UK GDPR Nedir? GDPR ile İlişkisi ve Dikkat Edilmesi Gereken Noktaları Açıklıyoruz
Birleşik Krallık’ın AB’den ayrılmasıyla birlikte, 2021 yılının Ocak ayının 1’inde UK GDPR (İngiliz Genel Veri Koruma Tüzüğü) yürürlüğe girmiştir.
GDPR, kişisel verilerin işlenmesi ve transferi için AB tarafından belirlenen bir düzenlemedir ve AB içinde müşterilere hizmet sunan Japon şirketlerin GDPR’ye uyum sağlaması gerekmektedir. UK GDPR ise, bu GDPR’nin Birleşik Krallık versiyonudur.
Bu makalede, GDPR ile AB’nin GDPR’ı arasındaki ilişki ve AB’nin GDPR’ı hakkında detaylı bilgi verilecektir. Avrupa’ya, İngiltere de dahil olmak üzere iş genişletme planlarınızda dikkate almanız gereken noktaları ve önceden önlem almanız gereken yasaları öğrenin.
UK GDPR’nin İngiltere’nin AB’den Ayrılmasıyla Yürürlüğe Girmesi
İngiltere, 2020 yılının 31 Ocak tarihinde Avrupa Birliği’nden (AB) ayrıldı ve bunun sonucunda AB’nin GDPR’ına dayanarak UK GDPR yürürlüğe girdi.
İngiltere, AB’nin GDPR’ı altında “üçüncü ülke” konumuna geldi ve AB tüketicilerine hizmet sunan İngiliz şirketler, hem İngiltere hem de AB’nin GDPR kurallarına uymak zorundadır.
| GDPR (AB Genel Veri Koruma Tüzüğü) | 2018 yılında yürürlüğe giren yasa. AB içindeki kişilere mal veya hizmet sunan ya da faaliyetlerini izleyenlerin, veri koruma önlemleri alması gerekmektedir. |
| UK GDPR (İngiltere Genel Veri Koruma Düzenlemesi) | 2020 yılındaki AB’den ayrılma ile yürürlüğe giren yasa. İngiltere’de kurulan şirketler ve organizasyonlar ya da İngiltere içindeki kullanıcılara hizmet sunanlar için veri koruma önlemleri alınması gerekmektedir. |
İlgili makale: GDPR nedir? Kişisel Bilgi Koruma Yasası ile karşılaştırma ve Japon şirketlerin bilmesi gereken noktaları açıklıyoruz[ja]
İlgili makale: GDPR uyumlu Gizlilik Politikası oluştururken dikkat edilmesi gereken noktaları açıklıyoruz[ja]
UK GDPR Nedir?
UK GDPR (İngiliz Genel Veri Koruma Tüzüğü), kişisel verilerin işlenmesi ve İngiltere dışına aktarılması için gerekli şartları belirler ve bu işlemleri gerçekleştiren kişilerin uyması gereken standartları ve yükümlülükleri düzenleyen bir yönetmeliktir.
2018 yılında yürürlüğe giren Veri Koruma Kanunu 2 (Data Protection Act 2018), İngiltere’de 1998 yılında yürürlüğe giren Veri Koruma Kanunu’nun çerçevesini güncelleyerek belirlemiştir. Daha sonra, İngiltere’nin AB’den ayrılma süreci göz önünde bulundurularak, 2018 yılında AB’den Ayrılma Kanunu temel alınarak düzenlenen mevzuatla 2021 yılının Ocak ayının 1’inde UK GDPR olarak revize edilmiştir.
UK GDPR, İngiltere içindeki yöneticilerin veya işleyicilerin faaliyet gösterdiği süreçlerde gerçekleştirilen “kişisel veri işleme” faaliyetlerine uygulanır. Ayrıca, UK GDPR belirli durumlarda, İngiltere içinde bir merkezi olmayan yöneticilerin veya işleyicilerin gerçekleştirdiği kişisel veri işleme faaliyetlerine de uygulanmaktadır.
UK GDPR’de Bilinmesi Gereken Önemli Noktalar
Bu bölümde, UK GDPR kapsamında özellikle üzerinde durulması gereken aşağıdaki iki önemli noktayı açıklıyoruz.
- Kişisel Verilerin Transferi
- Temsilci ve Ajan Ataması
Kişisel Verilerin Transferi
Japonya ile Birleşik Krallık arasındaki veri transferi konusunda, Japonya tarafı, AB’ye karşı uyguladığı Kişisel Bilgi Koruma Yasası’nın 24. maddesine (Kişisel Bilgi Koruma Yasası’nın 24. maddesi, Reiwa 4 (2022) yılının 1 Nisan’ında yürürlüğe giren Dijital Toplumun Oluşturulması Hakkında Kanun’un 50. maddesi ile değiştirilmiş olup, şu anda 28. madde olarak geçerlidir) dayanarak yapılan belirlemeyi, Birleşik Krallık’ın AB’den ayrılmasının ardından da sürdürmeye devam etmektedir.
Ayrıca, Birleşik Krallık ve AB arasındaki kişisel veri transferi, geçiş dönemi boyunca daha önceki gibi sorunsuz bir şekilde gerçekleştirilebilmektedir.
Bu nedenle, Birleşik Krallık’ın AB’den ayrılmasının ardından bile, Japonya ile Birleşik Krallık arasında kişisel veri transferi sorunsuz bir şekilde sağlanmaktadır.
Temsilci ve Ajan Ataması
Birleşik Krallık şirketleri, AB içinde şube veya ofisleri yoksa, bir AB ajanı atamalı ve veri koruma bildirimlerini uygun şekilde güncellemelidir.
| Ajan | AB içinde bir merkezi olmayan şirketlerin, AB içinde kişisel veri işlemesi durumunda, AB içinde bir ajan ataması zorunludur. Ajan, şirket adına AB içindeki yetkililerle kişisel veri işleme konularını koordine eden rolü üstlenir. |
| Temsilci | Temsilciler, AB içinde bir merkezi olan şirketlerin, AB içinde kişisel veri işlemesi durumunda, AB içinde bir temsilci ataması zorunludur. Temsilci, şirketin AB içindeki kişisel veri işleme faaliyetlerinden sorumludur. |
Ajan, şube veya ofislerin temsilci olarak işlev görmesini sağlar.
Öte yandan, Birleşik Krallık yasalarına göre, kişisel veri sahibi olan AB şirketlerinin Birleşik Krallık’ta bir temsilci bulundurması da gerekmektedir.
Bu nedenle, AB’de bir merkezi olan şirketlerin, işledikleri bilgilerin UK GDPR kurallarına tabi olup olmadığını belirlemek için kayıtlarını gözden geçirmeleri ve ayrıştırmaları gerekmektedir.
UK GDPR’nin Uygulandığı Japon Şirketleri
UK GDPR’nin uygulandığı durumlar aşağıdaki iki şekildedir:
- İngiltere içinde bir merkez kurarak faaliyet gösterdiğinizde
- İngiltere’de bir merkeziniz olmamasına rağmen, İngiltere’ye yönelik iş geliştirdiğinizde
İkinci durumda UK GDPR, aşağıdaki gibi hallerde uygulanır:
- Japon iç pazarındaki işletmeler Avrupa’yı da içine alacak şekilde küresel pazarda bir e-ticaret sitesi açtığında
- Avrupa pazarına yönelik pazarlama kampanyaları yürüttüğünde
- Japon iç pazarındaki işletmeler Avrupa pazarından gelir elde ettiğinde
Özellikle aşağıdaki gibi durumlar söz konusudur:
- Japon iç pazarındaki işletmeler, İngiltere’deki oyunculara oyun uygulaması dağıtıp, oyuncuların isimlerini ve ödeme geçmişlerini topladığında
- Sterlin ile ödeme yapılabilen, İngilizce ifadeler içeren ve İngiltere’ye gönderimden bahseden bir e-ticaret sitesinde müşterilerin adres, isim ve hesap bilgilerini topladığında
- Japon iç pazarındaki işletmeler, İngiltere’deki bireylere e-posta bülteni göndermek için isim ve e-posta adreslerini yönettiğinde
- Japon iç pazarındaki işletmeler, İngiltere’deki bireylerden bir uygulama aracılığıyla konum bilgisi alıp analiz ettiğinde
- Japon iç pazarındaki işletmeler, web sitesi üzerinden çerez bilgilerini toplayıp bireylerin tercihlerini analiz ederek davranışsal hedefleme reklamları yayınladığında
- Japon iç pazarındaki işletmeler, giyilebilir cihazlar (akıllı saatler vb.) aracılığıyla İngiltere’deki bireylerin sağlıkla ilgili bilgilerini toplayıp yönettiğinde
Aşağıda, UK GDPR’nin uygulama kapsamını gösteren bir akış şeması bulunmaktadır.
Referans: 「İngiltere Genel Veri Koruma Tüzüğü (UK GDPR)」Uygulama El Kitabı[ja] | Japonya Dış Ticaret Teşvik Kurumu (JETRO) Londra Ofisi Yurtdışı Araştırma Bölümü
UK GDPR İhlali Durumunda Karşılaşılabilecek 3 Risk
Bu bölümde, UK GDPR ihlali durumunda karşılaşılabilecek üç riski ele alacağız.
- ICO tarafından uygulanabilecek yüksek miktarda para cezaları içeren yaptırımlarla karşı karşıya kalma riski
- Veri sahipleri tarafından tazminat talebi gibi hukuki taleplerle karşılaşma riski
- Kişisel verilerin korunmasına yönelik yetersiz tedbirler nedeniyle iş dünyasında itibar kaybı yaşama riski
ICO (Information Commissioner’s Office), bilgi haklarını korumak amacıyla kurulmuş bağımsız bir İngiliz kurumudur. UK GDPR kurallarına aykırılık tespit edildiğinde, ICO tarafından para cezası uygulanabilir.
Cezalar oldukça yüksek olabilmekte, 2019 yılında İngiliz havayolu şirketi British Airways’e 183 milyon pound (British Airways’in global gelirinin %1.5’i) tutarında bir yaptırım uygulanmıştır.
Ayrıca, Marriott ve Ritz-Carlton gibi ünlü otelleri işleten Marriott International’a da 99 milyon poundluk bir yaptırım uygulanmıştır.
Bu tür yaptırımların kamuoyuna duyurulması, sadece yüksek miktarda para cezası ödenmesine neden olmakla kalmaz, aynı zamanda marka değerinde düşüşe de yol açabilir. Bir kez düşen kurumsal marka değerini yükseltmek oldukça zordur. Marka gücünü korumak için kişisel verilerin işlenmesine özellikle dikkat etmek gerekmektedir.
Özet: UK GDPR Değişikliklerini Yakından Takip Etmek Gerekiyor
UK GDPR (İngiltere Genel Veri Koruma Tüzüğü), İngiltere’nin AB’den ayrılmasıyla birlikte 2021 yılının Ocak ayının 1’inde (2021) değişikliğe uğramış nispeten yeni bir yasadır.
Ayrıca, bu makalede bahsedilen İngiltere içinde uygulanan UK GDPR ile AB ülkelerinde uygulanan EU GDPR olmak üzere İngiltere’de iki farklı yasa uygulanmaktadır.
Şu anda da kişisel bilgilerle ilgili düzenlemelerin gözden geçirilmesi çok yönlü olarak devam etmektedir. Bu nedenle, İngiltere veya AB ülkelerine zaten iş yapmaya başlamış olan Japon şirketler için de UK GDPR değişikliklerinin gidişatını yakından takip etmek önemlidir.
UK GDPR ihlali yapılması durumunda, sadece yüksek miktarda cezai yaptırımlarla karşılaşmakla kalmaz, aynı zamanda şirketin kurumsal marka değerinin düşmesine de yol açabilir. Bu nedenle, şirketinizin güvenlik sistemini gözden geçirmek, düzenlemelerdeki değişikliklere ve önlemlere dikkat etmek büyük önem taşımaktadır.
Hukuk Büromuz Tarafından Sunulan Önlemler
Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki incelemelerin gerekliliği artmaktadır. Büromuz, uluslararası hukuk işlerine yönelik çözümler sunmaktadır.
Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]
Related Articles
İnsan Kaynakları Tanıtımının Temel Sözleşmesini Hazırlarken Dikkat Edilmesi Gereken Noktalar
General Corporate
Şirkette Kişisel E-posta Kullanımı Nedeniyle Disiplin Amaçlı İşten Çıkarmanın Geçerliliğinin Değ.
General Corporate
Diğer Şirketlere İş Değiştirme Yasağı Maddesinin Geçerliliği Hakkında Yargı Kararları ve Örnek O.
General Corporate
İlaç ve Tıbbi Cihaz Yasası güzellik ve diyet reklamlarında öncesi ve sonrası fotoğraflarını yasa.
General Corporate
