Veri Koruma Güncellemeleri ve İşletmeler için Önemli Hususlar

Birleşik Krallık, bireyler için yüksek veri koruma standartlarını sürdürmeye kararlıdır ve işletmeler ilgili yasalara uymadıkları takdirde ciddi yaptırımlara maruz kalabilirler. Ancak bu kararlılık, yeniliği teşvik etme amacı ile dengelenmiştir. Veri (Kullanım ve Erişim) Yasası 2025. Bu güncellemede, bu mevzuatta yapılan önemli değişiklikleri ve işletmenizi uyumlu tutmak için farkında olmanız gereken diğer önemli veri koruma güncellemelerini ele alacağız.  

Birleşik Krallık GDPR ve 2018 Veri Koruma Yasası

Birleşik Krallık veri koruma yönetmeliklerini değerlendirirken, Birleşik Krallık'ın veri koruma rejiminin temel taşını oluşturan hem Birleşik Krallık GDPR hem de 2018 Veri Koruma Yasası'nı dikkate almak önemlidir. Bu yasalar kişisel verilerin nasıl saklanacağını, işleneceğini ve toplanacağını belirler.

Birleşik Krallık GDPR, Brexit'in ardından yürürlüğe girmiştir ve yasallık, adalet ve şeffaflık dahil olmak üzere veri işlemeye ilişkin çeşitli ilkeleri ana hatlarıyla belirlemektedir. Bireylerin haklarını (erişim ve silme hakları dahil) ve uluslararası veri transferlerine ilişkin kuralları belirler. Birleşik Krallık'taki tüm kuruluşlar ve Birleşik Krallık'taki bireylerin kişisel verilerini işleyen yurt dışındaki kuruluşlar için geçerlidir.

Veri Koruma Yasası 2018, Birleşik Krallık GDPR'yi tamamlar ve belirli durumlarda Birleşik Krallık GDPR yükümlülüklerinden muafiyetler gibi hükümler içerir.

Veri (Kullanım ve Erişim) Yasası 2025 (DUAA)

DUAA 19 Haziran 2025 tarihinde Kraliyet Onayı almış olup, bazı hükümleri halihazırda yürürlükte olan ve diğerlerinin de önümüzdeki yıl yürürlüğe girmesi beklenen aşamalı olarak uygulamaya konulmaktadır. DUAA mevcut rejimde önemli değişiklikler yapmaktadır.

DUAA'nın amaçları yenilikçiliği teşvik etmek, Birleşik Krallık'taki mevcut veri koruma çerçevesini geliştirmek ve bireysel hakların korunmasını sürdürürken işletmelerin hizmetlerini geliştirmelerine olanak sağlamaktır.  

Aşağıda değinilen uyumluluğun sağlanmasının yanı sıra, kuruluşlar şu değişikliklerden nasıl yararlanabileceklerini düşünmelidir destek yenilik.

İnovasyon

ICO, DUAA'nın yaptığı değişiklikleri memnuniyetle karşılamakta ve DUAA'nın işletmelere aşağıdaki şekillerde yenilik yapmalarında yardımcı olabileceğini belirtmektedir:

1. Araştırma: Kuruluşlar kişisel bilgileri araştırma amacıyla kullandıklarında, bilimsel bir araştırma alanı için 'geniş onay' verilebileceğinin açıklığa kavuşturulması.

2. Gizlilik bildirimleri: Kişisel bilgilerin bilimsel araştırma için yeniden kullanımına yönelik bir gizlilik bildirimi sunmanın orantısız bir çaba gerektirmesi halinde, kuruluşların tekrar bir bildirim yayınlamasına gerek kalmayacaktır. Bildirimin yine de kuruluşun web sitesinde bulunması ve hakların her zamanki gibi korunması gerekecektir.

3. Otomatik karar verme (ADM): İşletmelerin, insanların kişisel bilgilerini kullanarak onlar hakkında otomatik kararlar verirken, ilgili güvenlik önlemlerini kullandıklarında, yasal dayanakların tamamına güvenebilmeleri.  

4. Çerezler: web sitesi işlevselliğinin iyileştirilmesi için bilgi toplamak amacıyla kullanılanlar gibi bazı çerez türleri onay gerektirmeden ayarlanabilir.  

Önemli değişiklikler

DUAA tarafından yapılan önemli değişiklikler şunlardır:

• Otomatik karar verme (ADM): belirli güvencelerin mevcut olması koşuluyla, kuruluşların daha geniş koşullarda yalnızca otomatik işlemeye dayalı kararlar almasına izin verir. Bu tedbirler arasında bireyin bilgilendirilmesi ve karar alma sürecine insan müdahalesi hakkının sunulması yer almaktadır. Bununla birlikte, özel veri kategorileri için ADM üzerinde kısıtlamalar bulunmaktadır.
• Konu ErişimiTalep sahibinden daha fazla bilgiye ihtiyaç duyulması halinde yanıt sürelerinin duraklamasına izin veren bir 'saati durdur' kuralı. Buna ek olarak, bir kişi verilerine erişim talebinde bulunduğunda, kuruluşların yalnızca makul ve orantılı aramalar yapması gerekmektedir.
• Tanınan Meşru Menfaatler: kişisel verilerin işlenmesi için yeni bir yasal dayanak. Bu yasal zemin geçerliyse, kişisel bilgileri kullanılan kişiler üzerindeki etkiyi faydalara karşı dengelemeye gerek yoktur. Bu genellikle bir Meşru Menfaatler Değerlendirmesi (DUAA) yapılarak gerçekleştirilir. DUAA, ulusal güvenlik, acil durumlara müdahale ve çocukların veya risk altındaki bireylerin korunmasını içeren önceden onaylanmış dayanakların bir listesini belirler.
• Çocuk Verilerinin Korunması: çocuklar tarafından kullanılması muhtemel bir çevrimiçi hizmet sunarken, kuruluşlar kişisel bilgilerini nasıl kullanacaklarını düşünürken çocukları nasıl destekleyeceklerini ve koruyacaklarını göz önünde bulundurmalıdır.   
• Şikayetler: Kişisel verilerinin işlenmesiyle ilgili şikayette bulunmak isteyen kişilere yardımcı olma gerekliliği ve kabul için bir zaman çerçevesi (30 gün içinde ve 'gereksiz gecikme olmaksızın' yanıt verme).

Yeni ICO yetkileri

İşletmeler, DUAA kapsamında ICO'nun diğer Birleşik Krallık düzenleyicileri ile karşılaştırılabilir bir şekilde yeniden yapılandırılacağını, bir CEO ve yönetim kuruluna sahip olacağını bilmelidir. Paul Arnold ilk CEO olarak ilan edilmiştir. ICO'nun yetkileri de, yeni soruşturma ve yaptırım yetkileri ve 17,5 milyon sterline veya küresel cironun 4%'sine kadar ceza verme kabiliyeti ile genişletildi. ICO'nun yeni yetkilerinden biri, ICO'nun veri koruma hükümlerinin ihlal edilip edilmediğini değerlendireceği 'görüşme bildirimleri' ve 'bilgi bildirimleri' yayınlama yeteneğidir. ICO'nun bu daha geniş yetkileri yeni görevleri ve raporlama gereklilikleri ile dengelemesi gerekecektir.

Bu nedenle, kuruluşların uyumlu olmalarını ve uygun kayıtlar üretebilmelerini ve süreçlerini gerekçelendirebilmelerini sağlamak her zamankinden daha önemlidir. Yapay zeka sistemlerinin kullanımı ile ilgili olarak, işletmeler ilgili riskleri, bu risklerin nasıl azaltılacağını ve ortaya çıkabilecek gizlilik sorunlarını anlamalıdır.

ICO, kılavuzunda 'güvenilir, adil ve bağımsız bir düzenleyici' olarak faaliyet göstermeye devam edeceğini ve 'düzenleyici yükleri azaltırken' tavsiye ve hizmetler sunmaya devam etmeye ve 'yenilik ve büyümeyi' teşvik etmeye odaklanacağını doğrulamaktadır.

Uyumluluğun sağlanması

Gereksinimlerin anlaşılması

İşletmeler, ilgili politika ve uygulamaların gerektiğinde güncellenmesini sağlamak için tüm temel hükümleri gözden geçirmeli ve mevcut ve gelecek değişikliklerden haberdar olmalıdır. Ayrıca işletmelere aşağıda bağlantısı verilen ilgili kılavuzu okumalarını ve daha fazla yorum ve rehberlik için göz atmaya devam etmelerini öneriyoruz (ICO'nun daha fazla kılavuzunun zamanı geldiğinde yayınlanacağını unutmayın).

Hangi değişikliklerin sizin özel iş modeliniz için geçerli olduğunu ve işinizin hangi bölümlerinin etkileneceğini anlamak, gereklilikleri karşılamada çok önemli olacaktır.

DUAA kapsamlıdır ve işletmenizin genel olarak mevcut veri koruma düzenlemeleriyle uyumlu olduğundan ve gelecekteki değişiklikler için geleceğe hazır olduğundan emin olmak için yasal tavsiye almaya değer olabilir.

Politikaların, sözleşmelerin, eğitim materyallerinin ve sistemlerin güncellenmesi

Çalışanların eğitim materyallerinin ve müşteri sözleşmelerinin güncellenmesi gerekip gerekmediğini de dikkate almak önemlidir. Politika ve sözleşmelerin güncellenmesi yalnızca uyumluluğun sağlanmasına yardımcı olmakla kalmaz, aynı zamanda müşterilerin güvenini artırabilir ve riski en aza indirebilir.

Sistemlerin ve politikaların nasıl güncelleneceğine dair işletmeye özgü örnekler:

• Halihazırda yapılmadıysa, veri kullanımıyla ilgili şikayetleri ele almak için yeterli bir sistemin kurulması.
• Çevrimiçi sistemleri kullanan çocukların korunması için yeterli bir sistemin kurulması.
• Tanınan meşru menfaatlere dayalı tüm işlemlerin kaydedilmesi ve haritalandırılması ve gizlilik politikalarının bunu yansıtacak şekilde güncellenmesi.
• Kuruluşunuzun otomatik karar vermede yapay zeka kullanımını, bu sistemlerin nasıl çalıştığını, veri girişi türlerini ve otomatik karar verme kullanımının gerekçelerini incelemek ve kaydetmek.
• İnovasyonu geliştirmek için süreçlerinizde değişiklik yapıyorsanız, gizlilik politikalarını ve ilgili sözleşmeleri buna göre güncelleyin.
• Politikaların, otomatik karar verme ile ilgili hangi güvencelerin mevcut olduğunu açıkça ortaya koymasını sağlamak.
• Uyum çalışmalarını denetlemek ve verilerle ilgili sorular için bir irtibat noktası olarak hareket etmek üzere bir Veri Koruma Görevlisi (DPO) atamayı düşünün.

ICO kılavuzu: Birleşik Krallık'taki kuruluşlar yeni veri koruma yasalarından faydalanabilir | ICO

Hükümet rehberliği: Veri (Kullanım ve Erişim) Yasası 2025: veri koruma ve gizlilik değişiklikleri - GOV.UK

Diğer Haberler

23andMe

Bir genetik test şirketi olan 23andMe, kişisel bilgileri korumak için yetersiz güvenlik önlemlerine sahip olduğu gerekçesiyle ICO tarafından 2,31 milyon £ para cezasına çarptırıldı. Bu ceza, 2023 yılında Birleşik Krallık'ta 150.000'den fazla ve dünya çapında milyonlarca kullanıcının kişisel verilerinin (genetik tarih dahil) açığa çıkmasına neden olan bir siber saldırının ardından geldi. Her ne kadar 2023'ün başlarında veri hırsızlığı iddiaları olsa da, bu iddialar meşru olmadığı gerekçesiyle reddedilmiş, çalınan veriler Ekim 2023'te Reddit'te satışa sunulana kadar tam bir soruşturma yapılmadığı bildirilmiştir. Bu vaka, çok faktörlü kimlik doğrulama gibi yeterli güvenlik önlemlerine sahip olmanın ve özel kategori verilerini tutarken ekstra önlemler almanın önemini vurgulamaktadır.

AB, Birleşik Krallık için yeterlilik kararlarını 6 ay uzattı  

Avrupa Komisyonu, Birleşik Krallık ile veri transferlerine ilişkin yeterlilik kararlarını 27 Aralık 2025 tarihinde sona erecek şekilde 6 ay uzattı. Bu, DUAA'nın değerlendirilmesi için zaman tanıyacaktır. 'Yeterlilik', AB'nin, AB ile 'esasen eşdeğer' bir veri koruma seviyesi sağlayabildiği düşünülen ülkelerin kabiliyetini tanımlama şeklidir.

Nesnelerin İnterneti - güncellenmiş ICO kılavuzu

ICO, tüketici Nesnelerin İnterneti (IoT) ürünlerinde kişisel verilerin işlenmesi ve Birleşik Krallık veri koruma yasası ve 2003 Gizlilik ve Elektronik İletişim Yönetmelikleri ile ilgili olarak güncellenmiş bir kılavuz yayınladı. Tüketici IoT ürün türleri arasında akıllı ampuller ve akıllı saatler yer almaktadır. Kılavuzun tamamına buradan ulaşabilirsiniz: Bu kılavuz hakkında | ICO.

Brezilya'nın yeni yapay zeka yasaları

Brezilya, riske ve bireysel hakların tesis edilmesine odaklanan YZ düzenlemesi için bir yasa tasarısı önermektedir. Örneğin, 'sosyal puanlama' (bireyleri izleyerek, haklarınızı belirleyerek değerlerine göre bir değer atamak için yapay zekayı kullanmak) amacıyla kullanılanlar gibi belirli yapay zeka sistemlerini aşırı derecede yüksek riskli olarak kabul etmektedir.

Nasıl yardımcı olabiliriz

Birleşik Krallık veri yasalarının işletmenizi nasıl etkilediğini ve kuruluşunuzu en iyi şekilde nasıl koruyacağınızı anlamanıza yardımcı olabiliriz. Politika ve sözleşmelerinizin gözden geçirilmesi veya güncellenmesi gerekiyorsa, lütfen ekibimizle iletişime geçin.