GDPR Uygulama Alanı Dışında Ne Zaman Uygulanır? Uygun Yaklaşım Yöntemleri Açıklanıyor

GDPR, AB tarafından belirlenen kişisel verilerin korunması ve işlenmesi ile ilgili düzenlemeleri ifade eder. AB içerisinde ürün veya hizmet sunuyorsanız, GDPR’nin uygulanabilir olma ihtimali vardır. Ancak, şirketinizin GDPR kapsamına girip girmediğini veya girerse ne yapmanız gerektiğini bilmeyenler de olabilir.

Bu makalede, GDPR’nin uygulama kapsamı, uygulandığında yapılması gerekenler ve gerekli yanıtlar hakkında bilgi verilmektedir. GDPR uygulaması ile ilgili Sıkça Sorulan Sorular bölümümüz de bulunmaktadır, bu nedenle lütfen bilgi edinmek için göz atın.

GDPR Uygulama Kapsamı

GDPR’nin uygulanabilirlik koşulları, GDPR Madde 3 ‘Coğrafi Uygulama Kapsamı’nda belirtilmiştir. GDPR’nin uygulama kapsamı, AB içinde bir merkezi olan ve olmayan durumlar olmak üzere ikiye ayrılır.

AB içinde bir merkezi olan durumlar için belirtilen içerik aşağıdaki gibidir:

“Bu işlemin AB içinde gerçekleşip gerçekleşmediğine bakılmaksızın, AB içindeki yöneticilerin veya işleyicilerin merkezlerinin faaliyetleri sırasında kişisel verilerin işlenmesine uygulanır”

Referans: Kişisel Bilgi Koruma Komisyonu | ‘Genel Veri Koruma Tüzüğü (GDPR) Geçici Japonca Çevirisi[ja]‘

Yani, AB içinde bir yönetici veya işleyici merkezi varsa, GDPR’nin uygulanacağı anlamına gelir.

AB içinde bir merkezi olmayan durumlar için uygulama kapsamı aşağıdaki iki durumu içerir:

1. AB içindeki bireylere mal veya hizmet sunuyorsa
2. AB içindeki bireylerin davranışlarını izliyorsa

GDPR, AB dışındaki ülkelere sıkı sınırlamalar getirmekte ve veri transferini serbestçe yapabilmek için ‘Yeterlilik Onayı’ gerektirmektedir. Yeterlilik Onayı, Avrupa Komisyonu’nun müzakereleri sonucunda verilen bir onay olup, kişisel verilerin yeterli koruma düzeyini sağlayan ülke veya bölgelere tanınır.

Yeterlilik Onayı olmayan ülke veya bölgeler, AB dışına veri transferi için SCC veya BCR gibi prosedürleri uygulamak zorundadır.

Yeterlilik Onayı’nın değiştirdiği şey, SCC veya BCR gibi prosedürleri uygulama gerekliliğinin olmamasıdır.

Japonya’ya yönelik Yeterlilik Onayı, 2018 Temmuz’unda (2018) Japonya-AB düzenli zirve toplantısında kişisel veri transferi çerçevesini işler hale getirmek için çabaların ilerletileceği duyurulmuştur. Ardından, 2019 Ocak 23’ünde Yeterlilik Onayı alınmış ve “AB ile Japonya’nın kişisel verilerin korunma düzeyi konusunda karşılıklı olarak eşdeğer olduğuna karar verdiğini memnuniyetle karşıladığı” açıklaması yapılmıştır.

GDPR Uygulanan Şirketlerin Yapması Gerekenler

GDPR uygulanan şirketlerin yerine getirmesi gereken başlıca iki yükümlülük bulunmaktadır:

• AB/İngiltere’de Temsilci Atama
• Gizlilik Politikasına Açıkça Belirtme

Bu yazımızda her birinin detaylarını açıklayacağız.

AB/İngiltere’de Temsilci Atama

GDPR’nin 27. maddesi, GDPR’nin dış sınırlarında uygulanabilirliği olduğu durumlarda, AB veya İngiltere’de bir iş yeri bulunan temsilci atama zorunluluğu getirmektedir.

Burada bahsedilen temsilci, yönetici veya işleyici tarafından yazılı olarak atanmış ve GDPR’ye dayanarak yönetici/işleyicinin yükümlülüklerini yerine getirme konusunda onları temsil eden kişidir.

AB içinde faaliyet gösteren tüm şirketlerin temsilci ataması yapması gerekmez. Temsilci atama yükümlülüğü olmayan şirketler aşağıdaki durumlarda geçerlidir (GDPR’nin 27. maddesi):

• GDPR’nin uygulandığı işlemler geçici olmayıp, ‘özel türdeki verilerin’ veya ‘suç mahkumiyetleri ve suç faaliyetleriyle ilgili kişisel verilerin işlenmesini kapsamayan ve işlemin doğası, süreci, kapsamı ve amacı göz önünde bulundurulduğunda, bireylerin hakları veya özgürlükleri için risk oluşturma ihtimali düşük olan işlemler söz konusu olduğunda
• Kamu kurumu veya kamu kuruluşu olmadığı durumlar

Referans: Kişisel Verileri Koruma Komisyonu | ‘Genel Veri Koruma Tüzüğü (GDPR) Geçici Japonca Çevirisi[ja]‘

Gizlilik Politikasına Açıkça Belirtme

GDPR’nin uygulandığı şirketler, gizlilik politikalarında bir temsilci atadıklarını açıkça belirtmek zorundadırlar.

Temsilci Atanmamasının Cezai Yaptırımları

GDPR kapsamında olmasına rağmen temsilci atanmaması durumunda, cezai yaptırımların uygulanacağına dikkat etmek gerekmektedir. Cezai yaptırımlar, en fazla 1.000 Euro veya global toplam satışın %2’sine kadar olan miktarın hangisi daha büyükse o uygulanır (GDPR Madde 84, Fıkra 4).

Vekilin Üstlendiği Görevler

GDPR kapsamına giriyorsanız, genellikle bir temsilci atamanız gerekmektedir. Peki, bir temsilciden beklenen görevler nelerdir? Bu bölümde, temsilcinin görevlerini ayrıntılı bir şekilde açıklıyoruz.

Madde 30 Kapsamında Kayıt İşleme

AB ülkelerinde temsilci bulunduran yöneticiler veya işleyiciler, kendi işleme kayıtlarını temsilciyle paylaşmak zorundadır. Ayrıca, temsilciler de yönetici veya işleyici gibi bu kayıtları saklamakla yükümlüdür (GDPR Madde 30).

Kayıt altına alınması gereken bilgiler arasında şunlar bulunmaktadır:

• Yönetici, DPO (Veri Koruma Sorumlusu) gibi kişilerin isimleri ve iletişim bilgileri
• Verilerin işlenme amacı
• Veri sahibinin özellikleri ve işlenen veri türleri
• Saklama süresi
• Silme zamanı

Veri sahibi, tanımlanmış veya tanımlanabilir gerçek kişidir ve kişisel verilerin ilişkili olduğu kişiyi ifade eder.

Denetim otoritesinden talep gelmesi durumunda, bu işleme kayıtlarının kullanılabilir olması gerekmektedir.

Veri Sahibi veya Denetim Otoritesinden Gelen Sorulara Yanıt Verme

Veri sahibi veya denetim otoritesinden bir soru geldiğinde, temsilcinin yönetici veya işleyicinin yerine geçerek veri sahibi ve denetim otoritesine yanıt vermesi gerekmektedir (GDPR Madde 27, Fıkra 3). Örneğin, veri sahibi bir talepte bulunduğunda, yöneticinin bilgiyi bir ay içinde sağlaması gerekmektedir (GDPR Madde 12, Fıkra 3). Ayrıca, temsilcinin denetim otoritesinden gelen taleplere yanıt vermesi ve denetim otoritesiyle iş birliği yapması gerekmektedir (GDPR Madde 31).

GDPR Uygulamasına İlişkin Sıkça Sorulan Sorular

GDPR uygulaması ile ilgili sıkça karşılaşılan sorulara aşağıda yanıt veriyoruz.

Yurtdışı Faaliyet Planınız Yoksa GDPR Uyumuna Gerek Var mı?

Temel olarak, yurtdışına açılma planınız yoksa GDPR’a uyum sağlamanız gerekmez. Ancak, yurtdışı faaliyetiniz olmasa bile, AB içindeki bireylerden veri toplama ihtimaliniz varsa dikkatli olmanız gerekmektedir.

Örneğin, aşağıdaki durumlar söz konusu olabilir:

• AB içindeki bireylerden bir e-ticaret sitesi işletiyor ve soru ya da sipariş alıyorsanız
• Web sitenizi ziyaret eden AB içindeki bireylerin çevrimiçi tanımlayıcılarını (IP adresi veya çerezler gibi) topluyorsanız
• AB içindeki bireylerden gelen sorulara yanıt verirken e-posta adreslerini topluyorsanız

AB içindeki bireylerin verilerini kasıtlı olmayan bir şekilde toplasanız bile, coğrafi uygulama alanına dahil olmadığınız için GDPR’a uyum sağlamak zorunda değilsiniz.

Yalnızca, AB içinde bir merkeziniz varsa veya AB içinde bir merkeziniz olmasa bile aşağıdaki iki durumdan birine uyan durumlarda GDPR’a uyum sağlamanız gerektiğini unutmayın:

1. AB içindeki bireylere mal veya hizmet sunuyorsanız
2. AB içindeki bireylerin davranışlarını izliyorsanız

AB Bölgesi’ni Hedefleyen Sınır Ötesi E-Ticaret Sitesi Kurarken Gerekli Olan Adımlar Nelerdir?

AB Bölgesi’ni hedefleyen bir sınır ötesi e-ticaret sitesi kurarken, AB bölgesindeki kişisel verileri toplama ihtimaliniz bulunmaktadır. Toplanabilecek bilgiler şunları içerebilir:

• İsim
• E-posta adresi
• Adres
• Kredi kartı bilgileri
• Satın alma bilgileri
• Konum bilgisi
• IP adresi & Cookie ID

Bu bilgileri topladığınızda, GDPR tarafından belirlenen kişisel verilere dahil oldukları için GDPR kurallarına uygun şekilde işlem yapmanız gerekmektedir.

İlk olarak, GDPR uyumlu bir gizlilik politikası gözden geçirmesi yapmak ve gizlilik bildiriminizi yeniden düzenleyip yayınlamak iyi bir başlangıç olacaktır.
İlgili makale: GDPR Uyumlu Gizlilik Politikası Oluştururken Dikkat Edilmesi Gereken Noktalar![ja]

Bunun üzerine, aşağıdaki adımları izleyin:

1. Cookie politikası oluşturun ve e-ticaret sitesine ilk kez gelen ziyaretçilerden cookie kullanımı için onay alın
2. Kişisel veri topluyorsanız, ‘kişisel verilerin işlenmesi’ konusunda onay alın
3. Kişisel verilerin korunması ve sızdırılmasının önlenmesi için güvenlik önlemleri alın
4. Bir temsilci atayın

Ayrıca, ihtiyaç duyulduğunda şirket içi kuralları gözden geçirin ve GDPR uyumlu bir el kitabı oluşturmak, dış kaynak kullanımı sözleşmelerini yeniden düzenlemek gibi adımları atın.

GDPR ile UK GDPR Arasındaki Farklar Nelerdir?

UK GDPR, Birleşik Krallık’ın Genel Veri Koruma Tüzüğü’nü ifade eder. UK GDPR, Birleşik Krallık’ın Avrupa Birliği’nden ayrılmasıyla birlikte, 2021 yılının Ocak ayının 1’inde (2021) yürürlüğe girmiştir. GDPR ise AB düzenlemesi olup, Birleşik Krallık’ta uygulanmamaktadır.

UK GDPR’ın uygulandığı durumlar şunlardır:

1. Birleşik Krallık içindeki bireylere mal veya hizmet sunuyorsanız
2. Birleşik Krallık içindeki bireylerin davranışlarını izliyorsanız

Birleşik Krallık veya AB içinde iş yürütüyorsanız, hem GDPR hem de UK GDPR ile uyumlu olmanız gerektiğini söyleyebiliriz.

Özet: GDPR Uygulama Alanı Konusunda Sorun Yaşıyorsanız Uzmanlara Danışın

AB bölgesinde bir merkeziniz varsa veya AB bölgesinde bir merkeziniz olmasa bile “AB bölgesindeki bireylere ürün veya hizmet sunuyorsanız” ya da “bireylerin davranışlarını izliyorsanız”, GDPR’nin uygulama alanına girersiniz. GDPR’ye tabi olan şirketler, AB’de bir temsilci atamak zorundadır ve gizlilik politikalarında bu durumu açıkça belirtmeleri gerekmektedir.

Temsilci atamazsanız, yüksek miktarda cezai yaptırımlarla karşı karşıya kalabilirsiniz. AB bölgesinde iş geliştiren veya gelecekte giriş yapmayı düşünen şirketler, GDPR’ye uyum sağlamak için bir temsilci atamalıdır.

Şirketinizin GDPR’nin uygulama alanına girip girmediğinden emin değilseniz, uluslararası hukuk konusunda deneyimli uzmanlara danışmanızı tavsiye ederiz.

Hukuk Büromuz Tarafından Sunulan Önlemler

Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki incelemelerin gerekliliği artmaktadır. Büromuz, uluslararası hukuk işlerine yönelik çözümler sunmaktadır.

Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]