Birleşik Krallık Hükümeti kısa süre önce Birleşik Krallık veri koruma yasalarında reform yapmayı planladığını açıkladı. | Prighter
Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
UK DP reform.jpg

Birleşik Krallık yeni Veri Koruma Reformu Yasa Tasarısı için teklifler yayınladı

Charlotte Mason

Birleşik Krallık yeni Veri Koruma Reformu Yasa Tasarısı için teklifler yayınladı

Birleşik Krallık Hükümeti geçtiğimiz günlerde “Veri” başlıklı istişare toplantısının ardından Birleşik Krallık veri koruma yasalarında reform planlarını açıkladı: Yeni Bir Yön” başlıklı istişare toplantısının ardından. Birleşik Krallık’ın mevcut yasaları (Birleşik Krallık GDPR, Gizlilik ve Elektronik İletişim Yönetmelikleri ve 2018 Veri Koruma Yasası) yürürlükten kaldırılmayacak ancak önemli değişikliklere tabi olacaktır. Bu tekliflerin arkasındaki mantık, Birleşik Krallık’ı “en cazip küresel pazar” haline getirme amacıdır. Hükümet bunun, diğer hususların yanı sıra, inovasyonu teşvik eden ve daha kuralcı uyum gerekliliklerinin bazılarını kaldırarak işletmeler için değerli zaman ve kaynakları serbest bırakan gelişmiş bir veri rejimi yoluyla başarılabileceğine inanmaktadır.

İşletmeler için uyum yükünün azaltılması (ve çerez afişinin sonu)

Gizlilik Yönetimi Programları: Hükümet, hesap verebilirlik ilkesinin bireyin haklarını korumanın temel bir parçası olduğunu düşünmekle birlikte, bunun bazı kuruluşlar için yarattığı “orantısız yükü” azaltmayı amaçlamaktadır. “Gizlilik Yönetimi Programları”, Birleşik Krallık GDPR’nin daha kuralcı unsurlarından bazılarının yerini alacaktır. Bunlar arasında bağımsız bir Veri Koruma Görevlisi atama zorunluluğunun kaldırılması ve bunun yerine kurum çapında bir uyum kültürünü yerleştirmekle görevli üst düzey bir sorumlu atama zorunluluğunun getirilmesi de yer alıyor. Risklerin belirlenmesi ve yönetilmesi gerekliliği devam ederken, mevcut haliyle DPIA’ların yürütülmesi gerekliliği ve Madde 30’daki İşleme Faaliyetleri Kayıtlarının (RoPA’lar) tutulması gerekliliği de ortadan kalkacaktır. İlginç bir şekilde, istişareye katılanların çoğu RoPA’ların kullanımının kaldırılması önerisine katılmamıştır ve bu nedenle bunlar muhtemelen bir süre daha veri işleme faaliyetlerini kanıtlamak için tercih edilen yöntem olarak kalacaktır.

İlgili kişierişim talepleri (DSAR’lar): Hükümet, bir DSAR’a yanıt vermeyi reddetme eşiğini ‘açıkça temelsiz veya aşırı’ yerine ‘can sıkıcı veya aşırı’ olarak değiştirmeye devam etmeyi planlıyor. Bu, testi Bilgi Edinme Özgürlüğü Yasası rejimiyle aynı çizgiye getirmektedir. Hükümet, bir talepte bulunan veri sahipleri tarafından ödenecek nominal bir ücreti yeniden getirme planlarından ve taleplerin ele alınması için bir maliyet tavanı getirme önerisinden vazgeçmiştir. Bu değişikliğin etkisi pratikte çok az olabilir, ancak bir talebin reddedilebileceği koşulları daraltabilir.

Çerezler: web sitelerinin artık Birleşik Krallık’ta ikamet edenlere çerez banner’ları göstermesi gerekmeyecek. Birçok web kullanıcısının memnuniyetle karşılayacağı bir değişiklik. Daha yakın bir gelecekte hükümet, çerezlerin (ve benzer teknolojilerin) az sayıda diğer müdahaleci olmayan amaçlar için açık rıza olmaksızın bir kullanıcının cihazına yerleştirilmesine izin verecektir. Bu değişiklikler sadece web siteleri için değil, aynı zamanda akıllı telefonlar, tabletler, akıllı TV’ler veya diğer bağlı cihazlardaki uygulamalar gibi bağlı teknolojiler için de geçerli olacaktır. Daha uzun vadede, opt-out rıza modeline geçilmesi amaçlanmaktadır. Bu, kullanıcıya çerez kullanımından nasıl vazgeçebileceği konusunda açık bilgi verilmesi ve bunu kolayca yapabilmesi koşuluyla, çerezlerin önce onay aranmaksızın ayarlanabileceği anlamına gelmektedir. Bunun çocuklara yönelik web siteleri için geçerli olma ihtimalinin düşük olduğunu unutmayın. Ayrıca, elektronik pazarlama (yani e-postalar ve metinler) için “soft opt-in” olarak adlandırılan yöntemin, hayır kurumları gibi ticari olmayan kuruluşların da bundan yararlanmasına izin verecek şekilde genişletilmesi planlanmaktadır. Belirli kuralların gevşetilmesi, Birleşik Krallık GDPR kapsamındaki azami cezaları (yani 17,5 milyon sterlin veya küresel yıllık cironun %4’ünden yüksek olanı) yansıtacak şekilde artan azami para cezası ile ciddi ihlaller için cezaların artırılmasıyla dengelenecektir.

İnovasyon için verinin gücünün ortaya çıkarılması

İstişarenin ana odak noktalarından biri, bilimsel atılımları teşvik etmek ve en yeni teknolojilerin sosyo-ekonomik faydalar sağlamasını mümkün kılmak için inovasyonun ve kişisel verilerin sorumlu bir şekilde kullanılmasının önemiydi. Bu alandaki teklifler, kişisel verilerin bu amaçlarla nasıl ve ne zaman kullanılabileceği konusunda kuruluşlar için daha fazla kesinlik yaratmak ve Birleşik Krallık yasalarının veri odaklı teknolojilere ayak uydurmasını sağlamak üzere tasarlanmıştır. Teklifler şunları içermektedir:

  • Birleşik Krallık GDPR’nin 159. maddesine dayanan bir “bilimsel araştırma” tanımının oluşturulması;
  • Geniş rızanın (veri toplama noktasında işlemenin amacını tam olarak belirlemek mümkün olmadığında bilimsel araştırmanın daha az spesifik bir rıza biçimi kullanmasına izin veren) kullanımına açıklık getirilmesi
  • Kontrolörün değiştiği durumlarda kişisel verilerin daha fazla işlenebilmesi ve asıl yasal dayanağın rıza olduğu durumlarda çok sınırlı durumlar dışında daha fazla işlem yapılamayacağının açıklığa kavuşturulması;
  • kontrolörün işleme için yasal dayanak olarak meşru men faate dayanması için dengeleme testinin uygulanmasına gerek olmayan sınırlı sayıda dikkatle tanımlanmış işleme faaliyeti üretmek;
  • Yapay zekave makine öğrenimi: önyargı azaltma ile ilgili olanlar da dahil olmak üzere yapay zeka ile ilgili çeşitli tedbirler önerilmektedir; ve
  • Verilerin ne zaman “anonimleştirilmiş” olarak kabul edilebileceğine ilişkin netlik.

Uluslararası veri transferleri

Uluslararası veri transferleri konusunda hükümet, “Birleşik Krallık’ın risk temelli karar alma ve sonuçlara odaklanarak yeterlilik değerlendirmelerine daha iyi yaklaşmasını ve Birleşik Krallık’ın veri akışlarıyla ilgili taahhütlerini desteklemeye devam etmesini sağlayan” reformları da ileriye götüreceğini söyledi. Bu, yeterlilik kararlarına risk temelli bir yaklaşımı ve Dışişleri Bakanı’nın denizaşırı veri aktarımı için yeni Birleşik Krallık mekanizmaları oluşturma veya Birleşik Krallık yasalarının gerektirdiği sonuçları elde etmeleri halinde Birleşik Krallık yasalarında diğer uluslararası veri aktarım mekanizmalarını tanıma yetkilerini içermektedir.

Daha iyi kamu hizmetleri sunmak

Bu alandaki reformlar, COVID-19 salgınından çıkarılan dersler üzerine inşa edilmek üzere tasarlanmıştır. Hükümet, tekliflerinin ele almayı amaçladığı birleşik ve birlikte çalışabilir bir veri ekosistemine yönelik mevcut zorlukları belirledi. Bunlar arasında kamu hizmeti sunan kamu dışı kuruluşlar, acil durumlarda sağlık verilerinin işlenmesi ve kamu güvenliği ve ulusal güvenlikle ilgili tedbirler gibi konular yer almaktadır.

Bilgi Komiserliği Ofisi’nde sarsıntı

ICO’da da bir reform yapılması planlanmaktadır, ancak tekliflerin bireyler veya kuruluşlar için doğrudan bir sonuç doğurması olası değildir. ICO’nun yapısındaki değişiklikler, nihai yetkinin tek bir Bilgi Komiseri’nde olmasının aksine, yürütmeye yön veren ve onu denetleyen ayrı bir bağımsız kuruldan yana. Ayrıca ICO tarafından üretilen yasal kılavuzun Hükümet tarafından ön onaya tabi tutulması önerilmiştir ki bu da ofisin bağımsızlığı konusunda soru işaretleri yaratmaktadır.

Bizim düşüncelerimiz…

Gizlilik yönetimi programına ilişkin önerilerin nasıl gelişeceğini ve aynı belge ve tedbirlerin, örneğin RoPA’ların, farklı bir isim altında kullanılıp kullanılmayacağını görmek için sabırsızlıkla bekliyoruz. Herkesin cevabını merak ettiği soru, Avrupa Komisyonu’nun bu değişiklikleri, Birleşik Krallık’la ilgili yeterlilik kararının gözden geçirilmesini isteyecek kadar AB mevzuatından önemli bir sapma olarak görüp görmeyeceğidir. Hükümet böyle bir etkinin olmayacağından emin görünse de bu güvenin yersiz olup olmadığını ancak zaman gösterecek.

Değişikliklerin hem AB hem de Birleşik Krallık GDPR’ye tabi olan şirketler tarafından nasıl ele alınacağı da henüz belli değil. Örneğin, AB GDPR kapsamında hala bir DPO’ya ihtiyaç duyan bir şirketin, Birleşik Krallık’taki uyumluluk ihtiyaçlarıyla ilgili olarak bir DPO kullanmayı bırakması ne kadar olasıdır? Şirketler hala AB GDPR’ye tabiyken uyum yükünün azaltılmasının amaçlanan etkisi sınırlı olabilir.

Son bir nokta, Birleşik Krallık’ta yerleşik olmayan ancak Birleşik Krallık GDPR’nin 3. Maddesi kapsamına giren şirketlerin bir Birleşik Krallık temsilcisi atama ihtiyacı değişmemiştir. Bunun tam tersi olarak, AB’de yerleşik olmayan Birleşik Krallık şirketlerinin de bir AB temsilcisi ataması gerekmektedir. Brexit sonrasında AB ve Birleşik Krallık GDPR kapsamında bir temsilcinin rolü hakkında daha fazla bilgi için buraya bakın.