AVRUPA BİRLİĞİ VERİ KORUMA TÜZÜĞÜ’NÜN (GDPR) UYGULAMA ALANI VE TÜRK ŞİRKETLERİ ÜZERİNDEKİ MUHTEMEL ETKİLERİ

19.01.2018

Duyurumuz; 25 Mayıs 2018 tarihinde yürürlüğe girecek olan Avrupa Birliği Veri Koruma Tüzüğü (EU General Data Protection Regulation – GDPR) kapsamında dikkat edilmesi gereken usul ve esaslar hakkındadır. 

GDPR Hakkında;

Avrupa Birliği’nin (AB) halihazırda yürürlükte olan 95/46 sayılı Direktifi’ni ilga eden GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girecek olup; işbu Tüzük, kişisel verilerin korunması alanında Direktif’e nazaran daha detaylı düzenlemeler ve ağırlaştırılmış müeyyideler öngörmektedir.

GDPR ile sağlanması amaçlanan hususlar; veri sahibinin temel haklarının güvence altına alınması, kişisel verilerin birlik içerisinde serbest dolaşımının sağlanması, ekonomik ve sosyal kalkınma ile buna bağlı olarak ticaretin geliştirilmesi ve teknolojik gelişmeler ışığında kişisel verilerin işlenmesi alanlarına çözüm getirilmesidir.

Tüm bunlara ek olarak GDPR’ın tüzük olarak düzenlenmesiyle, kişisel verilerin korunmasına ilişkin usul ve esaslarda, AB genelinde yeknesaklık sağlanmış olmaktadır. Bu yeknesaklık sayesinde belirlilik tesis edilmiş ve teşebbüslerin AB genelinde faaliyet göstermeleri kolaylaştırılmış olacaktır.

GDPR’ın Konu Bakımından Uygulama Alanı;

Konu bakımından uygulama alanı Tüzüğün 2. maddesinde düzenlenmiştir. GDPR hükümleri çoğunlukla Direktif’e paralellik gösterse de kayda değer farklılıklar da içermektedir.

Buna göre:

• GDPR kapsamında korunacak olan kişisel verilerin, hayatta olan gerçek kişilere ait veriler olduğu hususunda açık hüküm tesis edilmiştir.
• Direktif’e paralel olarak, işleme metoduna dair bir ayrım yapılmaksızın, otomatik olan ya da olmayan yollarla işlenen veriler korumaya tabi tutulmuştur.
• GDPR kapsamında getirilen yükümlülüklere tabi olan kişiler; gerçek ve tüzel kişiler ile kamu kurumları olarak belirlenmiştir.

Bunların yanı sıra, Tüzüğün uygulama alanı dışında kalması öngörülen istisnai hallere de işbu madde kapsamında yer verilmiştir. Direktif’te istisnai haller olarak belirlenen hükümler Tüzük’te de benimsenmiş olmakla birlikte; muafiyet alanı, iki yeni istisnai halin daha eklenmesi suretiyle genişletilmiştir.

Direktif’e paralel istisnalar:

• Kamu güvenliği, savunma ve denetim güvenliğine ilişkin işlemeler,
• Devletin ceza hukuku alanındaki faaliyetleri gibi AB hukukunun uygulama alanı dışında kalan işlemeler,
• Gerçek kişilerin şahsi, evi ve ailesiyle ilgili faaliyetleri kapsamındaki veri işlemeleridir.

Muafiyet alanını genişleten istisnalar:

• Yetkili ulusal makamlarca, yargı işlevinin yerine getirilmesi kapsamında veya ceza gerektiren suçların engellenmesi, soruşturulması veya kovuşturulması amacıyla yapılan işlemeler,
• AB’nin resmi organları; kurum ve kuruluşları tarafından kişisel verilerin işlenmesi halleridir.

AB’nin resmi organlarınca yapılacak veri işleme fiilleri, işbu Tüzük kapsamında değerlendirilmeyecek; işbu Tüzüğün 98. maddesi uyarınca Tüzük ile uyumlu olacak şekilde tadil edilecek olan 45/2001 Sayılı Tüzük kapsamında değerlendirilecektir.

GDPR’ın Yer Bakımından Uygulama Alanı;

Bölgesel kapsam bakımından uygulama alanının tespiti, Tüzüğün 3. maddesinde yapılmıştır. GDPR temel bir AB düzenlemesi olduğundan, AB üyesi olmayan devletlerin işbu yasal düzenleme ile getirilen yükümlülüklere tabi tutulamayacağı düşünülebilir. Ancak, ilgili madde incelendiğinde bazı durumlarda üye olmayan devletlerin de işbu Tüzük ile bağlı oldukları söylenebilecektir.

Merkezi AB sınırları içerisinde bulunan şirketler, veri işleme fiilini AB sınırları içinde gerçekleştirmeseler dahi GDPR hükümlerine tabidir.

Merkezi AB sınırları içerisinde bulunmayan şirketler ise veri işleme faaliyetini AB sınırları içerisinde bulunan bir şirketin operasyonları dahilinde gerçekleştirmeleri halinde işbu Tüzüğe tabi olacaklardır.

Bir mal veya hizmet sunumu ya da AB içerisindeki davranışların gözetlenmesi maksadıyla, AB içerisindeki herhangi bir kişinin verilerinin işlenmesi halinde de, AB sınırları dahilinde bulunmayan veri sorumluları ve veri işleyenler GDPR hükümleriyle bağlı olacaklardır.

Bunların yanı sıra, GDPR hükümleri, AB içerisinde kurulmuş olmasa da Devletler Genel Hukuku dolayısıyla AB’ye üye bir devletin hukukunun uygulandığı bir yerde kurulan ve veri işleyen veri sorumlularına da uygulanacaktır.

GDPR’ın Türkiye’ye Etkisi;

Tüzük ile asıl hedeflenen, kişisel verilerin korunması hususunda AB içerisinde harmonizasyonun ve uyumun sağlanması olmakla birlikte; Tüzüğün etki alanı, yukarıda sayılan hallerin mevcudiyeti halinde AB ülkeleri ile sınırlı kalmamaktadır.

Şöyle ki; Tüzüğün 3. maddesinde öngörüldüğü üzere, AB sınırları içerisindeki gerçek kişilerin kişisel verilerinin işlenmesi halinde, bu işlem AB ülkesinde gerçekleşmiyor olsa dahi Tüzük hükümlerine uygun olarak yapılmalıdır. Bu nedenle, Türkiye’de faaliyet gösteren şirketlerin de GDPR’a uyum sağlaması gerekmektedir.

Ayrıca, merkezi Türkiye’de olsa dahi AB sınırları içerisinde faaliyet gösteren şubeler ve AB merkezli olup, Türkiye’de faaliyette bulunan şubeler de işbu Tüzük ile uyumlu hale gelmelidir.

Belirtmek gerekir ki, Tüzüğün etki alanı dahilinde olacak şirketlerin belirlenmesinde yalnızca konu ve yer bakımından bir kriter öngörülmüş olup, şirketin büyük veya küçük ölçekli olmasına bakılmaksızın, sayılan kriterleri sağlayan tüm şirketler Tüzüğün getirdiği yükümlülüklere uygun şekilde veri işleme faaliyetini gerçekleştirmek durumundadırlar.

Tüzük kapsamında getirilen değişiklikler neticesinde, veri sorumlusu olmasa dahi söz konusu verileri işleyen şirketler ve bireyler de verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu nedenle, işleme faaliyetini AB dışında gerçekleştiren bulut hizmet sağlayıcıları da GDPR hükümleriyle bağlı olacak ve GDPR ile getirilen para cezaları veri işleyen sıfatını haiz kişilere de uygulanacaktır.

Bu doğrultuda, sayılan kriterleri sağlayan Türk şirketlerince, Tüzük ile getirilen aşağıdaki değişikliklere dikkat edilmelidir:

• Kişisel verilerin işlenmesi kapsamında alınacak rızanın belirli bir amaca yönelik olarak, aydınlatma yükümlülüğü yerine getirilerek ve açık bir şekilde alınması gerekmektedir. Veri sahiplerinin web sayfalarının gizlilik ayarlarına ilişkin sessiz kalmaları ya da itirazda bulunmamış olmaları bu bağlamda geçerli bir rıza olarak kabul edilmeyecektir.
• Veri sahipleri, kişisel verilerini, ilgili veri sorumlusundan bir başkasına taşıyabilme imkanına sahip olacaklardır.
• Veri sorumluları, veri sahiplerini, sahip oldukları yasal haklar konusunda bilgilendirmek ve bu konuda gerekli hatırlatmaları yapmakla yükümlü olacaktır. Buna ek olarak, veri sorumlularının işbu yükümlülüklerini gerçekleştirdiklerini belgeleme zorunluluğu bulunmaktadır.
• Mevcut uygulama kapsamında sık düşülen bir hatanın önüne geçilmek amacıyla Tüzük ile getirilen düzenlemeler doğrultusunda, kişisel verilerin işlenmesi ve kullanılması amacıyla alınan rızalarda opt-out değil opt-in sisteminin kullanılması zorunlu tutulmuş; aksi halde Direktif’te öngörüldüğünden çok daha ağır tazminatlara hükmedileceği düzenlenmiştir.
• Hassas verilerin işlenmesi hallerinde, veri koruma görevlisi (DPO) belirlenmesi zorunluluğu getirilmiştir.
• Veri işleme faaliyetinin gerçek kişilerin hak ve özgürlükleri bakımından risk içermesi halinde, işlemenin özellikleri göz önünde bulundurularak, veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (Data Protection Impact Assessment) yapılması zorunluluğu öngörülmüştür.
• Veri güvenliğinin ihlali halinde, veri sorumlusu, bu durumu, maksimum 72 saat içerisinde, mümkün olan en kısa süre içerisinde veri koruma otoritesine (DPA) bildirmekle yükümlü olacaktır.

Önemle belirtmek gerekir ki, GDPR ile veri sahiplerinin hak ve özgürlükleri korunurken, veri sorumlularına ve veri işleyenlere yönelik olarak ağır ve sıkı kural ve yaptırımlar getirilmiş olsa da; bu durumun dengesizlik teşkil etmemesi ve Tüzüğün amacından sapmaması adına veri sorumlularına kurtuluş hakkı da tanınmıştır. Buna göre, veri sorumlusunun, bu kapsamdaki sorumluluğu, “makul beklenti” çerçevesinde alınması gereken önlemler ile sınırlı tutulmuştur.

İşbu yazı hakkında ek bilgi gerektiğinde Ersin Nazalı ile irtibata geçmenizi rica ederiz.

Ersin Nazalı Yönetici Ortak, Avukat, YMM

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.