Avrupa Veri Koruma Kurullarından Gizlilik Yasası Reformuna Eleştiri: Kişisel Veri Tanımı Daraltılıyor Mu?

Avrupa’daki veri koruma denetleyicileri, Avrupa Komisyonu’nun kişisel verinin tanımını daraltarak gizlilik yasasını reforme etme tekliflerinin, Avrupa Birliği vatandaşlarının gizlilik haklarını aşındırabileceği konusunda uyarıda bulundu. Avrupa Veri Koruma Kurulu (EDPB) ile birlikte ortak bir yanıt veren düzenleyiciler, önerilen değişikliklerin “önemli endişelere” yol açtığını ve bireylerin kişisel verilerinin korunma düzeyini olumsuz etkileyebileceğini belirtti.

Komisyon’un “Dijital Omnibus” Düzenlemesi Endişe Yaratıyor

Bu uyarı, Avrupa Komisyonu’nun işletmeler için uyumluluğu basitleştirmeyi ve AB’nin rekabet gücünü artırmayı amaçladığını söylediği “Dijital Omnibus” düzenlemesi aracılığıyla bir dizi AB veri koruma yasasını reforma etme yönündeki ilerlemeleri sırasında geldi. EDPB ve ulusal veri koruma denetleyicileri, bazı önerilen önlemlerin bireylerin gizlilik haklarına zarar verebileceğini, yasal belirsizlik yaratabileceğini ve veri koruma yasasının uygulanmasını zorlaştırabileceğini belirten ortak bir görüş sundu. Tartışmalı teklifler arasında, kuruluşların kişisel verileri bireyleri tanımlamayan bir şekilde işlemesi durumunda bunları kişisel olmayan veri olarak değerlendirmesine olanak tanıyarak gizlilik haklarını zayıflatacak kişisel veri tanımındaki değişiklikler yer alıyor.

Teklifler Avrupa Hukukunun Ötesine Geçiyor

Teklifler, uyumluluğu basitleştirme yolu olarak birçok veri koruma uzmanı tarafından memnuniyetle karşılanmış olsa da, düzenleyiciler bir uyarı çanını çaldı. Yasama organlarını önerilen değişiklikleri benimsememeleri konusunda “şiddetle çağrıda bulunuyorlar”, çünkü bu değişikliklerin “hedefli veya teknik bir değişikliğin çok ötesine geçtiğini” ve kişisel veri kavramını “önemli ölçüde daraltarak” AB içtihat hukukunun çok ötesine geçtiğini savunuyorlar. Düzenleyiciler ayrıca, yapay zeka veya yazılımlar tarafından otomatik karar alma süreçlerine tabi olmama hakkını sulandırabilecek teklifler hakkında da endişelerini dile getiriyorlar; bu durum, otomatik karar almanın mümkün olacağı durumlar için “kapsamlı bir liste” sunulmasıyla yapılıyor. Avrupa Komisyonu’na, takma adlı verilerin artık kişisel veri olarak sınıflandırılmaması gerekip gerekmediğine karar verme konusunda yeni yetkiler verecek bir başka teklif de açıklama çağrılarını tetikledi. Düzenleyiciler, kişilerin ‘veri koruma’ endişeleriyle motive edilen durumlarda konu erişim talepleri yapma hakkını kısıtlamaya yönelik tekliflerin AB hukuku ile uyumlu olmadığını belirtiyor. Uygulanması halinde, bu teklifin gazeteciler, akademisyenler veya politika yapıcılar tarafından gazetecilik veya akademik araştırmalar gibi veri koruma dışı amaçlarla yapılan erişim taleplerini dışlaması muhtemeldir.

Özel Veri Kategorilerinin Kullanımı ve Veri İhlali Bildirimleri

Ayrıca, komisyonun, siyasi görüşler, dini inançlar, sendika üyeliği, sağlık ve cinsel yönelim gibi özel veri kategorilerini içeren verilerin, yapay zeka sistemlerimizi eğitmek için “tesadüfi” ve “kalıntı” bir şekilde kullanıldığında, kuruluşların bu verileri kullanmasına izin verecek tekliflerin daha hassas hale getirilmesi çağrısında bulundular. Öte yandan, EDPB ve veri koruma denetleyicileri, şirketler için veri ihlali bildirimini daha az zahmetli hale getirme planları dahil olmak üzere AB’nin birçok teklifini destekliyor. Avrupa Komisyonu, şirketlerin bildirimde bulunması gereken risk eşiğini yükseltmeyi ve bildirimde bulunma süresini 72 saatten 96 saate uzatmayı öneriyor. “Bu değişikliğin veri öznelerinin korunma düzeyini önemli ölçüde etkilemesi beklenmiyor, ancak kontrolörler üzerindeki idari yükü önemli ölçüde azaltacaktır, çünkü yalnızca veri öznelerinin hak ve özgürlükleri için yüksek risk oluşturması muhtemel olan veri ihlallerini bildirmeleri gerekecektir.” şeklinde açıklama yapıldı.

Çerez İzinleri ve PRADA Endişeleri

Ayrıca, “izin yorgunluğunu” ve “çerez banner’larının çoğalmasını” önlemek için kişilerin çerezlere onay vermeleri için alternatif yollar sunma teklifi, örneğin belirli bir bilgisayarda bir kez çerezlere onay verme gibi, de memnuniyetle karşılandı. Ancak, düzenleyiciler kişisel veri tanımındaki önerilen değişikliklerle ilgili endişelerini sürdürüyor. Avrupa Veri Koruma Denetçisi Wojciech Wiewiórowski, “Bu değişiklikler Mahkeme’nin içtihat hukuku ile uyumlu değildir ve kişisel veri kavramını önemli ölçüde daraltacaktır” dedi. Avrupa Veri Koruma Kurulu Başkanı Anu Talus ise, AB Veri Koruma Yasası’ndaki her türlü değişikliğin yasal kesinlik sağlaması ve bireysel hak ve özgürlüklerin yüksek düzeyde korunmasını sürdürmesi gerektiğini söyledi. “Eş-yasama organlarını kişisel veri tanımına ilişkin önerilen değişiklikleri benimsememeleri konusunda şiddetle çağrıda bulunuyoruz. Bu değişiklikler Mahkeme’nin içtihat hukuku ile uyumlu değildir ve kişisel veri kavramını önemli ölçüde daraltacaktır” diye ekledi. 90.000 üyeli profesyonel bir dernek olan IAPP’nin Avrupa yöneticisi Isabelle Roccia, gizlilik ve veri koruma profesyonellerinin AB’nin tekliflerinden yana olduğunu belirtti. “Komisyon’un kişisel veri tanımının kapsamını daraltma teklifi, birçok uygulayıcı tarafından GDPR yorumunda pragmatizm işareti olarak memnuniyetle karşılandı. Kabul edilirse, bu, diğerlerinin yanı sıra sözleşme yükümlülükleri ve veri transfer kuralları arasındaki birçok sürtüşme noktasını hafifletmede önemli bir etkiye sahip olacaktır” dedi. Roccia, “Bu ortak görüşle, EDPS ve EDPB, son on yılda kurdukları muhafazakar ve veri özneleri odaklı yaklaşımı korumak istediklerini gösteriyorlar” diye ekledi.

İşletmeler ve Büyük Teknoloji Şirketleri Açısından Etkiler

İş liderlerinin de, geliştiricilerin yapay zeka modellerini eğitmek için kişisel verileri işlemek üzere “meşru menfaat” kullanabilecekleri yasal dayanaklar etrafında yasal kesinliği memnuniyetle karşılayacaklarını söyledi. Öte yandan, kampanya grubu noyb, “Dijital Omnibus”un, basitleştirme önlemleri olarak gizlenen GDPR ve e-Gizlilik Yönergesi’nde kapsamlı değişiklikler önerdiğini iddia etti. Grubun iddiasına göre, bu değişiklikler, veri koruma yasalarına uymak için “anlamsız” evrak işlerini tamamlamak zorunda kalan AB işletmelerine yardımcı olmayacak, ancak esas olarak büyük ABD’li teknoloji şirketlerine fayda sağlayacaktır. Gizlilik avukatı ve noyb’un fahri başkanı Max Schrems, “bağımsız otoriteler temel değişiklikleri oldukları gibi ortaya koydular: ne ‘teknik değişiklik’ ne de ‘basitleştirme’, AB sakinleri için veri koruma hakkının sınırlanması” dedi.

Siz Ne Düşünüyorsunuz?

Avrupa Birliği’ndeki veri koruma düzenlemelerindeki bu potansiyel değişiklikler hakkında ne düşünüyorsunuz? Kişisel veri tanımının daraltılması, hem bireylerin gizlilik haklarını hem de teknoloji şirketlerinin faaliyetlerini nasıl etkiler? Fikirlerinizi bizimle paylaşın ve bu önemli tartışmaya katkıda bulunun. Daha fazla güncel ve derinlemesine teknoloji haberleri ve analizleri için sizleri teknobirader.com adresini ziyaret etmeye davet ediyoruz.

Anahtar Kelimeler: Kişisel veri tanımı, Avrupa Komisyonu, veri koruma, gizlilik hakları, GDPR, Dijital Omnibus, EDPB, veri güvenliği.