GDPR ve AB Üyesi Olmayan Ülkelerde Uygulanması
95/46 sayılı Direktif’in yerini alan bu yeni düzenlemenin AB sınırları içerisinde gerçekleşen kişisel veri işlemelerine uygulanılması kaçınılmazken GDPR madde 3 “Bölgesel Kapsam” maddesi uyarınca AB içerisinde yerleşik olmayan veri sorumluları;
AB vatandaşlarına mal veya hizmet sunuluyorsa ya da
AB içerisindeki kişilerinin davranışları gözetleniyorsa
GDPR, AB üyesi olmayan ülkeler için uygulanma alanı bulmuş olacaktır.
AB Veri Temsilcisi
AB Veri Temsilcisi (Temsilci) , AB üyesi olmayan ülkeler için madde 3 uyarınca GDPR’ın AB üyesi olmayan ülkelerde uygulanması neticesinde doğmuş olan sorumluluklardan biridir. GDPR’ın “Birlik içerisinde kurulu olmayan veri sorumluları veya veri işleyenlerin temsilcileri” başlıklı 27.maddesinde düzenlenmektedir.
1. 3(2) maddesinin uygulandığı hallerde, veri sorumlusu veya işleyen yazılı olarak Birlik içerisinde bir temsilci belirtir.
2. Bu maddenin 1. paragrafında belirtilen yükümlülük aşağıdaki durumlara uygulanmaz:
(a) nadiren gerçekleşen, 9(1) maddesinde atıfta bulunulan özel veri kategorilerinin işlenmesini büyük çaplı olarak içeren işleme faaliyeti veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlar ile ilgili olan ve, işleme faaliyetinin mahiyeti, bağlamı, kapsamı ve amaçları dikkate alındığında, gerçek kişilerin hakları ve özgürlükleri açısından bir riske sebep olması muhtemel olmayan bir işleme faaliyeti veya
(b) bir kamu kuruluşu veya organı.
3. Temsilcilik kişisel verileri kendilerine mal veya hizmetlerin sağlanması ile ilgili olarak işlenen veya davranışı izlenen veri sahiplerinin bulunduğu üye devletlerin birinde kurulur.
4. Temsilci, işleme faaliyeti ile ilgili tüm hususlarda, bu Tüzük’e uygunluk sağlanması amacıyla, özellikle denetim makamları ve veri sahipleri tarafından veri sorumlusu veya işleyene ek olarak veya bunlar yerine muhatap kabul edilmek üzere veri sorumlusu veya işleyen tarafından yetkilendirilir.
5. Veri sorumlusu veya işleyen tarafından bir temsilci belirlenmesiyle veri sorumlusu veya işleyene karşı açılabilecek davalara halel gelmez.
GDPR Madde 3 ve Madde 27 birlikte değerlendirildiğinde, eğer şirket olarak AB’de yaşayan veri sahiplerinin geniş çaplı olarak verisini işliyorsanız veya özel veri kategorilerine yönelik veri işleme gerçekleştiriyorsanız ve AB’de yerleşik bir ofisiniz yoksa, veri sorumlusu şirket olarak Temsilci bulundurma zorunluluğunuz doğmaktadır.
AB Veri Temsilcisinin Konumu ve Atanması
Söz konusu Temsilci AB’de yerleşik gerçek kişi olabileceği gibi genelde Birlik içinde kurulan tüzel kişilerden(hukuk firmaları, danışmanlık şirketleri) tercih edilmektedir. Bu durumda genellikle temsilcinin şirketin en çok veri işlediği ülkelerden biri seçilmektedir, bu konuda kanun herhangi bir zorunluluk öngörmemiştir. Ancak kanun uyarınca, Temsilci atamasının yazılı olarak yapılması gerekmektedir. Bu atama ayrıca temsilciniz ve şirketiniz arasındaki yazılı sözleşmeyi oluşturmaktadır. Bir Temsilci, birden çok AB üyesi olmayan veri sorumlusu ve veri işleyen adına hareket edebilmektedir.
AB Veri Temsilcisi ve Veri Koruma Görevlisi Farkı
Son olarak değinilmesi gereken önemli bir husus, Veri Koruma Görevlisi (Data Protection Officer-DPO) ile Temsilci aynı pozisyonu temsil etmeyen iki kavramdır. DPO’nun görevi, bağımsız şekilde, şirketlere veri koruma konusunda yardımcı olmak ve şirketin mevzuata uyumu konusunda gerekli bilgilendirmeyi yapmaktır. Bu kişiler görevlerini ifa ederlerken veri sorumlusundan veya veri işleyenden herhangi bir talimat almazlar. Ancak Temsilciler’in kanundaki görev tanımına baktığımızda bu gerçek veya tüzel kişiler ilgili şirketten aldıkları talimatlar doğrultusunda hareket ederler.
DPO'nun rolü, şirketlere veri koruma ile ilgili konularda yardımcı olmak ve bunları şirket içi uyum konusunda bilgilendirmek ve bilgilendirmektir. DPO'lar bağımsız olmalıdır. Görevlerini yerine getirmeleri ile ilgili herhangi bir talimat almaları yasaktır. Temsilci ise AB içerisinde yerleşik olmayan şirketten aldığı talimatlar doğrultusunda görevini ifa etmektedir. Nitekim Avrupa Veri Koruma Kurulu son yayınlanan “GDPR’ın Bölgesel Uygulanması”na ilişkin kılavuzda özellikle menfaat çatışmasının önlenmesi amacıyla DPO’nun fonksiyonun Temsilci’nin fonksiyonundan farklı olduğunu ifade etmiştir.
KAYNAKÇA
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf
YAZAR
Murat Gülgün
Rumeysa Budak
Sami Yılmaz
Comments