HukukKişisel Veriler Hukuku

GDPR (General Data Protection Regulation)

GDPR Türk şirketlerini ilgilendirmekte midir?

Avrupa Parlamentosu’nun, Nisan 2016’da kabul ettiği General Data Protection Regulation (“GDPR”) (Genel Veri Koruma Yönetmeliği) Türk Hukukundaki Kişisel Verilerin Korunması Kanunu’nun da kaynağı olan ve 1995’ten beri uygulanan direktifin uygulamasını da kaldırarak 25 Mayıs 2018 tarihinde yürürlüğe girecek. GDPR, AB üye devletlerinde gerçekleşen işlemler için işletmelerin AB vatandaşlarının kişisel verilerini ve gizliliğini korumalarını gerektiren hükümler taşıyor.

GDPR’nin amacı, tüm AB vatandaşlarını gizlilik ve veri ihlallerinden korumaktır. Veri gizliliğinin temel ilkeleri hala önceki yönergeye uygun olsa da birçok değişiklik de getirilmiştir. GDPR’nin önemli noktaları ve bunun özellikle Türk şirketler üzerindeki etkileriyle ilgili bilgiler aşağıda yer almaktadır.

GDPR ile Getirilen Önemli Yenilikler

1. Uygulama Alanının Genişletilmesi

En büyük değişiklik, şirketin bulunduğu yere bakılmaksızın, AB’de ikamet eden kişilerin verilerini işleyen tüm şirketler için GDPR’nin geçerli olmasıdır. Dolayısıyla işlemin AB’de olup olmadığına bakılmaksızın AB vatandaşlarına mal veya hizmet sunan şirketler açısından GDPR uygulama alanı bulacaktır. Bu sebepten ötürü AB vatandaşlarının verilerini işleyen AB dışındaki işletmeler de AB’de bir veri koruma görevlisi (data protection officer) atamak zorunda kalacaklardır.

2. Yaptırımların Ağırlaştırılması

GDPR’nin ihlali durumunda ihlal eden şirket, şirketin yıllık küresel cirosunun %4’üne veya 20 milyon €’ya kadar (hangisi daha yüksekse) para cezasına çarptırılabilir. Bu, en ciddi ihlaller için verilebilecek azami para cezasıdır, örneğin verileri işlemek için verisi işlenecek kişinin rızasının alınmaması durumunda bu para cezası uygulama alanı bulacaktır. GDPR’de para cezaları açısından kademeli bir yaklaşım vardır. Örneğin bir şirket, kayıtlarının tutulmaması için %2 para cezasına çarptırılabilir.

3. Açık Rıza

Kişisel verilerin işlenmesiyle ilgili olarak alınacak olan rızanın şartları güçlendirildi. Artık rıza veri işlemenin amacına yönelik olarak, anlaşılır ve kolay erişilebilir bir biçimde verilmelidir. Rıza, açık ve sade bir dille, diğer konulardan açık ve ayırt edilebilir olmalı ve anlaşılır ve kolay erişilebilir bir biçimde sunulmalıdır. Ayrıca açık rızanın verilmesi kadar, geri alınması da eşit derecede basit olmalıdır.

GDPR’nin Türkiye’deki Şirketler Açısından Uygulama Alanı Bulması

Yukarıda belirtildiği üzere GDPR sadece AB’de olan şirketler açısından bir uygulama öngörmemektedir. GDPR, AB’de olmamasına rağmen bazı şartlar dahilinde diğer ülke şirketleri açısından da uygulama alanı bulabilecektir. Aşağıda belirtilen iki durumda GDPR Türk şirketlerine de uygulanacaktır.

1. AB Vatandaşlarına Ürün veya Hizmet Sunulması

AB dışındaki bir şirketin AB’deki kişilere yönelik ürün ve hizmetler sunması halinde, GDPR uygulama alanı bulabilecektir. Bu kapsamda işletmenin hizmeti veya ürünü satması değil, salt pazarlaması ve satışa sunması yeterlidir.

Örnek olarak e-ticaret yapan bir Türk şirketinin, web sitesinde AB dillerinden birinin kullanması, bu dillerle müşterilerin sipariş verebilmesi, ücretlerin Euro üzerinden de gösterilmesi vb durumlarda ilgili e-ticaret sitesi GDPR kapsamında değerlendirilecektir.

2. AB’deki Kişilerin İzlenmesi

AB’de bulunmayan şirketlerin, AB vatandaşlarının online davranışlarını izlemesi ve profillerini çıkartması halinde GDPR bu şirketler açısından da uygulama alanı bulabilecektir.

Bu durum özellikle e-ticaret sitelerini ve reklam ajanslarını etkileyebilecektir. Nitekim GDPR kapsamında kişisel veri olarak kabul edilen IP adresi ve çerez ID’si gibi bilgileri takip eden sitelerin GDPR’e uygun hareket etmesi gerekmektedir. Bu sebeple, AB veri sahibine yönelik izleme faaliyeti gerçekleştiren, ziyaretçileri AB vatandaşı olan sitelerin sahibi Türk şirketlerinin de GDPR’ye uygun hareket etmesi gerekecektir.

Öncelikle şirketlerin GDPR kapsamına girip girmediğinin tespiti ve eğer şirket açısından GDPR’ın uygulama alanı bulacağı belirlenirse; yaptırımlardan kaçabilmek adına veri koruma görevlisi atamak da dahil olmak üzere gerekli uyum süreçlerinin başlatılması gerekmektedir.

Benzer Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Ayrıca Kontrol Edin

Close
Close