Avrupa Birliği kurumları, gerçekleştirdikleri oylamayla, sınır ötesi gizlilik ihlallerine yönelik iş birliğini kolaylaştıracak güncellenmiş veri koruma kurallarını onayladı.
Genel Veri Koruma Yönetmeliği kapsamındaki soruşturmaların artık 15 ay içinde tamamlanması gerekiyor.
Avrupa Komisyonu, 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü’ndeki (GDPR) eksiklikleri gidermek amacıyla 2023’te yeni bir reform önerisi sunmuştu. Bu reform, karar alma süreçlerini hızlandırmayı ve usul kurallarını uyumlu hale getirmeyi hedefliyor.
Mevcut GDPR kuralları kapsamında, şirketin merkezi başka bir AB ülkesindeyse, ulusal denetleyici kurumlar dosyayı o ülkenin veri koruma otoritesine devretmek zorunda kalıyor. Ancak bu sınır ötesi sistem, yıllar sürebilen davalar nedeniyle gizlilik savunucuları tarafından uzun süredir eleştiriliyordu.
Komisyon, Avrupa Parlamentosu ve üye devletler arasında yapılan üçlü müzakerelerde, şikayetlerin daha hızlı çözülmesini sağlayacak bir mutabakat mekanizması üzerinde uzlaşıldı. Yeni kurallar ayrıca, soruşturmaların 15 ay içinde tamamlanmasını öngörüyor. Özellikle karmaşık durumlarda bu süre 12 ay daha uzatılabilecek.
Polonya Dijital İşler Bakanı Krzysztof Gawkowski, anlaşmayı ‘veri koruma otoriteleri arasındaki iş birliğini geliştirmeye yönelik büyük bir adım’ olarak nitelendirdi.
Tüketici hakları grubu BEUC’un Genel Direktörü Agustín Reyna ise “Bu anlaşma, GDPR’nin uygulanmasındaki aksaklıklardan dolayı hayal kırıklığına uğramış bizler için bir ilerleme anlamına geliyor. Çok uluslu şirketlerin gücü ve GDPR’nin son yıllarda salyangoz hızındaki uygulanması göz önünde bulundurulduğunda bu oldukça önemli.” ifadelerini kullandı.
Ancak gizlilik savunucusu ve hukukçu Max Schrems (NOYB), Euronews’e yaptığı açıklamada, bazı faydaları (örneğin son tarihler) kabul etse de genel sonucun vatandaşlar için ‘daha az hak ve daha zayıf denetim’ anlamına geldiğini söyledi.
Schrems, “Bu yasa bir skandal. Vatandaşları kendi haklarıyla ilgili süreçlerden dışlayarak, otoritelerin denetimi azaltmasına imkân tanıyor. Süreç gereksiz yere karmaşık ve otoriteler için daha fazla iş yükü yaratacak.” dedi. Ayrıca, yasadaki bazı maddelerin temel usul ilkelerini ihlal ettiği için mahkemelerce iptal edilebileceğini de ileri sürdü.
Geçici anlaşmanın yürürlüğe girmesi için Avrupa Parlamentosu ve üye devletler tarafından resmen onaylanması gerekiyor.
Öte yandan Avrupa Komisyonu geçen ay, özellikle küçük ve orta ölçekli şirketlerin GDPR kapsamındaki yüklerini hafifletmek amacıyla bir ‘basitleştirme paketi’ de sundu. Halihazırda 250’den az çalışanı olan şirketler bazı veri koruma yükümlülüklerinden muaf tutuluyor. Komisyon, bu muafiyetin 500 kişiye kadar çalışanı olan ‘küçük orta ölçekli’ şirketleri de kapsayacak şekilde genişletilmesini öneriyor.
