Avrupa Birliği, GDPR’ın 2 yılında bir rapor yayınladı ve kanununun uygulanmasının zor olduğu kaydetti[1]. Raporda, GDPR’ın küçük ve orta ölçekli şirketlere (KOBİ) ve yeni teknolojiler geliştiren firmalara aşırı yük getirdiği ve uyum maliyetlerinden özellikle küçük işletmelerin etkilendiği belirtilmiş.
Kuralların ortaya çıkan yeni teknolojilerle ilişkisi konusunda netlik olmadığı, düzenleyicilerin bunları yapay zeka, blockchain ve nesnelerin interneti gibi alanlarda uygulamak için yorum yapmak zorunda kaldığı kaydediliyor. Bu nedenle de “İlkelerin belirli teknolojilere nasıl uygulanacağının açıklığa kavuşturulması konusu” vurgulanmış.
Veri kurallarının uygulamasında güncelleme yapma yükümlülüğünün bir parçası olarak yayınlanan 19 sayfalık resmi raporda, kuralların her ülkede nasıl uygulandığı konusunda kafa karışıklığı da dahil olmak üzere diğer zorluk alanlarına da işaret edildi.
Farklı üye ülkelerdeki veri koruma otoritelerinin uygulamalarındaki farklılıklara örnek olarak, çocukların sosyal medya şirketlerinin verilerini işlemesine izin verdikleri asgari yaş konusu gösterildi. Bazı ülkeler asgari yaşı 16, bazıları 13, 14 veya 15 olarak belirlemiş durumda. Bu ihlal olmasa da, bir tutarsızlık anlamına geliyor.
Zorluklara rağmen, rapor aynı zamanda pandemi sırasında GDPR’nin uygulanmasının faydalarını vurgulayarak, çerçevenin hastalığın yayılmasını engellemeye yardımcı olmak için geliştirilen “takip” uygulamaları üzerinde veri gizliliği yetkilileri arasındaki iletişimi kolaylaştırdığını belirtildi.
Yorumlarda şöyle denildi;
“Yeni teknolojiler kullanıcıların tarama geçmişinden günlük hareketlerine kadar her şeyi toplamaya, yorumlamaya ve pek çok durumda para kazanmaya çalıştıkça, GDPR artık daha alakalı ve önemlidir. Bu kişisel veriler, ilk etapta toplayan kuruluşlar tarafından korunmalıdır. Şirketler bilinçli olarak tüketicilere kendi verileri üzerinde kontrol ve şeffaflık sağlama konusunda yetersiz kalıyorlar ve topu güvenliğe atıyorlar. GDPR’yi adeta bir engel haline gösteriyorlar.
Bazı işletmelerin GDPR ile sorun yaşıyor olsa da, tüketicilerin ödediği bedel, genellikle veri ihlalleri sonrasında çalıntı kimlik bilgileri, dolandırıcılık, kimlik hırsızlığı ve daha fazlası oluyor. GDPR daha henüz 2 yaşında. Bazı eksiklikler olsa da, KOBİ’lerin ve diğer şirketlerin tecrübelerinin artmasıyla birlikte, özellikle yeni teknoloji ve yeniliklerle ilgili olarak tutarlılık ve rehberlik de artacaktır.”
Dünyadaki kuruluşlar inanılmaz miktarda veri işlemekte ve depolamaktadır. Bu veriler müşterilerine ait hassas özel verileri içerir. 25 Mayıs 2018’de yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği (GDPR), kullanıcıların kimliklerini korumak için tasarlanmıştır. Kullanıcı verilerinin (veya PII olarak da bilinen “kişisel olarak tanımlanabilir bilgilerin”) açık rızası olmadan kuruluşlar tarafından kullanılamayacağını belirtmiştir. PII sadece adlar, telefon numaraları veya banka hesapları değil, IP veya MAC adresleri de dahil olmak üzere bir kişiyi tanımlayabilen her şeydir.
[1] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL