25 Mayıs 2018 itibari ile yürürlüğe giren GDPR, kişisel verilere ve bunların korunmasına yönelik bakışı değiştirmiş ve uygulayacağı yüksek tazminat oranları ile gündeme gelmiştir. GDPR uygulama alanı olarak AB’de kurulmuş şirketleri etkiler gibi gözükse de bazı durumlarda şirketlerin nerede kurulmuş olduğu önem taşımamaktadır. AB ile ilişkisi olmayan şirketler her ne kadar kendilerini güvenli ve GDPR’ın dokunamayacağı bir konumda sansalar da başta Amerika olmak üzere GDPR birçok şirketi etkilemeye başlamıştır.

GDPR’ın uygulama alanı nasıldır?

1) Bir kişisel verinin işlenmesi AB’de kurulmuş bir kuruluş tarafından gerçekleştiriliyor ise verinin işlendiği yer fark etmeksizin işlem GDPR’a tabi olacaktır.(GDPR madde 3/1)

GDPR’a göre AB’de kurulmuş bir şirketin kapsama girmesi için gerçek ve etkili bir biçimde AB’de faaliyet gösteriyor olması gerekmektedir. Kurulan şirketin bir şube veya bayi olması fark etmez, bu yerde bir yetkilinin bulunması bile GDPR açısından yeterli olabilmektedir. Veri korumaya yönelik olan eski kanun “Directive 95/46”  AB üye ülkelerinden bir diğerinde banka hesabı olan AB şirketlerinin o ülkede bir kuruluşu olduğunu bile kabul etmektedir. Dolayışı ile Weltimmo ‘da bulunan Avrupa Adalet Mahkemesi “minimum bir kuruluşun” bile GDPR kapsamı açısından yeterli olduğunu öngörmekte ancak bu “minimum kuruluş” konusunda yeterli bir açıklık bulunmamaktadır.

Bu durum kapsamında kişisel veri işlemelerinin AB’de gerçekleşmesi gerekmemektedir. AB’de bulunan bir şirket AB dışında veri işlese de GDPR’a uymak zorundadır.

2) AB ülkesinde bulunan vatandaşların kişisel verileri AB’de ürün veya hizmet sunma nedeni ile işleniyorsa(verinin işlenmesini gerçekleştirecek şirketin AB’de olmasına gerekmez) veya AB içerisinde bu vatandaşların davranışları ve hareketleri izleniyorsa işlem GDPR’a tabi olacaktır.(GDPR madde 3/2)

Sınır dışı etki koşulu belki de GDPR’ın getirdiği en yeni bakış açıklarından biri olabilir; çünkü kanun AB sınırları dışındaki veri işlemelerine de karışabilmenin önünü açmaktadır, burada artık veriyi işleyenin nerede olduğu önemli değildir. Veri sahibi odaklı düşünülmektedir ve verisi işlenecek kişinin nerede olduğu ve ona nerelerde hizmet veya ürün sunulacağı önem taşımaya başlamıştır.

Baştan itibaren AB kişilerini hedeflemek koşulu

GDPR ürün ve hizmet “sunulmasına” odaklanmaktadır, bu sunum sonucu faaliyete geçilip geçilmediği önem taşımaz. Dolayısı ile sadece Amerikan vatandaşlarına yönelik sunulan ürün ve hizmetler GDPR kapsamına dahil edilmeyecektir. Örneğin Amerikalılara, Amerikan doları üzerinden sunulan yerel bir reklam GDPR’a tabi olmayacaktır. Burada dikkate alınması gereken husus piyasanın, pazar yerinin neresi olduğudur. Eğer Amerika’da yaşayan bir kişi yerel bir bankadan borç alırsa bu borç tabi ki de GDPR kapsamına girmeyecektir çünkü burada pazar yeri Amerika’dadır, AB ‘de değil.

Biraz daha karmaşık bir senaryoda: Amerika’da yerleşik bir satıcı, Amerika’da bulunan bir şirket adına veri barındırma hizmeti verirse ve buradaki veriler çoğunlukla AB veri şahıslarına ilişkin kişisel veriler olursa durum ne olacaktır? GDPR madde 3/2, AB veri kişilerine yönelik sunulan servisten bahsetmektedir, bu senaryoda AB kişileri hedeflenip herhangi bir servis sunarak satışları arttırma, vb. gibi bir amaç görülemediğinden dolayı GDPR uygulanmayacaktır.

Amerikalı şirketlerin hizmet sözleşmelerinden sonra GDPR’a yakalanabilmesi

Amerikalı A şirketi (veri işleyen/processor) olarak başka bir Amerikalı şirket olan B şirketine (veri kontrolörü/controller) veri barındırma hizmeti sunmaktadır. İlk bakışta bu işlem GDPR kapsamına girmemektedir. Ancak eğer B şirketi bir grup şirket olarak, kendi grubundaki diğer tüzel kişiler adına bu işlemleri yapıyorsa ve kişisel veri bu grup tüzel kişileri üzerinden A şirketine transfer ediliyorsa bu durumda bu işlem GDPR kapsamına girebilecektir. Grup tüzel kişilerinden herhangi birinin şirketi AB’de bulunuyorsa GDPR madde 3 devreye girmektedir. Dolayısı ile Amerikalı şirketler grup tüzel kişilerin dahil olduğu hizmet anlaşmaları imzalarken daha dikkatli olmalıdır. Anlaşma dikkatlice incelendikten sonra Amerikalı veri işleyenin hizmet sözleşmesine AB grup üyesi şirketin dahil olduğu görülürse GDPR’ın uygulanması gerekecektir. Bu ihtimalde AB grup üyesi şirket diğer grup üyeleri ile birlikte veri kontrolörü olarak kabul edilecek ve dolayısı ile hizmet sözleşmesi asıl taraflar Amerikalı olsa da GDPR’a tabi olacaktır.

Amerikalı veri işleyenlere yapılan sınır dışı uygulama

GDPR’daki sınır dışı uygulama koşulları veri işleyenleri nasıl etkileyecektir? Bazı ihtimallerde denizaşırı veri işleyenler de kapsama girebilmektedir. Örneğin AB’de hizmet veren Amerikalı şirketin vermiş olduğu bir bulut bilişim servisi tabi ki de GDPR kapsamında değerlendirilecektir. Ancak genellikle denizaşırı veri işleyen sadece veri kontrolörünün talimatları ile hareket etmekte ve dolayısı ile AB ‘deki kişiler ile kendi istemine göre ilgilenmemektedir. Tabi ki bu durum yine de GDPR’ın etki etmeyeceği anlamına gelmemektedir. Veri işleyen; kendisi veya alt veri işleyenlerinin/sub-processor AB’de olması ile GDPR’a yakalanacaktır. Veri işleyen kişisel veriyi veri kontrolörü veya işleyeninin AB’deki faaliyetleri bağlamında işlemektedir. Bir başka deyişle AB’deki herhangi bir kurum ile ilgili hizmet koşulları denizaşırı veri işleyeni GDPR kapsamında etkileyecektir.

Bu ilerleyen örnek ise bir denizaşırı veri işleyeninin sadece AB’nin dışındaki kurumlarla iş yapmasına rağmen nasıl GDPR’a yakalanabileceğini göstermektedir: C şirketi veri kontrolörü veya işleyenine hizmet sağlamaktadır, bu hizmet AB’deki kişilere hizmet veya ürün sunulması veya bu kişilerin izlenmesini içermektedir. Bu durumda C şirketi GDPR’a uyumlu olmak zorundadır.

Amerikan şirketlerine yönelik bazı tavsiyeler

GDPR’ın kendileri için uygulama alanı bulamamasını sağlama almak isteyen şirketlerin AB’deki kullanıcılara ürün veya hizmet sundukları izlenimini yok etmeleri gerekmektedir. Bu şu şekillerde sağlanabilir:

– Şirket kendi internet adresinden AB üye ülkelerine ait olan alan adını(domain name) kullanıyorsa çıkarmalıdır, örneğin : “de”,”fr”, vb.

– Pazarlama araçları veya internet sitelerinde AB kullanıcılarına servis sunmamalıdır.

– Bütün AB ülkelerinin ismini internet sitesi adres alanından veya benzeri açılan menülerden çıkarmalıdır.

-AB üye ülkelerinin dillerini kullanmamalıdır.

– AB ülkelerindeki kişilerden pazarlama amacı ile bahsetmemelidir, ör: bu ürünü kullanan alman tüketicilerin ne kadar memnun kaldığı, vb.

– AB internet ağından bağlanan kullanıcıların hizmet alımı için üye olmalarına izin vermemelidir.

– AB’ye yük göndermemeli veya avro ile ödeme almamalıdır.

– Şirketin internet sitesinde AB’deki kullanıcılara hiçbir şekilde ürün veya hizmet sunulmadığını belirtmelidir.

– AB kullanıcıları/tüketicileri ile direkt bir sözleşmesel ilişkiye girmemelidir.

Sonuç

GDPR madde 3, özellikle AB’de iş yapmak isteyen ama AB’de olmayan şirketlere ciddi tuzaklar hazırlamıştır. Özellikle bu sınır dışı uygulama koşullarının devreye girdiği zamanlarda veri işleyen ve veri kontrolörü Amerika’da olsalar bile bir temsilci atamaları gerekecektir(GDPR madde 27). Bu temsilcinin ilgili AB kullanıcılarının yaşadığı AB ülkesinde konumlanması gerekecektir. Bu durum birçok Amerikalı şirket için zahmetli bir süreç doğuracak; çünkü temsilci GDPR ihlallerindeki sorumluluğu üstlenmek zorundadır. Daha da önemlisi temsilci, veri koruma otoritelerinin vereceği tazminatların yaratacağı sonuçlara da katlanmalıdır. Bu tazminatlar 20 milyon avroya veya şirketin yıllık %4’luk cirosundan hangisi daha yüksekse ona göre verilebilmektedir. Sonuç olarak şu an için GDPR’dan kurtulmak için belli yöntemler uygulayabilecek Amerikalı şirketlerin eninde sonunda GDPR’a yakalanabilecekleri ihtimalleri ile şimdiden herkesin girmeye başladığı uyum sürecine hazır olmaları gerekmektedir.

Bu makale iapp sitesi “Matthias Arzt- Territorial Scope of GDPR from a US perspective” alıntılanarak yazılmıştır.
Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone