8 Haziran 2018 Cuma

SA6280/ÇY4-DB131: Avrupa'nın Yeni Gizlilik Kurallarıyla En Çok Kim Kaybedecek?

Sonsuz Ark'ın Notu:
 Avrupa Genel Veri Koruma Yönetmeliği (GDPR)nin uygulanmaya başladığı 25 Mayıs'tan sonra, Avrupa'da aktif olan şirketler, bir gecede büyük para cezaları, veri ihlalleri ve gizlilikle ilgili diğer tehlikelere ilişkin risklerle karşı karşıya olduklarını biliyorlar; ancak Türkiye henüz bu konuda herhangi bir söylem ve eylem geliştirmiş değil; eğer Türkiye'nin Avrupa Birliği üyeliği ile ilgili müzakerelerin varlığı bu yönetmeliğin kapsam alanına Türkiye'yi de dahil ediyorsa, Türkiye'nin ayrıca bir şey yapmasına gerek kalmayabilir, ancak bu konu hiç de Avrupa'nın ya da birliğin kişisel konusu gibi durmuyor, Türkiye, bu yönetmelikle birlikte kendi şartlarını içeren bir beyanda bulunmak zorundadır... Bu, Türkiye'nin ciddiye almadığı bir konu görüntüsü veriyor olsa da bu görüntü yanlıştır ve Türkiye Cumhuriyeti devleti vatandaşlarının gizlilik haklarına saygı duymayan herhangi bir yerli ya da yabancı şirkete çalışma izni verme hakkına sahip değildir. 
Seçkin Deniz, 08.06.2018

Who stands to lose most from Europe’s new privacy rules

Gizlilik aktivistleri,“Önce Big Tech'i alıyoruz. Sonra diğerlerini.” diyorlar.

En azından yasal olarak konuşan bir GDPR (Genel Veri Koruma Yasası) kan banyosuna hazırlanın.

Avrupa Genel Veri Koruma Yönetmeliği'nin çevrimiçi hale geldiği 25 Mayıs'ta, Avrupa'da aktif olan şirketler, bir gecede büyük para cezaları, veri ihlalleri ve gizlilikle ilgili diğer tehlikelere ilişkin risklere maruz kalacaktır.

Sosyal medya analiz firması Klout ya da Drawbridge reklam şirketleri gibi bazı firmalar bile savaşın başlamasından önce pes ettiler. Birkaç şirket geçtiğimiz haftalarda, tüm faaliyetlerini durdurduğunu açıkladı, çünkü veri-açı olan iş modellerinin GDPR döneminde hayatta kalma şansı azdı.


Resimler IStock aracılığıyla


Rekabette kalması veri toplamaya dayanan her şirket için, bu, destansı yasal savaşlara hazırlanma zamanıdır.

20 yıldır küresel gizlilik düzenlemelerinin en büyük revizyonu olan yeni kuralların içeriği iyi bilinmektedir. Ancak görülmesi gereken şey, kuralların ne anlama geldiği, her ülkede nasıl uygulanacakları ve para cezaları riskine en fazla maruz kalan varlıkların hangileri olacağıdır.

Şirketler üç gün içinde yetkili makamlara veri ihlallerini açıklamak zorunda kalacaklar ya da caydırıcı para cezalarıyla karşı karşıya kalacaklar.

Bir ticaret grubu olan Uluslararası Gizlilik Uzmanları Derneği başkanı Trevor Hughes, “Uygulama ortamının neye benzeyeceğini bilmiyoruz” dedi. “Bilmediğimiz çok şey var.”

GDPR'ye maruz kalma kapsamı çok büyük: önümüzdeki Cuma gününden itibaren Avrupalılar, şirketlere kendilerine verdikleri kişisel bilgileri sorma hakkına sahip olacaklar ve bilgilerin veri kümelerinden silinmesini talep edecekler.

Şirketler doğrudan pazarlama gibi şeyler için kişisel bilgileri kullanmak için onay ve rıza istemek zorunda kalacaklar.

Çevrimiçi uygulamalarda ve hizmetlerde yapılan ayarlar varsayılan olarak gizlilik dostu olmak zorunda olacak ve kullanıcılar bir algoritma tarafından verilen bir karara bağlanmayı istemeyebilecekler.


 GDPR'nın yürürlüğe girmesiyle Facebook ve diğer Big Tech şirketleri gizlilik gruplarının gözü önünde olacaklar |Joel Saget / AFP Getty Images aracılığıyla

Şirketler üç gün içinde yetkili makamlara veri ihlallerini açıklamak zorunda kalacaklar ya da caydırıcı para cezalarıyla karşı karşıya kalacaklar.

Gizlilik aktivistleri şimdiden bıçaklarını keskinleştiriyorlar, yeni haklarını Cuma günü itibarıyla şirketlere karşı kullanmaya hazırlar. Şu ana kadar kolluk kuvvetlerinde belirsiz bir rol oynayan veri koruma yetkilileri, ellerinde yeni bir dizi güçle harekete geçecekler.

GDPR'nın Avrupa Birliği genelinde uygulandığı sabah hukuki zorluklarla yüzleşmeye en hazır olması gereken şirketlerin ve sektörlerin bir listesi:

Facebook, Google ve Büyük Teknoloji'nin geri kalanı

Şüphesiz, gizlilik grupları yeni oluşturulan kaslarını esnetmeye ve yasal meydan okuma dosyaları açmaya başladığında Facebook ve Google gibi şirketler ilk sırada yer alacaktır.

Fransız STK Quadrature du Net, şimdiden şikayetleri toplamak ve hemen 25 Mayıs'ta bir dizi aksiyon davası açmak için bir çevrimiçi kampanyaya sahip. Grubun hedefi: “GAFAM” yani Google, Apple, Facebook, Amazon ve Microsoft.

Gizlilik aktivisti Max Schrems'in “Sizi İlgilendirmez” STK'sı özellikle teknoloji şirketlerinin bu dijital hizmetlere erişmeye devam etmek isteyenler için geniş kapsamlı gizlilik politikalarına nasıl kaydolmaları gerektiğini açıklıyor. Schrems’in POLITICO’ya verdiği demeçte amaç, çeşitli Avrupa veri koruma yetkilileriyle - fakat, özellikle de İrlanda’daki gizlilik bekçisi değil- en azından iki şikâyette bulunarak bu rıza kararnamelerinin bölgenin yeni gizlilik standartları kapsamında yasal olup olmadığını test etmek.

Schrems, daha önce bir kez daha AB-ABD'nin “güvenli liman” olarak bilinen veri aktarım anlaşması iptal eden kötü şöhretli “Schrems kararı”na yol açmıştı. Açıkça, Facebook benzer gizlilik uygulamalarına sahip diğer teknoloji devlerine odaklanmasına rağmen yine onun hedefinde.


Avusturyalı aktivist Max Schrems | Christian Bruna / AFP Getty Images aracılığıyla

Quadingure du Net'teki hukukçu Arthur Messaud, Big Tech.’e dava açılmasının önemli olduğunu söyledi. “En görünür oyuncuları aldık” diye ekledi: “Bizim için ilk adım, GDPR'nin ne olduğunu ve toplu dava sisteminin ne anlama geldiğini göstermektir.”

Küresel genel gizlilik görevlisi olan Facebook'tan Stephen Deadman, “Başarılarınız sizi hedefe koyar. Uyumlu olduğumuzdan emin olmak için tepki veriyoruz. ” Ekledi:“ Max Schrems hakkında endişelenmiyoruz. Ne yaparsa yapsın.”

Veri aracıları

Büyük veri şirketleri, gizlilik eylemlerinin yeni döneminde kafa derisi almak isteyen gizlilik aktivistleri için açık hedefler olsa da, veri ticaret şirketlerinin tüm ekosistemi de tehdit altındadır.

(Facebook veya Google’dan farklı olarak) doğrudan pazarlama amaçlı kişisel bilgileri içeren büyük veri kümeleri toplayan ve satan veri aracıları, özellikle zorluklarla karşılaşabilir.

“Veri aracıları işletmeleri iki yüzlüdür. Veri aracıları internetin akbabalarıdır ”- Andrew Keen, teknoloji şirketlerinin önde gelen eleştirmeni

Bu firmalar, bazen fiziksel izleme teknolojileri aracılığıyla, bazen daha küçük veri kümeleri alıp temizleyerek ve bunları doğrudan pazarlama amacıyla kullanabilecek veya kendi veri kümelerini tamamlayacak şirketlere satarak veri toplarlar.

Teknoloji şirketlerinin önemli bir eleştirmeni olan Andrew Keen, “Veri aracılarının işletmeleri iki yüzlüdür” dedi. “Veri aracıları internetin akbabalarıdır.”

Teknoloji devlerinden farklı olarak, bu veri aracıları kamuoyunca büyük ölçüde bilinmemektedir. Dünyanın diğer işletmelere bilgi satan en büyük veri brokerleri, Axciom, Datalogix (Oracle firmasının sahibi olduğu Oracle) ve Equifax gibi şirketleri içermektedir. Sonuncusu size tanıdık gelebilir, sadece büyük bir veri ihlali yaşadığı bu yılın başlarında ortaya çıktı ve çoğunlukla ABD'de 143 milyon insanı etkiledi.

Bu şirketlerin sahip olduğu kişisel ve bazen hassas olan veriler göz önünde bulundurulduğunda ve bu verilerin satıldığı ve satıldığı koşulların karışık olduğu göz önüne alındığında, GDPR ihlalleri riski yüksektir. Birleşik Devletler Bilgi Komisyonu Ofisi de dahil olmak üzere veri koruma yetkilileri, daha önce uygulamalarına yönelik soruşturma başlattılar - veri komisyoncuları Verso ve Veri Sağlayıcı Şirketi'nin, gizlilik kurallarını ihlal ettiği için para cezası verdiğini açıkladılar - ve bunları bir daha yapmalarını bekleyebilirsiniz.

Araba Üreticileri, ilaç ve sağlık firmaları

GDPR, yıllardır teknoloji uzmanlarının ve teknoloji düzenleyicilerinin zihninde olmuştur, ancak kurallar sadece teknoloji sektörünün ötesine uzanmaktadır.

Şirketler kendi işlerini “dijitalleştirdikçe”, giderek daha fazla veri kullanma işindeler. Bugün, BMW, Volvo ve diğerleri gibi otomobil üreticileri, müşterilerinin nerede bulundukları hakkında bilgi veriyor ve arabalar daha fazla sensör ve kod içeriyor, veri depoluyor ve otomatik sürüş için araçlar hazırlıyor. Sağlık şirketleri, birçok hassas veriyi işliyor ve analiz ediyor ve tıbbi kayıtları tutuyor. Bankalar da her zaman büyük kişisel veriler topladılar.

“İlaç endüstrisi ve tıbbi cihazlar endüstrisi: En azından bu sektörde bazı hedeflenmiş soruşturmalar görürsek şaşırmam” - Wim Nauwelaerts, gizlilik avukatı

Bu sektörlerdeki şirketler zaman içinde veritabanlarını genişlettikçe düzenleyicilerin dikkatlerini çekecekler.

Sidley Austin'deki en iyi gizlilik avukatı Wim Nauwelaerts, “Belirli endüstriler icra eylemlerine diğerlerine göre daha eğilimli olacak” dedi. En iyi ipucu: “İlaç endüstrisi ve tıbbi cihazlar endüstrisi: Bu sektörde en azından bazı hedeflenmiş soruşturmalar görsem şaşırmam.”

NSA, hafiyeler ve casuslar

Big Tech'e karşı bütün davalarda, Avrupa dışındaki hükümet gözetimi hizmetleri paralel hasar haline gelebilir.

Schrems, güvenli liman altında transferleri için Facebook'a dava açtığında, hedef, ABD'nin ulusal yasalar aracılığıyla verilen gözetim yetkileriydi - ya da yokluğu - Ulusal Güvenlik Ajansı ve PRISM gibi gözetim programlarını yönetiyordu. Facebook, bu programlarla ilgili ABD yetkilileriyle herhangi bir işbirliğini reddediyor.


 İngiltere, Brexit'ten sonra veri akışı konusunda özel bir anlaşma arıyor 
| Carl Court / Getty Images

Eylemciler ve hatta Avrupa Komisyonu, yabancı şirketlerin veriyi daha iyi korumalarını isteyerek yabancı istihbarat teşebbüslerinin istilacı güçlerini engellemeye çalıştıklarını ve böylelikle hükümetlerinin de kendi korumalarını artırmaya nasıl baskı yaptığını gösteriyor. Akademisyenlerin ve gözlemcilerin “Brüksel Etkisi” adını verdikleri şey bu.

Ülkenin Araştırma Güçleri Yasası'nın halihazırda AB politika yapıcılarının Avrupalıların kişisel verilerinin sadece Britanya'ya akıp taşmayacaklarını sorgulamasına neden olduğu İngiltere buna bir örnek olabilir. İngiltere, Brexit'ten sonra veri akışları konusunda özel bir anlaşma istiyor, ancak AB tarafından istihbarat ve güvenlik kurumlarını nasıl yönettiği konusunda güvence altına alması istenebilir.

Lüksemburg'a giden yol

Gizlilik aktivistleri ve davacıları için, mücadele ancak, kurallar, Avrupa temel haklarıyla tutarlı olarak blok ve dünya genelinde uygulanıyorsa kazanılacaktır.

Bu, her halükarda, final sahnesinin Avrupa Adalet Divanı’ndan önce Lüksemburg’da belirlendiği anlamına geliyor.

“Umduğumuz şey - ve başkalarına yardım edeceğimiz - herkesin kendi davası olduğu ve sonunda tüm grup davalarının [Avrupa Veri Koruma] Kurulundan önce veya Avrupa Adalet Divanı huzurunda bir araya gelmesi” dedi Quadrature du Net'ten Messaud.

Bu zaman alabilir. AB’nin veri aktarım anlaşması gizlilik kalkanına ilişkin zorluklar, AB’nin Genel Mahkemesi’nde hala beklemekte ve diğer önemli gizlilik davaları, ortalama olarak birkaç yıl sürdü.


Laurens Cerulus- Mark Scott, 23 Mayıs 2018, (Güncelleme 29 Mayıs 2018), Politico



Derya Beyaz, 08.06.2018, Sonsuz Ark, Çırak-Çevirmen Yazar, Çeviri 





Sonsuz Ark'tan
  1. Sonsuz Ark'ta yayınlanan yazılardan yazarları sorumludur. 
  2. Sonsuz Ark linki verilerek kısmen alıntı yapılabilir.
  3. Sonsuz Ark yayınları Sonsuz Ark Manifestosu'na aykırı yayın yapan sitelerde yayınlanamaz.
Yorum Gönder

Seçkin Deniz Twitter Akışı