GDPR ve BÖLGESEL UYGULAMA KILAVUZU

GDPR ve BÖLGESEL UYGULAMA KILAVUZU

Avrupa’da veri koruma mevzuatına yeni eklenen GDPR ile beraber kurulmuş olan Avrupa Veri Koruma Kurumu (“EDPD”), GDPR’ın uygulanmasına yönelik kılavuzlar ve yönetmelikler düzenlemekle yükümlüdür. Bu konuda şimdiye kadar 3 adet Kılavuz yayınlayan kurum, en son GDPR 3. Madde kapsamında düzenlenen bölgesel korumaya ilişkin bir kılavuz (“Kılavuz”) yayınlamıştır. Kılavuz’un incelemesine geçmeden önce bölgesel korumanın ne olduğuna ilişkin kısa bir açıklama yapmamız gerekmektedir. Öncelikle 3.maddenin 1.fıkrasında birlik içinde bulunan veri sorumluları ve veri işleyenlerinin GDPR kapsamında bölgesel olarak yükümlü oldukları net olarak düzenlenmiştir. Ancak ek olarak 3.maddenin 2.fıkrasında iki farklı durum için GDPR’ın birlik dışında olan veri sorumluları ve veri işleyenler için uygulanabileceği ifade edilmiştir. Bu durumlar;

a)“ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu ilgili kişilere mal ya da hizmetlerin sunulması veya

(b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi”

olarak ifade altına alınmıştır. Bununla beraber kılavuzun incelemesine geçmeden önce yine GDPR’ın birlik içinde olmayanların temsilcilik atamasını düzenleyen 27.maddesinin incelenmesi gerekliliği söz konusudur. Şöyle ki; 27. Madde bölgesel koruma ile paralel olarak Avrupa Birliğinde bulunmayan veri sorumluları ve işleyicilerinin temsilciliğine ilişkin düzenleme getirmektedir. 27.maddeye göre Türkiye’de bulunan veri sorumluları siciline kayıt gibi, 3.2. maddeye göre veri işleme süreci yürüten veri sorumluları ve işleyenlerinin Avrupa Birliği içinde bir temsilci bulundurması gerekliliği düzenlenmiştir.

Bu hususlar ülkemizde ve Avrupa’da net olarak anlaşılamadığından maddenin yorumlanması gerekliliği hukuk camiasında daha önce de ifade edilmiş olup, EDPD bu anlayışa yönelik bir kılavuz yayınlamıştır. Kılavuz 4 ana başlıkta toplanmıştır. İrdelenen konuları sıralamamız gerekirse; ilk olarak “işletme” (“establishment”) kavramı, daha sonra “hedefleme” (“targeting”) kavramları üzerinde durulmuş olup, bir sonraki aşamada işleme ile temsilciliklerin açıklamasına geçilmiş ve bunun güncel örneklerle belirterek bir çözüm ortaya koymaya çalışmıştır.

  1. İşletme ( Establishment)  Kavramının Değerlendirilmesi ( Madde 3-1’in değerlendirmesi)

Öncelikle Kılavuz’da GDPR 3.1.maddesinde geçen “işletme” (establishment)  kavramı değerlendirilmiş ve işletmenin yasal olarak bir kişiliğe sahip olmak değil birlik içinde tutarlı düzenlemelerle faaliyet göstermek olduğu ifade edilmiştir. Buna da örnek olarak Amerika’da kurulu olan bir otomotiv üretim şirketinin Belçika’da bulunan şube ve ofisinin yaptığı faaliyetler kapsamında bir işletme sayılacağı ifade edilmiştir. Türkiye’den bir örnek vermek gerekirse, Türkiye’de kurulmuş olan bir tekstil şirketinin Romanya’da bulunan ve hisse sahibi olduğu şubesi GDPR 3.1 maddesi kapsamında değerlendirilen bir işletmedir.  Ancak şu noktaya belirtmemiz gerekir ki, bu işleme faaliyetinin veri sorumlusunun “faaliyetleri” çerçevesinde olması gerekmektedir. Kılavuz’da bu faaliyetler de sayılmıştır. Kılavuz bu faaliyetlere ilişkin 2 tane durum öngörmüştür. Örneklemek gerekirse, Türkiye’de bulunan tekstil firması örneğinden gidersek, Türkiye’de firma ile Romanya’daki şube arasında işleme faaliyeti özelinde “inextricable” (çözülmez) bağlantı bulunması veya işleme faaliyetlerinin gelir arttırmaya dayanmasıdır. Bu hususta birçok süreci etkilemektedir. Bir diğer bölüm ise, Türk veri sorumlularından ziyade Türkiye’de bulunan ilgili kişileri ilgilendiren bir husus değerlendirme konusu yapılmıştır. Örneklerle açıklamak gerekirse, sadece Türkiye’ye hizmet veren bir yemek servisi hizmeti uygulaması İtalya’da kurulu ise GDPR kapsamında değerlendirilmesi gerekmekte olup, ilgili kişiler GDPR kapsamında sayılan haklardan yararlanabilecektir. Bununla birlikte kılavuz kapsamında verilen örneği aynen ortaya koymakla bir Birlik içindeki bir ilaç şirketi klinik deneylerini Türkiye’deki denekler üzerinde yapması halinde Türkiye’de bulunan ilgili kişiler GDPR kapsamındaki haklardan yararlanabilecektir.

İş bu düzenleme kapsamında ek olarak veri işleyen veri sorumlusu ilişkisi düzenlenmiştir. Bu husus özellikle, Türkiye’de bulunan birçok yazılım ve hizmet firmasını ilgilendiren bir durum olup bahsi geçen sektörlerde faaliyet gösteren firmaların yaptıkları ve yapacakları sözleşmelerde bu hususu ayrıntılı olarak düzenlemelerini gerektirecektir. Kılavuz’a göre Birlik içinde bulunan bir veri sorumlusu birlik dışından bir veri sorumlusu kullanması halinde GDPR 28/3.maddede belirtilen hukuki ve teknik standartlara veri işleyenin de uyması ve bu durumun sözleşme ile ortaya konulması gerekmektedir. Bu sebeple özellikle Avrupa’ya hizmet vermek isteyen veri işleyen niteliğindeki firmaların GDPR uyumlu olması ve bu Tüzük kapsamında geçen yükümlülüklere hazırlıklı olması yapılacak ticari ilişkilerde rekabet gücünü arttıracak bir etkendir. Bunun yanında Türkiye’de bulunan veri sorumluları da Avrupa’da bulunan veri işleyenlerle çalışmaları halinde 28.3’de belirtilen standartlara uyulmasını isteme hakkına sahip olup, bu şekilde bir sözleşme ile devam edilmesi önerilmektedir. Bu konuda detaylı bir sözleşme rejiminin hazırlanması ve işleme faaliyetinin niteliğine göre, veri sorumlusu veya işleyenin yararına göre uygun bir ortam sağlanmalıdır.

  • Hedefleme(“Targeting”) ve İzleme (Monitoring) Kavramının Değerlendirmesi ( Madde 3.2’nin değerlendirmesi)

Hedefleme, Türkiye’de bulunan veri sorumluları açısından değerlendirilmesi gereken ve GDPR ‘ın uygulanması bakımından en çok tartışmaya yol açan durumudur. Kılavuz kapsamında öncelikle Birlik içindeki ilgili kişilerin tanımı yapılmıştır. Bu tanımda ise sadece birlik içinde ikamet etme değil birlik içinde hedeflemenin yapılması sırasında birlik içinde erişime sahip olma olarak açıklanabilecek bir yorum yapılmıştır. Örnek olarak da vermek gerekirse; Ankara’da kurulu bir “start-up” sattığı saatler vasıtasıyla Londra ve Paris’te kişiye özel yürüyüş programları satmakta ve buna ilişkin reklamlar yapmaktadır. Bu amaca yönelik yapılan hizmette sadece Türk müşterileri değil bütün dünya hedeflenmekte ise Ankara’da kurulu şirketin bu faaliyet bakımından GDPR uyumlu olması gerekliliğinden bahsedebiliriz. Bununla birlikte sadece Türk müşterilere yönelik bir hizmet olması halinde bakacağımız durum “KVKK” olacaktır.

İkinci olarak ödeme yapılmasına gerek olup olmadığına bakılmaksızın, birlik içindeki kişilere mal veya hizmet sunulması değerlendirilmiştir. Bu noktada da daha öncede “Working Party 29” adıyla bilinen çalışma grubu ve çeşitli yargı kararlarına dayanılmıştır. Buna ilişkin Kılavuz’da verilen örneği aynen aktarıyorum. Zaten kılavuzda da ülkemizin adı geçirilmiş olup, Türkiye’de bulunan ve fotoğraf albümü yapma, düzenleme ve satma işi yapan bir veri sorumlusunun faaliyetleri değerlendirilmiştir. Bu veri sorumlusu bu hizmeti 3 ülkeye sağlamakta, web sitesi 3 farklı birlik ülkesi dilinde olmakta ve çeşitli farklı kurlar üzerinden ödeme almaktadır. Bu web sitesinin GDPR Madde 3.2’nin uygulama alanında olduğu ifade edilmiş olup, bu firmanın GDPR 27.maddesi gereğince bir temsilciliğinin bulunması gerektiği ifade edilmiştir.

  • İzleme (Monitoring) Kavramı

Son aşamada ise ilgili kişilerin davranışlarının izlenmesi (“monitoring”) kavramına değinilmiştir. İzleme için sadece kişilerin verilerinin işlenmesi değil bir takım ek unsurların da olması gerektiği ifade edilmiştir. Bu ek unsurları genel bir tabirle; davranışsal analiz veya profil çıkarma yöntemleri olarak iki ana başlıkta toplamıştır. Ve kılavuz kapsamında bazı örnekler vererek, davranışsal reklamcılık uygulamaları yapılması, “cookieler” veya başka yöntemlerle kullanıcı takibi, pazar araştırmaları veya başka davranışsal çalışmalar yapılması birkaç izleme metodu olarak sıralanmıştır. Türkiye’de bulunan bir pazarlama veya yazılım şirketi İsveç’te bulunan bir alışveriş merkezinde bulunanların hareketlerini Wifi takibi ile izleyip bir analiz sunuyorsa yapılan işleme faaliyetinin GDPR kapsamında değerlendirilmesi gerekmekte ve bu şirketin 27.madde anlamında bir temsilcisi olması gerekmektedir. 

  • Temsilci (“Representative”) Kavramının Değerlendirilmesi (Madde 27’nin Değerlendirmesi)

Eğer ki, bir veri sorumlusu veya veri işleyen GDPR 3.2 kapsamına giriyorsa ve işleme faaliyeti düzenli ve hassas veri içeren bir faaliyete dayanıyorsa temsilci atama zorunluluğu söz konusudur. Bu noktada yukarıda belirttiğimiz örneklere haiz bir Türk şirketinin kontrolüne aldığı bir temsilci ataması gerekmektedir. Bu temsilci atamasının bir hizmet sözleşmesi kapsamında yapılabileceği ve hizmet sözleşmesinde şartların belirlenmesi gerektiği ve bu temsilcinin yine GDPR’la getirilen DPO‘dan farklı olduğu ifade edilmiştir. Bu temsilcinin bilgilerinin de ilgili kişilere şirketlerin gizlilik politikalarında veya aydınlatma metinlerinde belirtilmesi gerektiği ayrıca ifade edilmiştir. Bu temsilcinin, firmanın en çok veri işleme faaliyetini sağladığı ülkede atanması EDPD tarafından önerilmektedir. Temsilcinin görevlerini sıralamak gerekirse; ilgili kişilerle veri sorumlusu veya işleyen arasındaki haklara ilişkin cevap noktası olması, veri sorumlusu tarafından kendisine sağlanan veri işleme faaliyetlerine ilişkin kayıtların tutulması, veri koruma otoriteleriyle iletişimin sağlanması gibi ifadeler Kılavuz’da yayınlanmıştır. Bununla beraber temsilci atanmasındaki temel amacın cezaların uygulanmasının sağlanması olması kesin bir dille ifade edilmiştir. Bu sebeple temsilcilerin idari para cezalarının uygulanmasında müteselsil sorumluluğu olacağı bu sebeple hizmet sözleşmesi yapılırken bu amacın da varlığının dikkate alınması gerekmektedir.

  • Sonuç

Bütün bu saydıklarımızı özetlemek gerekirse;

  • GDPR kapsamında Türk vatandaşı olan ve Türkiye’de yaşayan ilgili kişilerin verileri Birlik içindeki bir veri sorumlusu tarafından işleniyorsa, biz de Kanunun uygulamasında yer alan haklardan yararlanabileceğiz.
  • Veri işleyen konumundaki firmalar özellikle yazılım, danışmanlık ve teknoloji gibi alanlarda çalışan firmalar veri işleyen sıfatına haiz olsalar dahi, veri işleme faaliyetini yürüttükleri firmanın GDPR yükümlüsü olması halinde dolaylı olarak bu firmalarında GDPR yükümlü olmaları durumunu getirmektedir. Bu durum Türkiye’de yerleşik bir çok firmanın rekabet gücünü de arttırıcı nitelikte olacaktır.
  • Türkiye’de kurulu bir veri sorumlusu hedefleme olarak Avrupa Birliği vatandaşlarını radarına almış ise bu noktada GDPR sorumluluğu yüksek düzeyde olup, GDPR yükümlülüklerini uymakla beraber GDPR’ın 27.maddesi gereğince birlik içinde bir temsilci ataması gerekmektedir.
  • Çeşitli teknoloji vasıtaları veya klasik yollarla müşterilerin izlenmesini yukarıda belirttiğimiz şartlarda yapan bir veri sorumlusu da GDPR kapsamında olup, GDPR yükümlülüklerini uymakla beraber GDPR 27.maddesi kapsamında birlik içinde bir temsilci ataması yapması gerekmektedir

Temsilci atamanın çeşitli şartları olup, bu hususların değerlendirilmesi ve uygun bir sözleşme ile bu sürecin yürütülmesi gerekmektedir. Ayrıca EDPD son yayınladığı bilgi notu ile yakında denetimlere başlayacağını bir an önce bu kılavuzlara veri sorumlularının uyması gerektiğini de ayrıca ifade etmektedir

Turkish WordPress Cookie Plugin by Real Cookie Banner