Konu: Kişisel Veri, KVKK, AB Genel Veri Koruma Tüzüğü (GDPR)

Kabul edileli üç buçuk yıldan biraz fazla bir süre geçen GDPR, yakın zamanda giderek daha çok anılan bir düzenleme. Uyum ve geçiş süreçlerinin tamamlanması için tanınan yaklaşık iki yıllık sürenin ardından 25 Mayıs 2018 tarihinden itibaren, bir buçuk yıldan uzun bir süredir de yürürlükte.

GDPR sıfırdan ortaya çıkan bir düzenleme olmaktan ziyade kişisel verilerin işlenmesi sürecinde kişilerin haklarının korunmasına ve kişisel verilerin serbest dolaşımına ilişkin 95/46/EC sayılı AB direktifinin yerini almak üzere geliştirilen bir düzenleme. 1995 yılında çıkartılan söz konusu AB direktifi, AB uyum süreci kapsamında hazırlanan ve 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun da dayanağını oluşturan metin.

Tahmin edilebileceği üzere belirli yerel farklılıklar ve kendine özgü uygulamaları olmakla birlikte KVKK büyük ölçüde ve esas itibarıyla AB direktifine paralel nitelikte bir düzenleme. GDPR da direktifin izinden giderek onu geliştirdiği için doğal olarak KVKK ile GDPR için de özünde ve çerçeve olarak birbirlerine paralel düzenlemeler diyebiliriz. Bununla birlikte söz konusu düzenlemeler arasında belirli ve bazen uygulamayı etkileyebilecek nitelikte farklılıklar bulunduğunu da kabul etmek ve akılda tutmak gerekiyor.

Öncelikle ve özellikle belirtilmesi gereken bir husus: GDPR ve KVKK’nin en nihayetinde farklı iki yargı alanında çıkartılan farklı iki düzenleme olduğu ve bu nedenle, özellikle uyumluluk bakımından, GDPR uyumluluğunun KVKK uyumluluğu anlamına gelmediği ve tam tersinde de yine KVKK uyumluluğunun GDPR uyumluluğu anlamına gelmediği.

Bu doğrultuda GDPR’ın AB sınırları dışındaki kişiler, dolayısıyla Türkiye’deki şirketler bakımından uygulanabilirliğine değinmek faydalı olacaktır. Nitekim AB ile ticari faaliyetleri olan Türkiye’deki şirketlerin bu uygulanabilirliği akılda tutması ve gerekli noktalarda somut olaya göre değerlendirme yapılması gerekecektir. AB dışındaki kişiler bakımından GDPR’a tabii olup olmadıkları yönünde bir değerlendirme yapılırken kabaca iki basamaklı bir inceleme gerçekleştiriliyor. Bunları “Kurumsal Kriter” ve “Hedef Alma Kriterleri” olarak ayırabiliriz.

Kurumsal Kriter

Kurumsal kriter ilk bakışta yalnızca AB’deki kişiler bakımından kapsamı belirliyor gibi görünse de aslında AB dışındaki veri sorumlularının ve veri işleyenlerin de bu kriter uyarınca doğrudan GDPR kapsamında değerlendirilmesi mümkün. Bu kriter kapsamında GDPR’ın uygulanması için veri sorumlusunun AB sınırları içinde bulunması veya veri işleme faaliyetinin AB’de gerçekleşmesi şartı aranmıyor. Örneğin; herhangi bir AB ülkesinde tescilli bir şubesi, iştiraki, bağlı şirketi ya da temsilciliği olmayan ve veri işleme faaliyetlerini de AB dışında gerçekleştiren bir kişi de bu kriter kapsamında GDPR bakımından sorumlu addedilebilir.

Burada önemli olan husus AB dışındaki veri sorumlusu veya veri işleyenin AB’de stabil bir anlaşma kapsamında asgari nitelikte dahi olsa gerçek ve etkili bir faaliyet yürüten bir temsilcisinin veya çalışanının varlığı olmasıdır. Örneğin; AB sınırları içinde herhangi bir şubesi ya da iştiraki bulunmayan ve Türkiye’de faaliyet göstermek üzere kurulan bir e-ticaret sitesinin ileride AB piyasasına girişini kolaylaştırmak için Almanya’da açtığı bir ofis (şirket ya da şube değil) GDPR bakımından yükümlülük doğurabilir. Dolayısıyla AB’de bir iştirak veya şubeniz bulunmamasına rağmen örneğin sürekli bir sözleşme kapsamında düzenli olarak şirketiniz adına AB’de tanıtım ve pazarlama faaliyetleri yürüten AB vatandaşı bir çalışanınızın (veya üçüncü kişi hizmet sağlayan/tedarikçinin) olması bu faaliyetler kapsamında GDPR bakımından yükümlülük doğurabilir.

Hedef Alma Kriterleri

Kurumsal kriter doğrultusunda GDPR kapsamında değerlendirilmese dahi bir veri sorumlusu veya veri işleyen hedef alma kriterleri doğrultusunda GDPR kapsamında değerlendirilebilir. İki tane hedef alma kriteri mevcut ve yine bunlardan birinin gerçekleşmesi uygulanabilirlik için yeterli. Diğer bir deyişle her iki kriterin de birlikte gerçekleşmesi şart değil. Her iki hedef alma kriteri için de öncelikli şart AB’deki bir ilgili kişinin kişisel verilerinin işleniyor olması. Burada GDPR ilgili kişinin AB vatandaşı olmasını ya da AB’de ikamet ediyor olmasını aramıyor. İlgili kişinin o sırada AB’de bulunması GDPR bakımından AB’deki bir ilgili kişi olarak değerlendirilmek için yeterli. Hedef alma kriterlerini kısaca mal ve hizmetlerin sunulması ile davranışların izlenmesi olarak ayırabiliriz. Uygulanabilirlik kapsamına her türlü mal ve hizmet sunumu ya da her türlü davranış takibi girmiyor. Buna ek bazı şartların da gerçekleşmesi gerekiyor.

Servis Sunma

Bu kriterin gerçekleşmesi için öncelikle mal ve hizmetlerin aktif olarak sunuluyor olması ya da AB’deki veri sahiplerine yöneltilmesi ya da bunların hedef alınması gerekli. Aktif olarak sunulmasına örnek olarak aşağıdaki faaliyetleri sayabiliriz:

– AB dışındaki bir e-ticaret şirketine ait internet sitesinin AB dillerinde versiyonlarının olması,

– AB üyesi ülkelerin para birimlerinde görüntüleme seçeneği sunulması,

– AB üyesi ülkelerden kullanıcıların yorumlarına yer verilmesi, ya da

– AB üyesi ülkelere gönderim yapıldığının belirtilmesi

Dolayısıyla Türkiye’deki bir şirkete ait yalnızca Türkçe seçeneği bulunan ve yurt dışına gönderim yaptığı yönünde herhangi bir ibare bulunmayan bir internet sitesinin Almanya’dan ya da AB üyesi ülkelerden erişilebiliyor olması tek başına GDPR’ın uygulanması için yeterli değildir. Bununla birlikte söz konusu ticari faaliyetin gelişimine paralel olarak internet sitesinin geliştirilmesi esnasında da yukarıda bahsedilen hususların göz önünde bulundurulması uygun olacaktır.

Davranış Takibi

Yine benzer şekilde davranışların izlenmesi kriterinin gerçekleşmesi ve bu doğrultuda GDPRın uygulanabilirliği için, söz konusu izleme faaliyetinin gelecekte kullanılmak üzere gerçekleştiriliyor olması gerekmektedir. Bu kriter cookie maddesi olarak da isimlendiriliyor. İnternet sitelerinde kullanıcıları takip etmek için kullanılan cookie sistemi artık çok yaygın ve neredeyse her internet sayfası cookie teknolojisinden yararlanıyor. Dolayısıyla GDPR’ın uygulanabilir olması için de yalnızca internet sitesinde cookie teknolojisinin kullanılıyor olması yeterli değil. Buna ek olarak, bu şekilde toplanan kişisel verilerin ileride AB’deki veri sahipleri bakımından da, örneğin, reklam veya pazarlama, araştırma gibi çeşitli faaliyetler bakımından kullanılma amacının bulunması gerekiyor.

Dolayısıyla örneğin yukarıdaki örnek üzerinden devam ettiğimizde, tek başına AB’den erişilebilir olması Türkiye’de kurulu bir e-ticaret sitesinin GDPR kapsamına girmesi için yeterli sebep oluşturmazken, bu e-ticaret sitesine AB’den giriş yapan kişilerinin davranışlarının gelecekte gerçekleştirilecek pazarlama faaliyetleri için izlenmesi halinde, bu davranış takibi bakımından teorik olarak GDPR uygulama alanı bulabilecektir.

Açıkladığımız bu kriterlerden herhangi birinin şartları gerçekleştiğinde ilgili veri sorumlusu veya veri işleyen bakımından GDPR uygulanabilir hale geliyor ve bu kişilerden GDPR kapsamındaki sorumluluklarını yerine getirmesi bekleniyor. Bu bakımdan düşünüldüğünde görebileceğimiz üzere GDPR, yetki alanı ve uygulanabilirliği bakımından AB dışına da taşan düzenleme.

Yaptırım

İlgili ülkelerde mevcut kişisel veri koruma otoriteleri, GDPR kapsamında bir hukuka aykırılık ihtimali görürlerse ilgili veri sorumlularını ve veri işleyenleri uyarma ve gerekli önlemlerin alınmasını talep etme yetkisine sahipler. GDPR bakımından bir aykırılık tespit ettiklerinde de en hafif yaptırım olan kınama cezasını verebiliyorlar.

Bunlar dışında yine ilgili somut olayın özelliklerine göre otoriteler veri işleme faaliyetlerini geçici veya sürekli olarak durdurabiliyorlar. Verilerin düzeltilmesini, kısıtlanmasını veya silinmesini talep edebiliyorlar. Otoriteler aynı zamanda verilerin üçüncü ülkelere aktarımının durdurulmasına da karar verme yetkisine sahipler.

Son olarak tahmin edilebileceği üzere otoritelerin GDPR’a aykırılık halinde ayrıca para cezası verme yetkisi de bulunuyor. GDPR’da para cezaları iki grup olarak belirleniyor ve ilgili maddelerde üst sınırlar ihlalin türü ve niteliğine göre (i) 10 milyon Euro’ya veya cironun %2’sine ya da (ii) 20 milyon Euro’ya veya cironun %4’üne kadar para cezası şeklinde belirtilmiş. Üst sınırlardan hangisi daha fazla ise o üst sınır olarak uygulanıyor.

Burada Türkiye’deki şirketler için özellikle önemli olabilecek kısım veri sorumluları ve veri işleyenlerin genel yükümlülükleri bölümü. Yukarıda bahsedilen hedef alma kriterleri doğrultusunda GDPR kapsamına giren AB dışındaki veri sorumlularının temsilci atama yükümlülüğü genel yükümlülükler arasında yer alıyor. Genel yükümlülüklere aykırı hareket etmenin yaptırımı 10 milyon Euro’ya veya cironun %2’sine kadar (hangisi daha yüksekse) para cezası olarak öngörülmüş. Dolayısıyla, GDPR kapsamında belirlenen yükümlülüklere tabi olan ancak bu yükümlülüklerini yerine getirmeyen veri sorumluları teorik olarak böyle bir yaptırım riski altındalar.

Uyum

Uyumluluk konusu doğal olarak her bir veri sorumlusu ve veri işleyen bakımından kendine özgü niteliklere ve gereksinimlere sahip olacaktır. Bununla birlikte genel olarak GDPR uyumluluğu konusuna nasıl yaklaşılabileceği konusunda aşağıdaki genel çerçeve kullanılabilir:

– Uyumluluk bakımından ilk aşamada yapılması gereken yukarıda bahsedilen GDPR’ın uygulanabilirlik kriterleri doğrultusunda veri sorumlusu veya veri işleyen sıfatıyla GDPR kapsamına girilip girilmediğinin tespit edilmesidir.

– GDPR kapsamına girildiğine kanaat getirilmesi halinde GDPR’ın uygulanacağı veri işleme faaliyetlerinin tespit edilmesi gerekecektir.

– Bu faaliyetler de tespit edildikten sonra GDPR uyarınca bu faaliyetlerle ilgili şirketin üzerine düşen yükümlülüklerin tespit edilmesi gerekir.

– Bu hususlar tespit edildikten sonra KVKK sürecine benzer şekilde GDPR uyumluluğu için bir aksiyon planı belirlenmesi ve bu plan kapsamında önceliklerin belirlenmesi uygun olacaktır.

– Daha sonra bu aksiyon planı KVKK uyumluluğu da göz önünde bulundurularak ve finansal ve zamansal tasarruf amacıyla mümkün olduğu ölçüde KVKK kapsamında gerçekleştirilen uygulamalardan da yararlanılarak uygulanmalıdır.

– Son olarak aksiyon planı tamamlanmış olsa da GDPR ile ilgili gelişmelerin takip edilmesi ve bunlara göre gerekli değişikliklerin yapılması gerektiği unutulmamalı ve sürdürülebilirlik için bir sistem oluşturularak uygulamaya konulmalıdır.

Yazar: Av. İlay Yılmaz, Av. Can Sözer, Av. Türker Doygun – Esin Hukuk Bürsou

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.