Öncelikle GPDR nedir size bundan bahsetmek istiyorum.
GDPR, Genel Veri Koruma Yönetmeliği‘nin (General Data Protection Regulation) kısaltmasıdır. Bu yönetmelik, Avrupa Birliği (AB) tarafından hazırlanmış ve kabul edilmiş, dünyadaki en katı gizlilik ve güvenlik yasasıdır. 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
Temel Amaçları:
- Avrupa Birliği içindeki bireylerin kişisel verilerini korumak ve onlara bu veriler üzerinde daha fazla kontrol sağlamak.
- AB üyesi ülkelerdeki veri koruma yasalarını uyumlu hale getirmek.
- AB sınırları içinde faaliyet gösteren veya AB vatandaşlarının verilerini işleyen tüm kuruluşlara (nerede bulunduklarına bakılmaksızın) belirli yükümlülükler getirmek.
GDPR’ın Kapsamı:
GDPR, Avrupa Birliği vatandaşlarının kişisel verilerini işleyen tüm işletmeleri kapsar. Bu, AB içinde yerleşik olsun ya da olmasın, AB vatandaşlarına mal veya hizmet sunan veya davranışlarını izleyen tüm kuruluşları içerir.
GDPR’ın Temel İlkeleri:
- Hukuka uygunluk, adalet ve şeffaflık: Kişisel veriler yasalara uygun, adil ve ilgili kişilere şeffaf bir şekilde işlenmelidir.
- Amaç sınırlaması: Kişisel veriler, belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla uyumsuz bir şekilde işlenmemelidir.
- Veri minimizasyonu: Kişisel veriler, işleme amaçları için yeterli, ilgili ve sınırlı olmalıdır.
- Doğruluk: Kişisel veriler doğru ve güncel tutulmalı ve yanlış verilerin düzeltilmesi veya silinmesi için her türlü makul adım atılmalıdır.
- Depolama sınırlaması: Kişisel veriler, işleme amaçları için gerekli olandan daha uzun süre saklanmamalıdır.
- Bütünlük ve gizlilik (güvenlik): Kişisel veriler, yetkisiz veya yasadışı işleme, kazara kayıp, imha veya hasara karşı uygun teknik ve organizasyonel önlemlerle korunmalıdır.
- Hesap verilebilirlik: Veri sorumlusu, GDPR’ye uyumdan sorumludur ve bu uyumu gösterebilmelidir.
GDPR’ın Bireylere Tanıdığı Haklar:
GDPR, bireylere kişisel verileri üzerinde çeşitli haklar tanır, bunlar arasında:
- Erişim hakkı: Bireyler, hangi kişisel verilerinin işlendiğini ve bu verilerle ilgili bilgilere erişme hakkına sahiptir.
- Düzeltme hakkı: Bireyler, yanlış veya eksik kişisel verilerinin düzeltilmesini talep etme hakkına sahiptir.
- Silme hakkı (“unutulma hakkı”): Bireyler, belirli durumlarda kişisel verilerinin silinmesini talep etme hakkına sahiptir.
- İşlemeyi kısıtlama hakkı: Bireyler, belirli durumlarda kişisel verilerinin işlenmesinin kısıtlanmasını talep etme hakkına sahiptir.
- Veri taşınabilirliği hakkı: Bireyler, kişisel verilerini yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma ve başka bir veri sorumlusuna aktarma hakkına sahiptir.
- İtiraz hakkı: Bireyler, belirli durumlarda kişisel verilerinin işlenmesine itiraz etme hakkına sahiptir.
- Otomatik karar almaya karşı çıkma hakkı: Bireyler, kendilerini önemli ölçüde etkileyen yalnızca otomatik işlemeye dayalı kararlara tabi olmama hakkına sahiptir.
İrlanda Veri Koruma Komisyonu (DPC) Cuma günü popüler video paylaşım platformu TikTok’a, Avrupalı kullanıcıların verilerini Çin’e aktararak bölgedeki veri koruma düzenlemelerini ihlal ettiği gerekçesiyle 530 milyon Euro (601 milyon $) para cezası verdi.
DPC yaptığı açıklamada, “TikTok, EEA [Avrupa Ekonomik Alanı] Kullanıcı Verilerinin Çin’e aktarılması ve şeffaflık gereklilikleri ile ilgili olarak GDPR’yi ihlal etti” dedi. “Karar, toplam 530 milyon Avro tutarında idari para cezası ve TikTok’un işlemlerini 6 ay içinde uygun hale getirmesini gerektiren bir emir içermektedir.”
Karar, ayrıca, şirketin Çin’e veri aktarımlarını bu süre içinde askıya almasını gerektiriyor.
Ceza, Eylül 2021’de başlatılan ve şirketin Çin’e kişisel veri aktarımını ve üçüncü ülkelere veri aktarımına ilişkin katı veri koruma yasalarına uygunluğunu araştıran bir soruşturmanın sonucudur.
Kararı yorumlayan DPC Komiser Yardımcısı Graham Doyle, TikTok’un Çin’e kişisel veri aktarımlarının Genel Veri Koruma Yönetmeliği’nin (GDPR) 46(1) Maddesine aykırı olduğunu, çünkü AEA kullanıcılarının kişisel verilerine blok içinde sağlananlara eşdeğer gizlilik korumaları verildiğini doğrulayamadığını ve garanti edemediğini söyledi.
Doyle ayrıca, TikTok’un ülkedeki terörle mücadele ve casuslukla mücadele yasaları kapsamında Çinli yetkililerin potansiyel erişiminden kaynaklanan ve Avrupa Birliği standartlarından “maddi olarak” ayrıştığı tespit edilen endişeleri gidermediğini de ekledi.
Doyle, “TikTok, verilerin silindiğini DPC’ye bildirmiş olsa da, diğer AB Veri Koruma Otoriteleri ile istişare içinde, hangi ek düzenleyici önlemlerin alınabileceğini değerlendiriyoruz,” dedi.
TikTok’un Avrupa kamu politikası ve hükümet ilişkileri başkanı Christine Grahn ise kararın, Avrupalı kullanıcı verilerini korumayı amaçlayan bir veri güvenliği girişimi olan Proje Clover’ı dikkate almadığını ve kararın mevcut güvenlik önlemlerini yansıtmadığını söyledi.
Bu, DPC’nin ByteDance’a ait şirkete verdiği ikinci para cezası. Eylül 2023’te TikTok, çocukların verilerini işlemesiyle ilgili GDPR yasalarını ihlal ettiği için 345 milyon € (o zamanki kurla yaklaşık 368 milyon $) para cezasına çarptırılmıştı.
