Son yıllarda dünya genelindeki pek çok şirketin verileri
işleme, saklama veya iletme prosedürlerini değiştiren veri koruma yönetmeliği,
bir çok ülke tarafından farklı şekillerde yasalaşıyor. Dünyada 500 milyondan
fazla kullanıcıyı koruyan Bitdefender Antivirüs, Türkiye’nin de aralarında
bulunduğu ülkelerin veri koruma kanunlarını mercek altına alıyor.
Gartner tarafından yapılan yeni bir araştırma, şirketlerin
veri kaybını önlemek için yaptığı güvenlik yatırımlarında, 2018 sonuna kadar
%65 artış yaşanacağını öngörüyor. Avrupa Birliği ülkelerini etkileyen Genel
Veri Koruma Yönetmeliği (GPDR) başta olmak üzere son iki yıl içerisinde pek çok
ülkede yeni veri koruma yasalarının yürürlüğe girmesinin bu artışta büyük
etkisi bulunuyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender
Antivirüs, farklı ülkelerdeki uygulamaların yeni yasalarla nasıl
iyileştirildiğini mercek altına alıyor.
Şiddeti gitgide daha çok hissedilen veri koruma kanunları,
global anlamda büyük farklar yaratıyor. Avrupa Birliği’ndeki ülkelerde Mayıs
2017’de devreye giren ve hesap verebilirlik, rıza alma ve raporlama gibi
alanlarda ciddi düzenlemeler getiren GDPR’den ilham alan ülkeler, kendi
versiyonlarını üretip uygulamaya koyarak değişime ayak uyduruyor. Benzer
şekilde, Türkiye’deki veri koruma uygulamalarının seyri de hızla değişiyor.
ABD: Tüketici Gizlilik Yasası
ABD, GPDR’den aldığı ilham ile yeni kanunlar yaratıyor. Yeni
uygulamalardan biri olan 2018 Kaliforniya Tüketici Gizlilik Yasası, Kaliforniya
eyaleti vatandaşlarına GDPR’ye özellikle DSAR konusunda benzerlik gösteren
haklar tanıyor. Bu haklara göre kişiler, hangi verilerinin ne amaçla
işlendiğine ve üçüncü bir şirket veya kişiye verilip verilmediğine dair
şirketlerden bilgi talep edebiliyor. Elektronik veya fiziksel olarak
oluşturulabilen bu taleplere şirketler bir ay içinde ücretsiz olarak cevap
vermek zorunda kalıyor.
ABD’deki başka bir eyalet olan Colorado’daki yasama organı
da bu bölgedeki kişilerin veri koruma düzeyinin artırılması için uygulamaya
konulması istenen yeni prosedür ve pratikler ile ilgili bir yasa tasarısını
yakında sunmayı düşünüyor. Bu yasa tasarısı ile kişisel veri teriminin
kapsamının genişletilmesi ve bir veri sızıntısının ardından kullanıcılara
bilgilendirme yapılması gereken zaman aralığının değiştirilmesi hedefleniyor.
Tüketici Gizlilik Yasası ABD’deki şirketlere şimdiye kadar 30 günlük sızıntı
bildirim süresi veriyordu. Bu süre, AB ülkeleri için sadece üç gün olduğundan,
ABD’deki şirketler için de sürenin kısaltılması isteniyor.
İngiltere: Veri Koruma Yasa Tasarısı
Brexit’in ardından harekete geçen İngiltere, İngiltere Bilgi
Komisyonluğu Ofisi başkanlığında veri koruma ve gizliliği ile ilgili kendi
düzenlemelerini oluşturuyor. İngiltere bilgi komisyonluğu Ofisi, GDPR ile
uyumlu kuralların yürütülmeye devam edilmesi adına yeni bir Veri Koruma Yasa
Tasarı taslağı hazırlamakta olan İngiltere için bu konunun oldukça önemli
olduğunu ve veri korumaya dair sorunların kamuoyunda sıkça ses getirdiğini
belirtiyor.
Avustralya: Gizlilik Yasası
Avustralya’daki Gizlilik Yasası, ülkedeki tüm gizlilik
düzenlemelerinin birbiriyle tutarlılık göstermesini sağlayarak eksiksiz bir
uyum mekanizması oluşturulmasını hedefliyor. Bu yasalar, ülke içindeki veri
akışının Avustralya sınırları dışına çıkışının azaltılmasını ve kişisel gizlilik
hakkını garanti altına alacak kurallar içeriyor.
Veri denetleyicilerine pek çok sorumluluk yükleyen
Avustralya, bu kişilerden kişisel bilgileri tamamen açık ve şeffaf bir şekilde
yönetmesini ve yasaların tüm prensiplerine uyum göstermesini bekliyor. Veri
sızıntısı ile ilgili bildirimler, raporlama kuralları ya da “ciddi hasar”
teriminin tanımı kısımlarındaki farkların haricinde Avustralya, veri korumada
GDPR’ye yakın bir yörüngede ilerliyor.
Meksika: Federal Veri Koruma Kanunları
Meksika’nın Özel Taraflarca Yapılan Federal Veri Koruma
Yasası, Avrupa’da uygulanan yasalardan neredeyse hiç ayrılmıyor. Uluslararası
Gizlilik Profesyonelleri Birliği’nden Veri Koruma Yasası Başkanı Miguel Recio,
“Avrupa Birliği’nde olduğu gibi Meksika da da veri koruma alanında dinamik
gelişmeler yaşıyor. Bu gelişmelerde mesuliyet hissi, sağlam ve etkili bir veri
yönetimi için anahtar rol oynuyor. Meksika’daki veri denetleyicileri, teknik ve
operasyonel önlemler hakkında AB’dekilerle benzer sorumluluklar alarak veri
gizliliği yasalarına uyumu proaktif bir şekilde gösteriyor.” sözleriyle
Meksika’nın veri korumaya yeni bakış açısını özetliyor.
Kanada: Kişisel Verileri Koruma ve Elektronik Belgeler
Yasası
GDPR ile çok alakalı olmayan uygulamaları gündeme getiren
ülkeler de bulunuyor. Kanada, oluşturduğu Kanada Kişisel Veri Koruma ve
Elektronik Belge Yasası kapsamında kendi standartlarını yaratıyor. Ayrıca,
temel işleri direkt veri işlemeye dayanan tüm Kanadalı şirketlerin, Kanada
kanunları dışında bütün GDPR kurallarına da uyması bekleniyor.
Türkiye: Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu, Türkiye’de 24 Mart
2016’dan beri yürürlükte bulunuyor. Şirketlerdeki pek çok uygulamayı baştan
yazan Kişisel Verilerin Korunması Kanunu, çalışan hak ve gizliliğinden
kullanıcı gizliliğine kadar pek çok konunun tekrar değerlendirilmesine imkan
yaratarak kişisel verilerin üçüncü kişilere iletilmesi hususunda yenilikler
getiriyor.
Her ne kadar iki yıldır gündemde olsa da işlenmiş kişisel
verilerin yeni kanuna uyumu için kurumlara iki yıl süre verilmesi nedeniyle
KVKK, asıl gücünü Nisan 2018’den beri gösteriyor. KVKK, kişisel veriyi “kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak
tanımlarken, nedensiz ve sınırsız şekilde yapılan veri işlemelerini kabul
etmeyerek cezaya tabii tutuyor.
Ayrıca, Ekim 2018 başında veri korumada yeni bir düzenlemeye
daha giden Türkiye’de artık veri işleyen tüm kişi ve kurumların bu tür
işlemleri yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS)
kaydolması ve orada belirtilen kuralları yerine getirmesi gerekiyor.
