Mart 31, 2023

PoderyGloria

Podery Gloria'da Türkiye'den ve dünyadan siyaset, iş dünyası

Yeni kısıtlama: kişisel verilerin AB Dijital Piyasalar Yasası ve Türk veri koruma mevzuatı kapsamında birleştirilmesi

(i) DMA: “Dijital Bekçiler” için Yeni Kurallar

Avrupa Birliği (“AB”) Dijital Pazarlar (“AB”) Yasası 1 Kasım 2022’de yürürlüğe girdi. DMA kuralları, “bekçi” olan belirli önceden tanımlanmış temel platform hizmet sağlayıcıları için geçerlidir. Hükümlerin çoğu, bekçi atama prosedürünün başladığı 2 Mayıs 2023 tarihinden itibaren geçerli olacaktır. Buna göre bekçi olarak atanan hizmet sağlayıcılar, bekçi olarak atandıktan sonraki 6 ay içinde Avrupa Komisyonu’na (“AK”) bildirimde bulunmak ve bir dizi yükümlülük ve yasağa uymak zorunda kalacak.

Gatekeeper tanımını karşılamak için, bir şirketin bağımsız çevrimiçi aracılık hizmetleri, çevrimiçi arama motorları, çevrimiçi sosyal ağ hizmetleri, video paylaşım platformu hizmetleri ve kişisel iletişim hizmetleri olarak tanımlanan bir “temel platform hizmeti” (CPS) sağlaması gerekir. sayısı, işletim sistemleri, bulut bilgi işlem hizmetleri, web tarayıcıları, sanal asistanlar veya çevrimiçi reklamcılık hizmetleri. CPS sunan bir şirket, belirli niteliksel ve niceliksel eşikleri karşılıyorsa bekçi olarak kabul edilebilir.

DMA birçok kişiyi empoze etmeyi hayal ediyor önce ne var Kapı bekçilerinin iki ana amacı olan yükümlülükleri: (BEN) Kapı bekçilerinin faaliyet gösterdiği dijital pazar yerlerinin çekişmeli ve (Saniye) AB dijital pazarlarında oyuncular için adalet ve fırsat eşitliği sağlamak.

Bu bağlamda, DMA’nın 5. Maddesi, “son kullanıcıların kişisel verilerinin toplanması” ile ilgili yükümlülükler de dahil olmak üzere doğrudan bekçiler için geçerli olan bir dizi gereklilik getirmektedir. Buna göre, DMA’nın Bölüm 5(2)-b’si, ağ geçidi bekçilerinin, kullanıcının açık rızası olmadıkça, CPS tarafından elde edilen “kişisel verileri başka herhangi bir 1P veya 3P hizmeti tarafından elde edilen verilerle birleştirmekten kaçınmasını” gerektirmektedir. Bununla birlikte, şu anda Türkiye’de veri toplamayı yasaklayan özel bir kural bulunmadığından, bu tür veri toplama faaliyetleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK”) düzenlenen genel kurallar geçerli olabilir.

(ii) DMA kapsamında kişisel verilerin birleştirilmesiyle ilgili sınırlama

DMA’nın 5(2)-b Bölümüne göre”Gatekeeper, ilgili Birincil Platform Hizmetindeki Kişisel Verileri, Son Kullanıcıya belirli bir seçenek sunulmadığı sürece, diğer herhangi bir Temel Platform Hizmetinden veya Gatekeeper tarafından sağlanan diğer herhangi bir hizmetten elde edilen Kişisel Verilerle veya üçüncü kişi hizmetlerinden Kişisel Verilerle birleştirmeyecektir. (AB) 2016/679 Sayılı Tüzüğün 4. maddesinin (11) maddesi ve 7. maddesi anlamında izin vermiştir. Bu nedenle, Gatekeeper, çeşitli Hizmetlerindeki Tüketici Verilerini, ilgili Tüketicinin açık rızası olmadan otomatik olarak tek bir profilde birleştiremez.Kişisel Verilerin birleşimi, Gatekeeper, CPS’den ve başka bir ilgili hizmetten Kişisel Verileri oluşturmak için bir Kullanıcı Profiline eklediğinde önemli hale gelebilir. Bir Kullanıcı Profili. hizmetlerini daha iyi kişiselleştirmek amacıyla bu kullanıcıya ilişkin yeni içgörüler. onay için “çerez başlığına” benzer şekilde tüketici taleplerinin karşılanmasını gerektirmenin yanı sıra.

READ  Rusya-Ukrayna ihtilafı Türkiye'nin turizm patlamasına gölge düşürüyor - Xinhua

Resital 36 ayrıca, bu taahhüdün, kapı bekçilerinin CPS’nin temyiz edilebilirliğini haksız yere baltaladığına dair bir endişeyi yansıttığını da belirtmektedir. Ayrıca, Madde 5(2), bekçilerin CPS veya son kullanıcının onayına bağlı belirli işlevleri kullanılmadan, daha az kişiselleştirilmiş ancak eşdeğer bir alternatif sunarak son kullanıcılara söz konusu veri işlemeye özgürce katılma seçeneği vermesini gerektirdiğini açıklığa kavuşturur.

Buna göre, hükmün lafzından, veri toplama kısıtlaması kapsamında rıza yükümlülüğünün uygulanabilmesi için; (BEN) AB Genel Veri Koruma Yönetmeliği (2016/679, “GDPR”) anlamında bir son kullanıcının “kişisel verileri” (Saniye) Her iki hizmet de bir bütün olarak tek bir kapı bekçisi tarafından kontrol edilse bile iki farklı hizmet (biri CPS olmalıdır) arasındaki etkileşim ve (Üçüncü) Madde 5(2)’de herhangi bir istisna öngörülmemiştir. İlk olarak DMA, kişisel verilerin tanımına ilişkin Genel Veri Koruma Yönetmeliği’ne (GDPR) atıfta bulunur (GDPR’nin 4. Maddesinin (1) bendinde tanımlandığı gibi). Dolayısıyla kişisel veri tanımı dışında kalan veriler (anonimleştirilmiş kişisel veriler gibi) bu kısıtlama kapsamında olmayacaktır. İkincisi, Gatekeeper’ın bir kullanıcı profiline CPS ve diğer ilgili hizmetlerden kişisel veriler eklemesi kısıtlandığından, ilgili kısıtlamanın, her iki hizmet de kontrol edilse bile belirli veri kümelerine “sahip olan” hizmete özgü varlıklar kavramını benimsediği sonucu çıkarılabilir. Bir bütün olarak bir bekçi tarafından.

Son olarak, bir istisna olarak, Madde 5(2), GDPR Madde 6(1)(c), (d) veya (e) uyarınca veri işlemeye yönelik bir temel varsa, verilerin rıza olmaksızın kapsamda işlenmesine izin verir.

DMA Madde 5 (2) ayrıca GDPR’nin izin standardına atıfta bulunur ve Son Kullanıcının bu bağlamda alması gereken onayı belirtir. DMA’nın Resital 37’sine göre, (BEN) Rıza talep edildiğinde Gatekeeper, son kullanıcının rızayı açık, net ve doğrudan bir şekilde vermesi, değiştirmesi veya geri çekmesi için proaktif olarak kullanımı kolay bir çözüm sunacaktır, (Saniye) Rıza, GDPR tarafından tanımlandığı şekilde, son kullanıcı sözleşmesinin açık, spesifik, bilgilendirilmiş ve açık bir göstergesini oluşturan açık bir olumlu eylem veya beyan yoluyla verilmelidir, (Üçüncü) Son kullanıcıya, yalnızca uygun olduğu durumlarda, onay vermemenin daha az kişiselleştirilmiş bir teklifle sonuçlanabileceği, ancak SUH’un değişmeden kalacağı konusunda bilgi verilmelidir. Böylece dinamik mekanoanaliz (DMA), bekçilerin onay kriterlerini nasıl karşılayabileceğini belirledi. DMA’nın 5(2) Maddesi, bir son kullanıcının veri toplama amacıyla rızasını reddetmesi veya geri çekmesi durumunda, bekçinin aynı amaçla rıza talebini bir yıllık süre içinde bir defadan fazla tekrarlayamayacağını belirtir.

READ  Rus ham petrolüne yönelik yaptırımların sıkılaştırılmasına rağmen düşük petrol fiyatları

(3) Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilerin İşlenmesine İlişkin Kısıtlamalar

Şu anda, Veri Denetleyicisinin kişisel verilerin birleştirilmesiyle ilgili yükümlülükleri de dahil olmak üzere, VPL ile bağlantılı olarak bu tür sınırlamaları değerlendirirken, kişisel verilerin birleştirilmesini açıkça yasaklayan özel bir kural yoktur. Bu nedenle, kişisel verilerin işlenmesine ve açık rızanın alınmasına ilişkin genel kurallar, kişisel verilerin birleştirilmesine ilişkin faaliyetler için geçerli olabilecektir.

Kişisel Gelişim Politikası Kanunu’nun 3. maddesine göre kişisel veriler “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tüm bilgilerKVKK’nın 3. maddesi de veri işlemeyi şu şekilde tanımlamaktadır:Tamamen veya kısmen otomatik yollarla veya işlemin herhangi bir veri kayıt sisteminin parçası olması koşuluyla, olmayan yollarla toplama, kaydetme, saklama, saklama, değiştirme, yeniden düzenleme, ifşa etme, aktarma, uygun hale getirme, geri alınabilir hale getirme, sınıflandırma veya kullanımını engelleme -otomatik. Ayrıca, KVKK’nın 3. maddesinin gerekçesine göre “işleme” kavramı, verinin ilk elde edildiği andan itibaren veri üzerinde yapılan her türlü işlem olarak geniş bir şekilde tanımlanmakta olup, halihazırda veriye ilişkin belirli bir kural bulunmamaktadır. Bu tür işlemler, DPL kapsamında veri işlemeye ilişkin kurallara tabi olabilir.

KVKK’nın 5. maddesi uyarınca, aynı maddede düzenlenen veri işleme şartlarından biri geçerli olmadıkça, ilgili kişinin açık rızası olmaksızın kişisel veriler işlenemez. Ancak uygulamada açık rıza, diğer işleme şartları ile eşdeğer kabul edilmekte ve işleme faaliyeti için başka bir işleme şartı söz konusu ise açık rıza alınması hukuka aykırıdır.

DPL, “açık rızayı”, bilgilendirilmiş ve özgürce ifade edilen belirli bir konuya verilen rıza olarak tanımlar. Açık rıza, GDPR’ye benzer şekilde herhangi bir şekil şartına tabi olmamakla birlikte, örneğin, serbestçe verilmesi, iletilmesi, belirli bir amaç için verilmesi, açık ve pozitif bir pozitif ayrımcılık yoluyla verilmesi gibi koşullara sahiptir ve dili açık ve net ve açıkça görünür olacak şekilde kullanın. VPL, rızanın geri alınmasından özel olarak bahsetmese de, açık rıza veri sahibine sıkı sıkıya bağlı bir hak olarak kabul edilir ve bu nedenle geri alınabilir. Bu anlamda, veri sahibi açık rızasını her zaman geri alabilir, ancak geri çekme, veri sahibinin beyanının veri sorumlusuna ulaştığı andan itibaren gelecekteki sonuçlarını doğurur.

READ  Borçlanma maliyetleri yükselirken Türkiye'de konut satışları% 38 düştü

AB ile DPL arasındaki veri toplama kuralları karşılaştırıldığında, öncelikle bugün itibariyle VPL kapsamında veri toplama konusunda herhangi bir kısıtlama bulunmamaktadır. Bu nedenle, şu anda, veri toplamanın Kalkınma Politikası Yasasında belirtilen yasal dayanaklardan ve veri işleme koşullarından birine dahil edilebilmesi durumunda, bekçilerin son kullanıcı onayını almaları gerekmeyebilir. Ayrıca, şu anda Türk yasalarına göre, veri koruma yükümlülükleriyle ilgili olarak doğrudan bekçiler veya CPS için geçerli olan özel kurallar bulunmamaktadır. Bu nedenle, Kalkınma Politikası Kanunu’nda tanımlanan veri sorumlusu, veri işleyen veya veri sahibi gibi genel terimler, Türkiye’deki bekçiler veya diğer hizmet sağlayıcılar için geçerli olmaya devam edebilir. Kişisel veri ve açık rıza tanımları GDPR’de VPL’ye göre daha ayrıntılı olmasına rağmen, bu tanımlar hala birbirine paraleldir. Bu nedenle, Türkiye’de kişisel verilerin birleştirilme yasağına ilişkin yeni değişiklik getirilecekse, “kişisel veri” ve “açık rıza” anlayışı DMA’ya benzer olabilir.

(4) İdari cezalar

DMA’nın 30. ve 31. Maddeleri uyarınca, DMA kapsamındaki kısıtlamalara uyulmaması durumunda, Avrupa Komisyonu dünya çapındaki yıllık brüt cirosunun %10’una veya aşağıdaki durumlarda %20’sine kadar bir bekçi para cezası verebilir. tekrarlanan ihlaller ve şirketin dünya çapındaki toplam günlük satışlarının %5’ine kadar periyodik para cezası. Sistemik uyumsuzluk durumunda, Avrupa Komisyonu, bekçinin bir işletmeyi veya bunun parçalarını satmasını zorunlu kılmak veya bekçinin dijital sektörde veya hizmetlerde hizmet sağlayan herhangi bir şirketi satın almasını engellemek gibi yapısal olabilecek ek çözümler getirebilir. uyumsuzluk sistematiğinden etkilenen verilerin toplanmasını sağlayan.

Veri güvenliğine ilişkin yükümlülüklere uyulmaması halinde (örneğin; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, c) kişisel verilerin korunması), veri sorumlusu 89.571.04 TL’den 5.971.990 TL’ye kadar idari para cezası ödeyecektir.

(V. Sonuç

Bugün itibariyle Türkiye’de kişisel verilerin işlenmesine ilişkin herhangi bir kısıtlama bulunmamakla birlikte, yakın gelecekte bu tür bir kısıtlamaya ilişkin olarak DMA hükümleri doğrultusunda yeni bir yasal düzenleme yapılması beklenmektedir.

(İlk olarak 26 Ocak 2023’te Madq tarafından yayınlandı)