25 Mayıs’ta yürürlüğe girecek olan AB Genel Veri Koruma Tüzüğü’nün (GDPR) en fazla etkileyeceği alanlardan biri E-spor. Foley&Lardner LLP uluslararası hukuk bürosunun değerlendirmesine göre her AB üyesinin GDPR kurallarına uyması zorunludur. Uyulmadığı takdirde ceza vaka başına 20 milyon Euro’yu bulabilir.
Amerikan sigorta devi (AIG) CEO’su Peter Zaffino’ya göre ise, yeni düzenleme sadece E-Spor’un işleyişine değil aynı zamanda yan kuruluşlarını da etkileyecek. Zaffino’ya göre canlı yayın, danışmanlık ve kumar şirketlerinin de aynı düzenlemeden etkilenmesi beklenmektedir.
GDPR kısaca nedir?
AB ülkeleri arasında veri paylaşımını standardize etme amaçlı yürürlüğe girmesi beklenen GDPR genel olarak aşağıdaki kuralları esas almaktadır:
*Kişisel verilerin işlenmesi ortak rızayla olmalıdır.
*Hangi sebeple olursa olsun sağlanacak bir verinin amacı yazılı olarak karşı tarafa belirtilmelidir.
*AB vatandaşları bir şirketin kendileri hakkında topladığı tüm verilere ulaşma yetkisine sahip olmalıdır.
*Yanlış verilerin düzeltilmesine ilişkin talepler kabul edilmelidir.
*Zaman aşımına uğrayan verilerin ‘unutulma hakkı’na dayanarak şirketlerin müşteri bilgilerini silmesi zorunludur.
GDPR’nin E-Spor’un oyun kurallarını değiştirmesi bekleniyor
E-spor’un işleyişiyle ilgili cevaplanmamış bir çok soru işareti olmasına rağmen AB sporcularının 25 Mayıs 2018’den itibaren verilerinin kullanımıyla ilgili şikayet hakkı olacak. Şu anki Riot Oyunlarında ve LOL’da oyun sonrası şahsi ve takım performans verileri paylaşılıyor. Negatif olan oyuncu davranışı “Summoner’s Code”a bildiriliyor. İstatistiki veriler her zaman izin alınarak paylaşılmıyor. Peki bundan sonra Riot şahsi verilere erişimi serbest bırakacak mı?
Bunu ilerleyen günlerde göreceğiz. Fakat işin aslı bu gibi olasılıkların GDPR yürürlüğe girmeden netleştirilmesinde fayda var. Özellikle oyun geliştirmeye yönelik kurulan firmalar AB marketinden vazgeçemeyeceğine göre bu tüzüğe uyarak önlem almak zorundalar. Örneğin oyun firmaları, kendi müşterilerinin tüketim tercihlerini rızaları olmadan, otomatik olarak toplanmaktan vazgeçmek zorunda kalabilirler.
GDPR’ye uyulmazsa bir ceza var mı?
Kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli bir amaca uygun ve bilinçli olarak verilmesi gerekmektedir.
Cezalar AB’nin 1995 yılındaki eski tüzüğünden farklı olarak daha da ağırlaştırılmış olarak karşımıza çıkıyor. Örneğin İngiltere’de veri ihlalleri neticesinde verilebilecek en yüksek para cezası 500 bin Pound iken, GDPR bu rakamı 200 milyon Avro’ya kadar çıkarmaktadır. Bu rakam da küresel gelirinin yüzde dördü gibi bir miktara denk gelmektedir. AB vatandaşı kullanıcılar 33.md göre GDPR ile veri koruma otoritelerine şikayette bulunabilirler. Sadece bu bildirimlerini en geç 72 saat içerisinde yapmalıdırlar.
GDPR’ye ihtiyaç nasıl oraya çıktı?
Her şey sanayi sonrası bilgi toplumuna geçişle başladı. Bilgi ve iletişim teknolojileri (BİT) yaygınlaşınca verilerin toplanması, depolanması ve dağıtılması kontrol edilemez hale geldi. Bilgi toplumunun günümüzdeki en temel sorunu, devlet organlarının diğer kişiler karşısında çoğu zaman izin almadan özel yaşam alanına müdahale etmesidir.
AB bu konuda kendi halklarının endişeli sesini dinleyerek çareyi GDPR’de buldu. Tüzük Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylandı ancak asıl uygulamaya giriş 25 Mayıs 2018’dir.
GDPR’nin amacı nedir?
GDPR’nin amaçlarından biri AB ülkeleri arasındaki iç hukuktan kaynaklanan uygulama farklarını minimuma indirmektir. Böylece AB’nin Tek Pazar Stratejisini sadeleştirilecek ve verimli bir AB dijital ekonomisine doğru gidişi sağlayacaktır. GDPR’nine ayrıca AB’ye küresel rekabet avantajını daha rahat kullanması için bir katkı sağladığı da düşünülmektedir.
Türkiye’deki durum
24/03/2016 tarihinde TBMM Genel Kurulu “6698 sayılı Kişisel
Verilerin Korunması Kanununu” kabul etmiştir. Buna göre kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, gerçek ve tüzel kişilerin yükümlülükleri de belirtilmiştir. Örneğin hakkındaki bir haberin internetten kaldırılması için Anayasa Mahkemesi’ne başvuran bir kişinin gerekçesi “Bireyin kişisel şeref ve itibarı, Anayasa’nın 17. maddesinde yer alan “manevi varlık” kapsamında yer almaktadır. Devlet,bireyin manevi varlığının bir parçası olan kişisel şeref ve itibara keyfi olarak müdahale etmemek ve üçüncü kişilerin saldırılarını önlemekle yükümlüdür” ibaresinin (AYM) 03/03/2016 tarih ve B.2013/5653 no’lu kararına göre haklı bulunmuştur.
GDPR’nin Türkiye’ye etkisi
GDPR‘nin 23 no’lu resitaline göre AB içerisinde mal veya hizmet sunmak isteyen şirketler de bu kurallara uymak zorunda kalacaktır. Örneğin bireylerin tüketim tercihlerinin ve alışkanlıklarının tespiti amacıyla teknik yöntemlerle internetteki faaliyetlerinin gözetlenmesi eskisi kadar kolay olamayacak.
Bu hüküm AB dışında faaliyet göstermesine karşın, AB tüketicisini hedefleyen tüm şirketler için geçerlidir. Yani AB ile iş yapan Türk şirketleri de GDPR’ye tabi olacaklar.
Referanslar:
https://www.eugdpr.org/key-changes.html
https://esportsobserver.com/gdpr-time-bomb-looms-for-esports-gaming-companies/
Ayşe Nur Akıncı, http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf
https://www.foley.com/esports-insights-and-trends-12-21-2017/