerekli olması
-
6(1)(d) Veri işlemenin veri sahibinin yahut bir başka kişinin yaşamsal faaliyetleri bakımından gerekli olması
-
6(1)(e) Kamu yararının sağlanması üzere gerçekleştirilen işlemler yahut veri sorumlusuna verilmiş kanuni bir yetkinin yerine getirilebilmesi bakımından veri işlemenin gerekli olması
-
6(1)(f)8 Veri sorumlusunun haklarını, özgürlüğünü kısıtlamamak kaydıyla; veri sorumlusu yahut üçüncü kişi tarafından hukuki bir yararın sağlanması bakımından veri işlemenin gerekli olması
Veri işleme ile ilgili hukuka uygunluk temelinin belirlenmesi ve dokümante edilmesi yanında GDPR’ ın temellendirdiği ve 95/46/EC ile DPA göz önünde bulundurulduğunda detaylandırdığı konu başlıklarından biri de veri sahibinin rızası. Buna göre; GDPR’ a dayalı olarak verilen rıza veri sahibinin özgür iradesiyle, spesifik, bilgilendirilmiş ve kişinin isteklerinin belirsiz olmadığı bir biçime sahip olacaktır. Rızanın varlığından bahsedebilmek için onaylayıcı bir aksiyon yahut bir başka deyişle olumlu bir onay söz konusu; rızanın veri sahibinin sessiz kalması, hali hazırda tiklenmiş kutucuklar yahut veri sahibinin hareketsiz kalması onay olarak varsayılmayacağı belirlenmiştir. Ayrıca rıza uyumluluğa dair diğer hüküm ve koşullardan ayrı yer almalı ve veri sahibinin rızasını geri çekebilmesi için kullanıcı odaklı, basit yöntemler sunulmalıdır. Rızanın veri sahibinin özgür iradesi ile sağlanmış olduğuna ilişkin kamu makamları ile personellerin özel bir yükümlülüğü bulunmaktadır.
GDPR ile düzenlenen başka bir husus ise çocukların kişisel verileri. GDPR çatısı altında bu yönde bir düzenlemeye gidiliyor olmasının temel nedeni ise çocuklara ait kişisel verilerin korumasının artırılması. GDPR ile çocuklara yönelik verilerin işlenmesi ve çocuğun veri işlemesine ilişkin rızasının direkt çocuk nezdinde konu edilebilmesi bakımından öngörülen yaş alt sınırı 16 olarak belirlenmiş. 16 yaşın altındaki çocukların verilerinin işlenebilmesi bakımından başvurulacak merci ise kesin olarak çocuğun ebeveyn yükümlülüklerini üstlenenlere “holder of parental responsibility” özgülenmiş bulunmakta. Çocukların verisinin düzenlenmesinde yaş sınırının altında kalanlar bakımından başvurulacak mercii olarak yalnızca çocukların ebeveynleri değil aynı zamanda hukuki koruma sağlayanlar da düşünülmüş olduğundan, bu maddenin mevcut düzenlemeler göz önünde bulundurulduğunda çok daha geniş bir merci düzenlemesi sağlamış olduğunu söylemek mümkün. Çocukların verilerinin işlenmesine ilişkin düzenlenmiş işbu madde9 çerçeve bir düzenleme olarak düşünülmüş ve üye devletlerin kendi düzenlemelerine müsaade edilmiş. Ancak GDPR ile bu düzenleyici madde ile yine de bir alt sınır belirlenmiş ve verileri işlenecek çocuklar bakımından en az 13 yaş kuralı öngörülmüş bulunmakta. Bir başka deyişle verileri işlenecek çocuklar bakımından çocuğun rızasının alınabileceği yaş, üye devletlerin düzenlemeleri çerçevesinde en az 13 olabilecek. Bu sınırın altındaki çocuklar bakımından yine ebeveyn rıza beyanında bulunabilecektir. Uyum yükümlüsü olanlar bakımından yaş koşulu yanında bir de gizlilik bildiriminin çocukların anlayabilecekleri bir dille yazılması gerekliliği söz konusu. Yaş sınırı ile ilgili aktarılabilecek son bilgi ise ebeveyn/koruyucu rızasının aranmadığı durumlar ile ilgili. Bu haller ise GDPR kapsamında direkt olarak çocuğa yönelen önleyici yahut danışmanlık servisleri.
GDPR düzenlemeleri içerisindeki belki de en kayda değer yenilik -Avrupa Birliği üyesi ülkelerin her biri bakımından uygulanması gerekliliği göz önünde bulundurulduğunda- hesap verilebilirlik hükmüdür. Bu maddeye yakınsanabilecek yegâne düzenleme İngiltere’ nin konuya ilişkin düzenlemesi olan DPA ve buna bağlı kurulmuş ve çeşitli düzenlemeler getirmiş olan bilgi komisyonu ofisi (Information Commissioner’s Office) “ICO” olarak düşünülebilir olsa da GDPR, uyum yükümü altında olanların kanun hükümlerine uyumluluğun nasıl sağlandığının gösterilebilir olmasını örneğin; işleme faaliyetlerine ilişkin uyum yükümü altında olanların aldıkları kararların dokümante edilmesini öngörmekte.
Hesap verilebilirlik ile ilgili hüküm GDPR madde 5(2) ile düzenlenmiş olup, uyum yükümü altında olanların kanun hükümlerine uyumunu ve bu uyum yükümü sorumluluğun sarih biçimde yüküm altında olanlara ait olduğunu ifade etmektedir. Bu madde bakımından yüküm altında olanların uygun ölçüde teknik ve organizasyonel önlemler alarak uyumluluğun sağlanması ile ilgili tabir-i caizse bir garantör element oluşturmaları gerekliliği söz konusu. Gereklilik söz konusu olduğunda bir veri koruma yetkilisi atanması, dizayn olarak ve kendiliğinden veri koruması olarak ifade edilebilecek GDPR hükümlerine uyum için gerekli önlemlerin alınması, kişilerin veri işleme süreçlerini monitör edebilmelerinin sağlanması gibi koşullar ile de hesap verilebilirlik hükmü bakımından temel gerekliliklerin sağlanabilmesi öngörülmekte.
GDPR’ ın getirdiği yeniliklerden ve belki anahtar hükümlerden -üstünkörü de olsa- bahsetmişken, uyumu yükümü altında olanların en büyük çekincelerinden olan uyum yükümünün sağlanamaması/yerine getirilememesi halinde söz konusu olabilecek “ceza” tutarlarından da bahsetmek gerekecek. Belirlenen süre (25 Mayıs 2018) sonunda uyum yükümü altında olan şirketlerin uyumluluk hükümlerine uygun faaliyetleri gerçekleştirmemiş olması halinde, GDPR 20.000.000,00- Euro’ ya kadar ya da global yıllık cirosunun %4′ üne kadar cezayı -hangisi daha yüksekse onun uygulanması üzere- öngörüyor. Ovum raporuna10 göre uyum yükümü altında olan şirketlerin %52′ si uyumluluğu sağlayamadığından, bahsi geçen cezaların aleyhlerinde uygulanacak olduğunu düşünüyor. Söz konusu cezalara yönelik olarak öngörüler ise Avrupa Birliği’ nin ilk yıl sonunda 6.000.000.000,00- Euro’ ya kadar ceza uygulayacak olduğu. Bu konu ile ilgili olarak ICO ise şunu söylüyor; “GDPR cezalar ilgili değil, tüketici ve vatandaşları ilk sıraya koymakla ilgili. Cezai şart üst sınırının yükseldiği ve bu durumun şirketleri korkuttuğu doğru olsa da ICO; şirketlere kanuna uyumlulukla ilgili olarak yol gösterici olmaya, tavsiye ve eğitim veren misyonuna GDPR altında da devam edecektir. Geçtiğimiz dönem içerisinde (2016-2017) 17.300 talebi karara bağladık ve ilintili şirketlerden yalnızca 16 adedi cezaya hükmedildi.”11 Bu konu ile ilgili olarak Avrupa Birliği ülkeleri nazarında bir değerlendirme yapıldığında da ICO’ nun GDPR dönemine kadar benimsemiş olduğu yukarıda bahsedilen ilkeden sapmadıkları görülmekte. Dolayısıyla uyum yükümü altında olanların endişelenmesi her ne kadar haklı görülebilir olsa da minör ihlaller ile bunlara bağlı cezai yükümlerin uygulanmasının hiçbir zaman bir norm haline gelmediği ve GDPR sonrasında da bu politikadan sapılmayacağını söylemek yanlış bir değerlendirme olmayacaktır.
ICO’ dan bahsetmişken, İngiltere’ nin Brexit sonrası veri koruması ile ilgili tam olarak ne yönde ilerleyeceği belirsizliği de ortadan kaldırılmış gibi görünüyor. İngiltere’ nin Avrupa Birliği’ nden ayrılmasını takiben, diğer Avrupa Birliği üyesi olmayıp da Avrupa Birliği vatandaşlarının verilerini işleyenler gibi değerlendirilecek olduğuna şüphe yok. Hali hazırda bu konuda -GDPR- ICO gerekli çalışmaları başlatmış olup, uyum yükümü altında olanlara GDPR’ a uyumluluk ile ilgili birifinglerde bulunmaya başlamış olduğundan, Brexit’ in yürürlük tarihine kadar İngiltere menşeili şirketlerin GDPR uyumluluklarını yerine getirmek çabasında olacaklarını söylemek yanlış olmaz.12
Bir yandan GDPR’ ın öngördüğü cezalar uyum yükümü altında olanları ürkütmekte iken, diğer yandan 25 Mayıs 2018 tarihine kadar gerçekleştirilecek uyumluluk çalışmaları da ciddi bir bütçeyi öngörmekte. PwC’ nin gerçekleştirmiş olduğu bir araştırmaya göre, Amerikan menşeili şirketlerin %68′ i GDPR gerekliliklerini sağlayabilmek adına 1.000.000,00 ila 10.000.000,00-$ arasında bir harcama gerçekleştirmeleri gerektiğini öngörürken, %9′ luk bir kısım da 10.000.000,00- $’ ı aşacak oranda bir harcama gerekeceğini öngörmekte.
Temel olarak GDPR düzenlemeleri ele alındığında global bağlamda ve veri işleyenler özelinde ciddi değişiklikler yaşanacağının ve bu değişikliklerle birlikte, veri işleme faaliyetlerinde hali hazırda Anayasal bir hak olarak görülen kişilerin özel hayatının gizliliği hususlarının çok daha sık duyulacak olduğuna şüphe yok. GDPR uyum yükümü altında olanlar bakımından hem pahalı hem de cezai şart bakımından ürkütücü görünse de veri işleme bakımından devrim niteliğinde bir düzenleme olduğunu düşünen bir çevre de mevcut. GDPR’ ın şirketlerin veri stratejileri, big data ve veri temelinde ilerleyen inovasyonlar bakımından ve bu başlıkların önümüzdeki dönemlerde çok daha fazla zikredilecek olmasına dayalı olarak düzenlenmiş olduğunu ve önleyici hukuk düzleminde bir düzenleme olarak düşünülmüş olduğunu söylemek yanlış olmayacaktır.
Yukarıda özet olarak belirtilmiş olan veri korumasına ilişkin regülasyon ve düzenlemeler çerçevesinde GDPR’ ın temel çerçevesine ve veri işlemesi hususları bakımından yenilik olarak nitelendirilebilecek hükümlerine yönelik bir inceleme gerçekleştirmiş olsak da GDPR hükümlerinin her birine ve buna bağlı uygulamalar ile ilgili olarak devam ettirecek olduğumuz seri ile bu yazıda ele alınmayan konular, bahsedilmiş olsa dahi detaylandırılmamış olan düzenlemelere dayalı bilgilendirmeler devam eden yazılarda paylaşılacaktır.
[1] Official Journal of the European Union, L119/1, 04.05.2016
[2]http://www.resmigazete.gov.tr/main.aspxhome=http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm&main=http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm
[3] http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A31995L0046
[4] http://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf
[5] https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape
[6] https://gdpr-info.eu/art-9-gdpr/
[7] https://gdpr-info.eu/art-6-gdpr/
[8] Bu madde ile belirlenmiş olan koşullardan (f) fıkrası, kamu kuruluşlarının görevleri esnasında işleyecekleri veriler bakımından geçerlilik arz etmemektedir.
[9] https://gdpr-info.eu/art-8-gdpr/
[10] https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape
[11] https://iconewsblog.org.uk/2017/08/09/gdpr-sorting-the-fact-from-the-fiction/
[12] http://www.cio.co.uk/opinion/legal-briefing/brexit-law-what-cios-need-know-about-eu-gdpr-it-contracts-3642872/