VERİ KORUMA HUKUKU ÜZERİNE DEĞERLENDİRMELER –1: GDPR’nin Yer Bakımından Uygulama Alanı
Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) 28 Mayıs 2018 tarihinde yürürlüğe girmiştir. Tüzük kişisel verilerin korunmasına ilişkin birçok önemli düzenleme içermektedir.
GDPR kapsamında gerçekleştirilen düzenlemeler ile getirilen yeniliklere örnek olarak “ilgili kişinin açık rızası”, “çocuğun rızası”, “erişim hakkı”, “unutulma hakkı”, “veri taşıma hakkı”, “bağlayıcı şirket kuralları”, “tasarımdan itibaren veri mahremiyeti”, “veri koruma güvenilirliği” gibi hukuki düzenlemeler sayılabilir.
Avrupa Birliği’ne (“AB”) üye olmayan ülkeler ve bu ülkelerde yerleşik tüzel kişiler için GDPR’nin en tartışmalı düzenlemelerinden birisi kuşkusuz GPDR’nin yer bakımından uygulanmasına ilişkindir.
GDPR’den önceki düzenleme olan 95/46/EC Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi (“Direktif”) metninde yer bakımından uygulanma yetkisi konusunda ülkesel yaklaşım benimsenmişti. Bir başka deyişle, Direktif‘in uygulanabilirliği için veri işleyenin AB içerisinde fiziken var olması şartı aranmaktaydı.
Her ne kadar C-131/12 sayılı Google İspanya kararı ile başlayarak verilen mahkeme kararlarında Direktif’in uygulama alanı içtihat yolu ile kısmen genişletilmiş olsa da Direktif‘in sınırlayıcı düzenlemesi, GDPR ile terk edilmiş ve fiziki/coğrafi sınırları aşan bir uygulama alanı öngörülmüştür.
GDPR’nin Yer Bakımından Uygulama Alanı
GDPR’nin uygulama alanı ise Direktif ’ten farklı olarak 3. maddesinde şu şekilde düzenlenmiştir:
“(1) Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyenin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.
(2) Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan ilgili kişilerin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyen tarafından işlenmesine uygulanır:
- İlgili kişiye bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu ilgili kişilere mal ya da hizmetlerin sunulması veya
- Davranışları Birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
(3) Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir veri sorumlusu tarafından kişisel verilerin işlenmesine uygulanır.”
GDPR’nin 3. maddesinde, AB dışında veri işleme faaliyetinde bulunulsa dahi, işlenen verilerin AB topraklarında yer alan kişi veya kişilere ait olması halinde, AB dışındaki yerlerde de uygulanacağı düzenlenmiştir. Buna göre GDPR, gerçekleşen herhangi bir veri işleme faaliyetinin AB ülkeleri sınırları içerisinde olup olmadığından bağımsız şekilde uygulanabilecektir.
GDPR, veri işleyenin veya veri sorumlusunun AB içerisinde olup olmadığından bağımsız olarak, işleme faaliyetinin mahiyeti gereği AB içerisindekilere mal veya hizmet sunmak olduğu hallerde, herhangi bir ödemenin söz konusu olup olmadığına bakılmaksızın uygulanabilecektir. Veri sorumlusu veya veri işleyenin, AB içindeki veri konularında mal veya hizmet sağlayıp sağlamadığını belirlemek için, veri sorumlusu veya veri işleyenin bir veya daha fazla AB üyesi devletteki ilgililere mal veya hizmet sunma hedefi anlaşılmalıdır.
GDPR’nin 3. Maddesinin 2. fıkrası ile “hedef yer esası” kabul edilmiştir. Hedef alma noktasındaki muğlaklığın giderilmesi için, GDPR’nin 23. resitalinde mesele şu şekilde açıklanmıştır: “Hedef alma açık olmalıdır. Bu açıklık hizmet veya malın sunumunda bir AB dilinin yer alması, AB müşterilerinden bahsetmek şeklinde olabilir.”
Bu bağlamda AB sınırları içerisinde yaşayan kişileri hedef alan reklam kampanyaları, AB dillerinde yapılan tanıtımlar, AB’de yer alan kişilerin kullanımına özgülenmiş hizmetler bu kapsamda değerlendirilebilecek ve bunları sağlayan tüzel kişiler AB dışında yerleşik olsa dahi GDPR’nin düzenlemelerine tabi olacaktır. Kuşkusuz ki bu düzenleme AB ülkeleri ile yoğun olarak ticari ilişki içerisinde bulunan Türkiye gibi GDPR’ye taraf olmayan üçüncü ülkeleri de etkilemektedir.
GDPR ile getirilen düzenlemelere tabiiyet, ulusal mevzuatımız 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndan farklı olarak, söz konusu tüzel kişilere “çocuğun rızası” , “unutulma hakkı”, “veri taşıma hakkı”, “tasarımdan itibaren veri mahremiyeti” vb. konuda pek çok ek yükümlülük getireceğinden GDPR’nin içeriği özenle değerlendirilmeli ve özellikle faaliyetlerinin GDPR kapsamına girebileceği değerlendirilen tüzel kişilerce uyum (compliance) çalışmaları gerçekleştirilmelidir.
Daha fazla bilgi için lütfen irtibata geçin;
Furkan Ökse | furkan.okse@kyolegal.com