**Lefkoşa, Kıbrıs** – Kıbrıs Veri Koruma Otoritesi, Avrupa Birliği'nin katı Genel Veri Koruma Tüzüğü'ne (GDPR) uyumsuzluk konusundaki ciddi endişeleri gerekçe göstererek "agora" adlı uygulamanın operasyonlarının derhal geçici olarak durdurulması yönünde resmi bir talepte bulundu. Otoritenin bu müdahalesi, uygulamanın bireylerin siyasi görüşlerini de içeren hassas kişisel verileri yeterli güvenceler olmaksızın büyük ölçekte işlediği iddialarından kaynaklanıyor.
Bu haftanın başlarında yayınlanan talimat, daha önce de kamuoyunun dikkatini çekmiş bir isim olan Fidias Panayiotou tarafından geliştirilen uygulamayı hedef alıyor. Kıbrıs'ın Veri Koruma Komiseri Maria Christofidou'ya göre, otoritenin alarm zilleri geçen yıl Ekim ayında çalmaya başladı ve uygulamanın sorumlularına ilk endişeler iletildi. Ancak, tatmin edici bir yanıt veya düzeltici eylemin olmaması, daha sert bir yaklaşımı tetikledi. 20 Şubat'ta Bay Panayiotou'nun yasal temsilcilerine gönderilen resmi bir mektupla, "agora" platformunun gerçekleştirdiği tüm veri işleme faaliyetlerinin, yani toplanan kişisel bilgilerin kaydedilmesi, yüklenmesi, yayılması ve saklanmasının derhal askıya alınması kesin bir dille talep edildi.
Otoritenin endişelerinin temelinde, GDPR'ın "özel veri kategorileri" olarak tanımladığı verilerin uygulamanın elindeki durumu yatıyor. Bu sınıflandırma, siyasi eğilimler, dini inançlar ve sağlık verileri gibi daha yüksek düzeyde koruma gerektiren son derece hassas bilgileri kapsıyor. "Agora" uygulamasında gözlemlenen bu tür verilerin büyük ölçekte işlenmesi, GDPR'ın 35. ve 36. maddeleri uyarınca özel ve daha sıkı yükümlülükler getiriyor. Bu maddeler, yüksek riskli veri işleme başlamadan önce bireylerin temel hak ve özgürlüklerine yönelik potansiyel risklerin proaktif bir değerlendirmesi olan Veri Koruma Etki Değerlendirmesi'nin (DPIA) yapılmasını zorunlu kılıyor.
Komiser Christofidou, bu gerekliliklerin temel niteliğini vurgulayarak, "Etki değerlendirmesi, vatandaşların hakları açısından yüksek risk olasılığı olduğunda, işleme başlamadan önce yapılan önleyici bir yasal ve teknik risk değerlendirmesidir" dedi. Uygulama geliştiricilerinin eylemsizliğine yönelik duyduğu üzüntü belirgindi: "Şu ana kadar bu yönde yazılı bir teyit veya eylem olmadı." Yasal yükümlülüklere bu bariz saygısızlık, otoriteyi daha fazla potansiyel zararı azaltmak için askıya alma yoluna gitmekten başka çare bırakmadı.
Otoritenin duruşu net: Veri koruma mevzuatına uyum bir tercih meselesi değil, temel bir yasal zorunluluktur. Kişisel verilerin, özellikle de hassas görüşlerle ilgili olanların sınırsız işlenmesiyle ortaya çıkan potansiyel riskler önemli boyutlardadır. Bu tür uygulamalar, verileri yeterince korunmadığı takdirde bireyleri ayrımcılığa, manipülasyona veya diğer zarar biçimlerine maruz bırakabilir. Veri Koruma Otoritesi, vatandaşların dijital platformlarla, kişisel bilgilerinin sorumlu bir şekilde ve belirlenen yasal çerçeveye uygun olarak işlendiği güvencesiyle etkileşim kurabilmesini sağlamakla görevlidir.
Bu talebin sonuçları geniş kapsamlı olacaktır. Eğer askıya alma kararı uygulanırsa, bu, AB içinde faaliyet gösteren tüm uygulama geliştiricileri için veri koruma ilkelerini en başından itibaren benimsemenin üstün öneminin çarpıcı bir hatırlatıcısı olacaktır. Aynı zamanda, GDPR'ı uygulama ve Avrupa vatandaşlarının gizlilik haklarını koruma konusunda ulusal Veri Koruma Otoritelerinin güçlü yaptırım rolünü de vurgulamaktadır. Önümüzdeki günler, "agora" uygulamasının geleceğini belirlemede ve giderek dijitalleşen dünyamızda veri korumanın pazarlık edilemez doğasını pekiştirmede kritik olacaktır.