Kişisel verilerin korunmasında hesap verebilirlik araçları: davranış kuralları ve sertifikasyon
Yükleniyor...
Tarih
2023
Yazarlar
Dergi Başlığı
Dergi ISSN
Cilt Başlığı
Yayıncı
İstanbul Bilgi Üniversitesi
Erişim Hakkı
info:eu-repo/semantics/openAccess
Özet
ÖZET: Bilgi ve iletişim teknolojilerinde özellikle son çeyrek yüzyılda yaşanan gelişmeler, önceki dönemlere kıyasla daha yüksek hacimli kişisel verilerin işlenmesi, işlenen kişisel verilerin çeşitliliği artması ve sınır ötesi aktarımlar dâhil olmak üzere kişisel verilerin dolaşımının yoğunlaşması ve hızlanmasına vesile olmuştur. Dijitalleşmedeki artış ile kişilerin bilgiye erişimi imkânı ve ilgili kişilerin kişisel verilerinin güvenliği konusundaki hassasiyeti artmış, kişisel verilerin takibi ve kontrolü güçleşmiştir. Kişisel verilerin bu kadar büyük ölçekte ve hızda işlenmesi, beraberinde veri işleme faaliyetlerinin hukuka uygunluğunun denetlenmesi bakımından güçlükler ortaya çıkarmaktadır. Bilhassa kişisel verilerin hukuka uygun olarak işlenip işlenmediğinin gözetiminden sorumlu veri koruma otoritelerinin zaman ve maliyet anlamında daha yönetilebilir ve belirli bir standarda dayalı çözümlere ihtiyaç duyması kaçınılmazdır. Kişisel veri işleme süreçlerinin kompleks hale gelmesi yürürlükteki kişisel verilerin korunması mevzuatına uyumun ötesine geçilerek bu uyumluluğun yetkili kuruluşlar nezdinde ispat edilebilir hale gelmesini gerektirmektedir. Avrupa Birliği’nin veri koruma alanındaki öncü düzenlemesi olan 95/46 sayılı Direktif’in yeni tehditler karşısında kişisel verilerin etkin şekilde korunması ihtiyacını karşılayamaması üzerine, 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVK Tüzüğü”) yürürlüğe konulmuştur. GVK Tüzüğü, kişisel veri koruma hukukuna kazandırdığı hesap verebilirlik ilkesiyle kişisel verilerin korunmasında temel bir paradigma değişikliğine gitmiştir. Bu çalışma ile “hesap verebilirlik ilkesi ışığında veri koruma mevzuatına uyumluluk nasıl ispat edilebilir ve ispat için hangi araçlar kullanılabilir?” sorularına cevap aranmaktadır. Çalışmada GVK Tüzüğü’ndeki hesap verebilirlik ilkesinin kapsamı, bu ilkeyi uygulamak için getirilen temel araçların niteliği, bilhassa da davranış kuralları ve sertifikasyon araçlarının temel çerçevesi ele alınacaktır.
ABSTRACT: Developments in information and communication technologies -especially in the last quarter century- have led to the processing of higher volumes of personal data, increasing the diversity of data processed, and intensification and acceleration of data circulation including the cross-border transfers. With the increase in digitalization, the individuals’ ability to access information and sensitivity to their security of personal data have increased, and it has become difficult to monitor and control personal data. Processing personal data on such a large scale and speed creates difficulties in controlling the processing in accordance with the law. In particular, it is inevitable that data protection authorities responsible for overseeing whether personal data are processed in accordance with the law, need solutions that are more manageable in terms of time and cost, and with a certain standard. Due to the complexity of data processing processes, it is necessary to go beyond compliance with the applicable personal data protection legislation and to make this compliance provable before the authorized institutions. Upon the failure of the Data Protection Directive 95/46/EC, the pioneering personal data regulation of the European Union, to meet the need for effective protection against new threats, the General Data Protection Regulation (“GDPR”) entered into force. The GDPR has gone through a fundamental paradigm shift in the protection of personal data with the principle of accountability it brought to the personal data protection law. This study seeks to answer the questions of “How to demonstrate compliance with EU data protection legislation in light of the principle of accountability and what tools can be used to prove compliance?”. In the study, the scope of the accountability principle in the GDPR, the nature of the basic tools brought to implement this principle, and especially the basic framework of the codes of conduct and certification tools will be discussed.
ABSTRACT: Developments in information and communication technologies -especially in the last quarter century- have led to the processing of higher volumes of personal data, increasing the diversity of data processed, and intensification and acceleration of data circulation including the cross-border transfers. With the increase in digitalization, the individuals’ ability to access information and sensitivity to their security of personal data have increased, and it has become difficult to monitor and control personal data. Processing personal data on such a large scale and speed creates difficulties in controlling the processing in accordance with the law. In particular, it is inevitable that data protection authorities responsible for overseeing whether personal data are processed in accordance with the law, need solutions that are more manageable in terms of time and cost, and with a certain standard. Due to the complexity of data processing processes, it is necessary to go beyond compliance with the applicable personal data protection legislation and to make this compliance provable before the authorized institutions. Upon the failure of the Data Protection Directive 95/46/EC, the pioneering personal data regulation of the European Union, to meet the need for effective protection against new threats, the General Data Protection Regulation (“GDPR”) entered into force. The GDPR has gone through a fundamental paradigm shift in the protection of personal data with the principle of accountability it brought to the personal data protection law. This study seeks to answer the questions of “How to demonstrate compliance with EU data protection legislation in light of the principle of accountability and what tools can be used to prove compliance?”. In the study, the scope of the accountability principle in the GDPR, the nature of the basic tools brought to implement this principle, and especially the basic framework of the codes of conduct and certification tools will be discussed.
Açıklama
Anahtar Kelimeler
AB Genel Veri Koruma Tüzüğü, Kişisel Verilerin Korunması, Hesap Verebilirlik, Davranış Kuralları, Sertifikasyon, General Data Protection Regulation, Protection of Personal Data, Accountability, Codes of Conduct, Certification