Avrupa Birliği'nin veri koruma düzenlemesi interneti şekillendirecek

Kişisel veriler koruma altında
Reklam endüstrisini değiştirebilir
Veri paylaşımına kısıtlama
Yorumlar

Avrupa Birliği, 2016 yılında şirketlerin kullanıcılara ait kişisel verileri nasıl yönetebileceğine ve paylaşabileceğine ilişkin bir düzenleme hazırlamak için kolları sıvamış ve aynı yıl içinde Genel Veri Koruma Tüzüğü(GDPR) onaylanmıştı. Bugüne kadar Google'dan Slack'e kadar büyük küçük pek çok internet şirketi operasyonlarını bu tüzüğe uygun hale getirmek için birtakım değişikliklere gitmişti. Bu değişikliklerin çoğu şimdiye kadar şirketlerin hukuk departmanları için sorun oluşturuyordu ancak tüzüğe uymak için verilen son tarih yaklaştıkça şirketlerin yaptığı değişiklikler son kullanıcı tarafından da görülmeye başlandı.

Kişisel veriler koruma altında

Şirketlerin, operasyonlarını GDPR'ye uygun hale getirmek için ne yaptıklarına geçmeden önce GDPR'nin amaç ve kapsamına kısaca göz atmakta fayda var. Gerçek kişilerin ''kişisel verilerinin korunması hakkını'' korumak için kaleme alınan GDPR, teorik olarak sadece Avrupa Birliği'ne üye ülkelerdeki bireylere ait verilerin güvende tutulmasını hedefliyor. GDPR aslında Avrupa Birliği'nde faaliyet gösteren her şirketi kapsamına alıyor ancak veri güvenliği denildiğinde akla ilk olarak internet devleri geldiği için tüzük, internet üzerinden verileri kontrol eden şirketlere yoğunlaşmış durumda.

Ayrıca tüzük, sadece AB bölgesindeki kullanıcıların haklarını korumak için geliştirilse de internetin küresel yapısından dolayı etkilerini tüm dünya üzerinde hissettiriyor. Operasyonlarını sadece Avrupa'ya özgü olarak değiştirmekten sakınan şirketler dünyanın dört bir yanındaki kullanıcıları da etkileyecek değişikliklere gidiyor.

Tabi Avrupa Birliği, GDPR'den önce de Gizlilik Kalkanı ve Veri Koruma Direktifi gibi verilerin korunmasına yönelik yasal düzenlemelere sahipti ancak bu düzenlemelerin hiçbiri şirketleri GDPR kadar baskı altında bırakmamıştı. GDPR, bu etkin gücünü şirketlere dayattığı veri toplama şartlarından ve cezalandırma mekanizmasından alıyor. Şirketlerin kişisel verileri toplaması için her zaman açık bir şekilde kullanıcının rızasını almak zorunda olduğunu vurgulayan düzenleme ayrıca hangi verilerin toplanacağı konusunda da açık bir bilgilendirme yapılmasını istiyor.

Reklam endüstrisini değiştirebilir

Öte yandan şirketler GDPR uyarınca, kullanıcıların rızalarını diledikleri an geri alabileceklerini de belirtmek zorunda. Bu basit görünen düzenleme aslında günlük hayatta karşılaştığımız en küçük veri ihlallerini bile zora sokabilir. Örneğin kullanıcının tarayıcı geçmişine göre reklam gösterme faaliyeti bu düzenleme ile değişebilir ve çevrimiçi reklam endüstrisi kullanıcılara reklam göstermek için yeni araçlar geliştirmek zorunda kalabilir.

Bu kurallara uymamanın cezası da önceki düzenlemelere kıyasla oldukça ağır. Avrupa Birliği 25 Mayıs tarihinden itibaren GDPR'ye uymayan şirketlere; şirketin küresel cirosunun yüzde 4'ü kadar veya 200 milyon dolara varan ceza verebilecek. Birlik, cezayı verirken hangisinin şirket için daha ağır olduğuna kanaat getirecek. Facebook ve Google gibi internet devleri için cironun yüzde 4'ü oranında bir ceza oldukça tehditkar görünürken daha küçük çaplı bir şirket için 200 milyon dolarlık ceza şirketin iflasına bile yol açabilir. Böylece GDPR ile sadece büyük şirketlerin değil akıllı telefonlar için uygulama geliştiren şirketler gibi küçük şirketlerin de kontrol altında tutulması amaçlanıyor.

Yeni düzenleme uyarınca şirketler verilerin toplanması için kullanıcılardan sık sık izin istemek zorunda kalacak. Bu da ilk olarak ''hizmet kullanım şartlarının'' güncelleneceği anlamına geliyor. Tabi internet devleri, kullanıcılara daha fazla ''onay'' veya ''anladım, kabul ediyorum'' kutucuğu sunarak bu düzenlemeyi aşabilir ancak düzenleme ayrıca ekstra bir şeffaflık getiriyor. Kullanıcıların kutucuğa tıklamadan önce, onay vermesi halinde hangi verilerinin şirket tarafından ele alınacağı açık bir şekilde görmesi gerekiyor. Bu nedenle şirketler ek onay kutucuklarının yanında halihazırda kullanıcıların çoğu kez okumayı pas geçtiği açıklamaları bu kez çok daha detaylı bir şekilde paylaşacak ve kullanıcılara iki kez düşünme hakkı tanınmış olacak.

Veri paylaşımına kısıtlama

Buna ek olarak toplanılan verilerin yönetimi ve paylaşılması meselesi GDPR'de çok daha ayrıntılı düzenlenmiş durumda. Günümüzde, bir web sitesi bile sadece kullanıcının tıkladığı sayfalara ve tarayıcı geçmişine bakarak kullanıcıya özel onlarca reklamı ona sunabiliyor. GDPR'nin uygulanmasıyla birlikte bu durum eskisi kadar kolay olmayacak. Şirketler, kullanıcı verileriyle ne yaptıklarını verileri kimlerle paylaştıklarını açıkça hem kullanıcılara hem de yetkili kurumlara bildirmek zorunda kalacak. Sonuç olarak reklam iş birliklerinin ve kullanıcı sözleşmelerinin tamamen yeniden kaleme alınması ve daha az sayıda(sadece sözleşmede yer alan reklamverenlere ait) reklamın kullanıcılara gösterilmesi gerekecek.

İnternet dünyasında şu an için kullanıcı verilerinin toplanması ve bu verilerin üçüncü şirketlerle paylaşılması konusunda büyük bir rahatlık var. Bu rahatlığın politik sonuçları ise NSA ve Cambridge Analytica örnekleriyle görülebiliyor. Kişilerin, pek de önem vermediği basit veriler bireylerin nelerden hoşlanıp hoşlanmadığını tespit etmek ve onlara özgü reklamlarla düşüncelerini manipüle etmek için kullanılabiliyor. Avrupa Birliği ise GDPR ile herhangi bir ücret ödenmeden elde edilen bir ticaret ögesi olan verileri korumaya çalışacak.