Bu dört harf Türk girişimlerinin parolası olmalı

Son dönemlerde yabancı web sitelerini ziyaret ettiğinizde karşınıza kullanıcı sözleşmelerinin güncellendiğini belirten bildirimler çıkıyor mu? “Çerez” kullanımı uyarılarıyla karşılaşıyor musunuz? Veritabanında bulunduğunuz firmalardan size gizlilik sözleşmelerinin yenilendiğini bildiren e-postalar yağıyor mu?

Yanıtınız muhtemelen “evet, son dönemlerde çok arttı” olacaktır. Sebebini bilmeyen ve endişe duyanları hemen rahatlatalım. Bu kişisel mahremiyet seferberliğinin sebebi, 25 Mayıs’ta Avrupa Birliği çapında yürürlüğe giren bir düzenleme. AB Genel Veri Koruma Yönetmeliği, yani kısa adıyla GDPR. GDPR, Avrupa Birliği vatandaşlarına kişisel verilerinin kullanımıyla ilgili daha fazla kontrol, seçim ve hak tanımayı hedefleyen uyumluluk standartlarını belirliyor.

GDPR, temelde bir AB düzenlemesi olsa da AB vatandaşlarının verilerini elinde bulunduran tüm işletmeler için bağlayıcı olacak ve 1998 yılında yürürlüğe giren Veri Koruma Yasasının yerini alacak. Yönetmelik yükümlülüklerine uymayan işletmeler 20 milyon avroya ya da şirketin yıllık cirosunun %4’üne kadar varan cezaları ödemek durumunda kalacaklar.

Düzenlemenin gerekçelerinden en öne çıkansa, Facebook’un kurucusu ve CEO’su Mark Zuckerberg’i ABD Senatosu’nun önünde ifade vermeye zorlayan Cambridge Analytica skandalı. Bu skandal, Facebook’un kullanıcı verilerinin Cambridge Analytica adlı analiz şirketi tarafından özellikle siyasal seçim kampanyalarında manipülasyon amaçlı kullanılmasının anlaşılmasıyla açığa çıkmıştı.

Cambridge Analytica skandalı, yalnızca Facebook hisselerinin ciddi bir değer kaybına uğraması ve şirketin CEO’sunun görevden alınmasıyla sonuçlanmadı, internet dünyasında da temel tartışmalara neden oldu. Skandal, Amazon, Google, Twitter ve Facebook gibi şirketlerin veri mahremiyetine düşündüğümüz kadar hassas yaklaşmadığına yönelik şüpheler uyandırdı.

Peki GDPR neler getirecek? GDPR tamamen kullanıcıları merkezine alan bir yapıya sahip. GDPR, verileri ellerinde bulunduranları “kontrol sahipleri” ve “işleyenler” olarak ikiye ayırıyor. Bir verinin kontrolörü, kişisel verinin neden ve nasıl işleneceğini açık bir dille açıklamak zorunda. Veri işleyen ise veriyi gerçek anlamda işleyen tarafı oluşturuyor. Kâr odağı gütsün ya da gütmesin, tüm kurumlar veri kontrolörü sınıfına girebilir. Verileri işleyense BT firmaları olabilir. 

Uygulamada bir şirket ya da kurum, kullanıcısından ya da müşterisinden kişisel bilgilerini alırken net bir biçimde izin isteyecek. Kullanıcı, bilgilerini bir kez verdikten sonra dilediği zaman, hiçbir zorlukla karşılaşmadan bu iznini geri alabilecek. Şirketler sunulan hizmet ya da ürünle ilişkisi bulunmayan kişisel verileri talep edemeyecek.

GDPR’nin şirketlere yüklediği bir diğer sorumluluk da sistemlerine yapılabilecek her türlü sızmayı en geç 72 saat içerisinde kullanıcılarına bildirme zorunluluğu. Yani geçmişte olduğu gibi sistemindeki verileri çalınan bir şirketin bu bilgiyi kamuoyuna açıklamak için 72 saatlik bir süresi olacak.

GDPR’ye uymak için bir AB şirketi olmanız gerekmiyor. AB üyesi ülkelerin vatandaşlarına bir ürün ya da hizmet satıyorsanız GDPR’ye uymakla yükümlüsünüz. Üyesi olmadığımız bir organizasyonun hukuki düzenlemesine uyum sağlamak zorunda olmak ilk bakışta adil görünmeyebilir fakat ben GDPR’nin hizmet kalitesinin standartlaşması açısından tüm dünyaya faydası olacağını düşünüyorum.

İhracatımızın çok önemli bir kısmını AB ülkelerine yapıyoruz. Girişimcilikle gelişen yeni ekonomi ortamımızın büyüme ve kârlılık stratejilerinin önemli bir kısmını AB ülkelerine doğru genişlemek oluşturuyor. Özellikle AB ülkelerine satış yapan e-ticaret girişimlerimiz, ülkemizde de aynı hassasiyetle değerlendirilmesi gerektiğine inandığım kullanıcı mahremiyeti konusunda ülke ekonomimizin bayraktarlığını üstlenebilir. Bu standarda uymayı zorunluluk olarak değil, hizmet kalitemizi yükseltmek olarak görürsek GDPR’den en çok faydayı sağlayan ülkenin Türkiye olmasının önünde hiçbir engel kalmaz.