Hangi Türk Şirketleri GDPR’a Uymak Zorunda?
25 Mayıs 2018, Avrupa Birliği (“AB”) üye devletlerince kişisel verilerin korunması hukukunda bir milat olarak görülüyor. Zira bu tarihte bütün üye devletlerde kendiliğinden etki gücü bulacak olan Genel Veri Koruma Tüzüğü (General Data Protection Regulation (“GDPR”)) yürürlüğe giriyor. 95/46 sayılı Direktif’in yerini alacak olan yeni düzenlemenin yalnızca AB içerisinde bulunan şirketler değil, belirli şartlar dahilinde AB’de bulunmayan şirketler için de uygulanacağı düzenlenmiş durumda.
GDPR’ı ihlal eden veri sorumluları için öngörülen cezanın yıllık global cironun %4’üne kadar ya da 20 Milyon Euro (hangisinin miktarı fazlaysa) olduğu göz önünde bulundurulduğunda AB’de bulunmayan şirketlerin de GDPR’a tabi olup olmadıklarını belirlemesinin ne denli önemli olduğu anlaşılıyor.
GDPR’ın Etki Alanı
GDPR’ın etki alanı “Bölgesel Kapsam” başlıklı 3. maddesinde ortaya konulmuştur. İlgili hükme göre GDPR; veri işleme faaliyetinin AB içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, AB içerisindeki bir veri sorumlusunun ya da veri işleyenin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
Bunun yanı sıra, AB içerisinde kurulu olmayan veri sorumluları ve veri işleyenler de veri işleme faaliyetlerinin aşağıdaki hususlarla ilgili olması durumunda GDPR’a uymakla yükümlüdür:
- AB içerisindeki veri sahiplerine bir ödeme yapılmasının zorunlu olduğuna bakılmaksızın mal ya da hizmetlerin sunulması
- AB içerisindeki veri sahiplerinin davranışlarının izlenmesi (davranışları AB içerisinde gerçekleştiği ölçüde)
1) AB İçerisindeki Veri Sahiplerine Mal veya Hizmet Sunulması
AB içerisindeki veri sahiplerine mal ya da hizmet sunulduğunun kabulü için yalnızca işletmenin internet sitesine AB’den erişilebiliyor olması yeterli değildir. İşletmenin faaliyetlerinin AB içerisindeki veri sahiplerine yönelik olduğunu öngördüğü açıkça anlaşılmalıdır. Aşağıdaki kriterler bir işletmenin GDPR’a tabi olup olmadığının belirlenmesinde önemlidir:
- AB üyesi bir devletin dilinin ya da para biriminin kullanılması, bu dilde sipariş verilmesinin mümkün olması
- AB içerisindeki kullanıcıların ya da müşterilerin referans olarak gösterilmesi
- Bir arama motoruna AB içerisindeki veri sahiplerinin işletmenin internet sitesine erişimini kolaylaştırmak için ödeme yapılması
- Faaliyetin uluslararası niteliği (örneğin; turizm faaliyetleri)
- Uluslararası alan kodlu telefon numaralarının sunulması
- Üst düzey alan adının kullanılması (“.eu” gibi)
- Çeşitli AB üyesi devletlerde ikamet eden müşterilerden oluşan müşteri tabanından söz edilmesi
Bu liste sınırlı ya da bağlayıcı olmamakla birlikte AB dışındaki bir işletmenin GDPR’a tabi olup olmadığı her somut olay bazında özel olarak değerlendirilecektir.
2) AB İçerisindeki Veri Sahiplerinin Davranışlarının İzlenmesi
“İzleme” özellikle veri sahiplerinin tercih ve davranışlarından çıkarımlar yapma, profilleme amaçlarıyla online ortamda gerçekleştirdikleri faaliyetlerin takip edilmesi, analize tabi tutulması ve raporlanması işlemlerini içermektedir.
Müşterilerin ilgi alanlarına nelerin girdiği, nelere ihtiyaç duydukları, hangi kampanyaları daha çok tercih ettikleri vb. birçok husus profilleme faaliyetleri sayesinde ortaya konulabilir.
GDPR’a Tabi Olan Türk Şirketleri Nelere Dikkat Etmeli?
GDPR’ın sınır ötesi etki alanı içerisinde bulunan ve hükümlerine tabi olan Türk şirketlerinin AB’de bir temsilci ataması zorunludur. Bunun yanı sıra GDPR’dan kaynaklanan yükümlülüklerin tespit edilmesi ve uyum için gerekli aksiyonların alınması tavsiye edilmektedir. Aksi halde söz konusu şirketlerin 20 Milyon Euro’yu aşabilecek para cezaları ile karşı karşıya kalmaları muhtemeldir.
