Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) yaklaşık 4 senedir yürürlükte olmasına rağmen hukuki kapsamı üzerinde kafa karışıklığı hala hüküm sürmektedir. Avrupa Birliği (“AB”) dışında kurulu birçok şirket, GDPR hükümlerine uyum sağlamalarının gerekliliği konusunda hala tereddüt etmektedir. Konuya ilişkin esas, “Bölgesel Kapsam” başlığı altında GDPR’nin 3.maddesinde düzenlenmiştir.
Her ne kadar söz konusu hükümde geçmese de AB dışı mukim kuruluşların GDPR hükümlerine tabi olması, birçok veri koruma uzmanı tarafından “Long Arm Jurisdiction”(geniş kapsamlı yargı yetkisi) kavramı ile de açıklanmaktadır. Long Arm Jurisdiction, bir bölge özelinde oluşturulan yasanın, bölge dışındaki mukim gerçek ve/veya tüzel kişiler için de bağlayıcı olabileceğini ifade eden hukuki bir terimdir.
Bu bilgiler ışığında AB dışında faaliyet gösteren bir kuruluşun, hangi koşullar altında GDPR hükümlerine tabi olacağını ve tabi olması durumunda karşılaması gereken bazı yükümlülükleri gelin birlikte inceleyelim. GDPR yaklaşıyor…
GDPR Madde 3: Bölgesel Kapsam
Genel Veri Koruma Tüzüğü’nün yukarıda açıklanan uygulama alanı madde 3’te düzenlenmiş olup hüküm[1] şu şekildedir:
- GDPR, veri sorumlusunun ya da onun adına veri işleyen kişinin bir kuruluşunun AB sınırları içerisinde faaliyeti kapsamında kişisel veri işlenmesi halinde, veri işleme faaliyetinin AB sınırları içerisinde olup olmamasına bakılmaksızın uygulama alanı bulur.
- GDPR, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, AB içerisinde bulunan veri sahiplerinin kişisel verilerinin AB içerisinde kurulu olmayan bir veri sorumlusu veya veri işleyen tarafından işlenmesine uygulanır;
- Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, AB içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
- Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
Hükümden Ne Anlamamız Gerekir?
- Veri sorumlusunun veya veri işleyenin AB sınırları içerisinde bulunan kuruluşu, faaliyetleri gereği kişisel veri işlenmesi halinde GDPR hükümlerini karşılamakla yükümlüdürler. Söz konusu kuruluş, şirketin merkezi olabileceği gibi kuruluşun şubesi, deposu ve fabrikası gibi yapılar da olabilir. Burada esas olan kuruluşun sabit bir tesiste faaliyetlerini göstermesi aranmaktadır.[1] Bunun yanı sıra kuruluşun, istikrarlı ve etkin bir biçimde faaliyet gösterme iradesi de olması gereklidir. Bu anlamda kısa süreli operasyonlar için kurulan yapılar, hüküm kapsamına girmemektedir.
- Veri sorumlusu/veri işleyenin kuruluşu, merkezi ve faaliyet alanı AB dışında olsa dahi, şayet AB sınırları içerisinde mal ve hizmet sunumuna ilişkin herhangi bir faaliyet gösteriyor ise GDPR hükümlerine tabi olacaktır. Daha farklı bir ifade ile veri sorumlusunun veya veri işleyenin, AB sınırları içerisinde yapısının yer alıp almadığının önemi olmayıp iş süreçleri kapsamında verisi işlenen ilgili kişinin AB sınırları içerisinde bulunması, tek başına yeterli olacaktır. Örneğin, AB’de herhangi bir yapılanması bulunmamasına rağmen AB içerisindeki ilgili kişiye mal ve hizmet sağlayan Türkiye’deki mukim kuruluşlar, GDPR hükümlerine uyum sağlamakla mükelleftirler. Son olarak, yalnızca AB vatandaşlığına sahip ilgili kişilerin verileri işlendiği takdirde hükmün uygulama alanı bulacağını söylemek yanlış bir ifade olacaktır. AB içerisindeki göçmenlerin, çalışma ve turist vizesine sahip şahısların ve AB içerisinde kanunen bulunma hakkı bulunup verisi işlenen bütün ilgili kişilerin hüküm kapsamında değerlendirilmesi gerekmektedir.
- Eylemlerin, AB içinde gerçekleşmesi şartıyla AB sınırları içerisindeki ilgili kişilerin davranışlarının izlenmesi durumunda GDPR uygulama alanı bulacaktır. “Davranışların İzlenmesi” ifadesi ilgili kişilerin tüketim, davranış, tercih ve alışkanlıklarının tespiti amacı ile teknik yöntemlerle takibinin yapılması olarak anlaşılmalıdır. Bu anlamda çerez, web tracking, segmantasyon veya profilleme yöntemlerinden birini kullanarak bu kapsamda faaliyet gösteren web siteleri, sosyal medya uygulamaları, anket şirketleri ve sair kuruluşlar söz konusu hüküm uyarınca GDPR’a tabi olacaktır. Yine burada da ilgili kişi, AB içerisinde sürekli ikameti aranmaksızın kanunen bulunma hakkı olan gerçek kişiler olarak anlaşılmalıdır.
GDPR Gereksinimlerinin Karşılanması
GDPR hükümlerine tabi kuruluşların, başlıca uyum sağlaması gereken bazı esaslar şu şekildedir:
- Veri koruma görevlisi (Data Protection Office): GDPR, kuruluşların işlemiş olduğu kişisel verileri etkin bir şekilde yönetebilmesi adına belirli gereksinimler ortaya koyar ve bu yükümlüklerden birisi de Veri Koruma Görevlisi’nin (” DPO “) atanmasıdır. Bu bağlamda GDPR’nin 37. maddesi uyarınca veri sorumlusu ve veri işleyen; işleme faaliyetinin bir kamu kuruluşu veya organı (mahkemeler harici) tarafından gerçekleştirilmesi; temel faaliyet yapısı, kapsamı ve/veya amacı gereği ilgili kişilerin düzenli ve sistematik bir şekilde büyük çaplı olarak izlendiği işleme faaliyetlerinden meydana gelmesi; temel faaliyetlerinin tüzüğün 9. maddesinde düzenlenen özel nitelikli kişisel verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin, büyük çaplı olarak işlenmesinden meydana gelmesi hallerinde bir DPO atanması zorundadır.
DPO olarak atanacak kişinin mesleki nitelikleri gereği veri koruma mevzuatı ile veri mahremiyeti uygulamalarına ilişkin uzmanlık bilgisi ve GDPR’nin 39. maddede sayılan görevleri yerine getirme kabiliyetine sahip olması gerekir. DPO’nun; kişisel verilerinin işlenmesi ve GDPR kapsamındaki haklarının kullanılması ile ilgili tüm konularda veri sahipleri için iletişim noktası olarak faaliyet gösterme, kuruluşun doğrudan en üst yönetime rapor verme, veri işleme ile ilgili konularda veri koruma otoriteleri için irtibat noktası olarak hareket etme ve bu otoriterle iş birliği yapma gibi bazı temel görevleri vardır.
Çok şirketli yapıya sahip holdingler, her bir şirket için ayrı ayrı DPO atamak yerine bu yükümlülüğün yerine getirilmesi için tek bir DPO belirleyebilir. Ayrıca DPO, kuruluş dışı 3.kişi olabileceği gibi kuruluşa bağlı bir çalışan da olabilir. Ancak kuruluş içerisinden çalışanın DPO olarak atanması durumunda kuruluş, DPO’nun görev ve vazifelerinin bir çıkar çatışmasına neden olmasını engellemekle yükümlüdür.
DPO belirleme yükümlülüğünün ihlali halinde ilgili kuruluşun yıllık küresel cironun %4’üne kadar veya 20 milyon Euro kadar (hangisi daha yüksekse) para cezası ile cezalandırılabilir.
- Veri Koruma Etki Değerlendirmesi (“DPIA”): Yeni teknolojiler kullanılması durumunda ve veri işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında veri sahibinin hakları ve özgürlükleri açısından yüksek bir tehlikeye maruz kalma ihtimaline karşın veri sorumlusu, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirmelerin yer aldığı bir DPIA raporu hazırlaması gerekir. DPIA raporu, mevcut risk ve güvenlik tedbirlerinin ele alındığı aynı zamanda veri işleme faaliyeti sebebiyle gelecekte oluşabilecek aksiyonların da değerlendirildiği bir yönetişim modelidir. Başka bir deyişle DPIA, veri sahiplerine yönelik risklerin değerlendirilmesi ve bu risklerin nasıl azaltılabileceği hususlarında veri sorumlularına yardım sağlayan metodolojik çalışma yöntemidir.
DPIA raporunda; veri sorumlusu tarafından gözetilen meşru menfaat de dahil olmak üzere öngörülen veri işleme faaliyetleri ve veri işleme amaçlarına ilişkin sistematik bir açıklama, veri sahiplerinin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme, işleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme, veri sahipleri ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin
korunmasının sağlanması ve GDPR uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dahil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler yer almak zorundadır.[2]
Veri işleme faaliyetleri kapsamında DPIA raporu hazırlaması gerekli olup raporun hazırlanmaması halinde ilgili kuruluşun yıllık küresel cironun %4’üne kadar veya 20 milyon Euro kadar (hangisi daha yüksekse) para cezası ile cezalandırılabilir.
Sonuç
GDPR’nin AB dışı kuruluşlar için geniş kapsamlı etkileri olduğu açıktır ve bu nedenle yukarıda açıklanan kriterler, bilhassa çok uluslu kuruluşlar tarafından dikkate alınmalıdır. Bu bağlamda AB dışı mukim kuruluşların, GDPR hükümlerine tabi olmanın zor bir eylem olmadığına yönelik farkındalık kazanmaları ve belirli aralıklar ile operasyonlarını GDPR açısından değerlendirmeleri gerekmektedir. Aksi halde GDPR hükümlerine tabi olup yükümlülüklerini karşılamayan kuruluşların, yıllık küresel cironun %4’üne karşılık gelen miktar veya 20 milyon Euro gibi yüksek meblağlı idari para cezaları ile karşı karşıya kalma riski doğacaktır.
Ayrıca konuya ilişkin diyagramlar ile hazırladığımız ve açıklamalarımızın yer aldığı videoları izleyebilirsiniz.
Ayrıca bakınız, PCI DSS SAQ A Nedir?
Kaynaklar:
Genel Veri Koruma Tüzüğü
GDPR’nin bölgesel kapsamına ilişkin 3/2018 Sayılı Rehber İlkeleri (Madde 3)
Çekin, M. S. (2020). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku. On İki Levha Yayıncılık
