Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Illustration of a weathercock.

Brexit Sonrası AB ve Birleşik Krallık GDPR Kapsamında Temsilcinin Rolü

Andreas

Andreas Maetzler

1. Ticaret ve İşbirliği Anlaşması

Geçiş döneminin 31 Aralık 2020’de sona ermesine kadar, gizlilikle ilgili konularda bir temsilci atama yükümlülüğü, AB’de bir kuruluşu olmayan şirketlerin satıcı durum tespiti söz konusu olduğunda yalnızca Avrupa Birliği’ndeki (Birleşik Krallık dahil) şirketler için geçerliydi. Artık Birleşik Krallık Avrupa Birliği’nden ayrıldığına göre, her ikisi de farklı düzenleyici ve yasal hükümlere sahip iki ayrı pazar oluşturmaktadır. GDPR bir AB düzenlemesi olduğundan, Brexit’ten sonra Birleşik Krallık’ta genellikle artık geçerli olmayacaktır. Ancak Birleşik Krallık hükümeti GDPR’yi Birleşik Krallık veri koruma yasasına dahil etmiştir. Dolayısıyla, 1 Ocak 2021’den itibaren GDPR’nin Birleşik Krallık versiyonu (“UK GDPR”) yürürlüğe girecek ve şirketlerin buna uyması gerekecektir. İşin iyi yanı, Birleşik Krallık GDPR’nin AB versiyonundan yaptığı sapmaların, bir şirketin yükümlülüklerini değiştirmek yerine, yalnızca Birleşik Krallık uygulamasının benimsenmesiyle ilgili olmasıdır. Bu nedenle, pratik etki minimum düzeydedir - 1 Ocak 2021’den önce GDPR’ye zaten uyan şirketler, aşağıdakiler dışında, geçiş döneminin sona ermesinden sonra da AB ve Birleşik Krallık GDPR’ye uymaya devam edecektir:

Brexit’in veri koruma düzenlemelerine uyum üzerinde iki büyük etkisi vardır:

  • AB’de, Birleşik Krallık’ta ya da her ikisinde birden temsilci atama zorunluluğu; ve
  • Aralık 2020’de hem AB hem de Birleşik Krallık tarafından üzerinde anlaşmaya varılan Ticaret ve İşbirliği Anlaşmasına (“TCA”) tabi olan AB ve Birleşik Krallık arasındaki veri akışı.

Brexit’in gizlilikle ilgili diğer sonuçlarının yanı sıra bunları da burada tartışıyoruz.

Bir temsilci atama yükümlülüğü

Aşağıdakileri bir bağlama oturtmak için, GDPR Madde 27 kapsamındaki yükümlülüğe kısaca bir göz atalım. 27 GDPR ve Brexit öncesi etkileri. Madde 27 GDPR, AB dışında yerleşik şirketleri, AB’deki bireylere mal veya hizmet sunmak veya bu bireylerin davranışlarını izlemekle ilgili olarak Avrupalı bireylerin kişisel verilerini işliyorsa bir Avrupa temsilcisi atamakla yükümlü kılmaktadır. Temsilcinin rolü, yerel veri koruma makamları ve bireyler için bir irtibat noktası olarak hareket etmektir. AB merkezli şirketler bu yükümlülükten etkilenmediğinden, şaşırtıcı olmayan bir şekilde AB içinde çok fazla öne çıkmadı. Ancak, Birleşik Krallık’ın GDPR’nin kendi versiyonunu uygulamaya koymasıyla birlikte bu “gizli yükümlülük” sıfırdan yüze çıktı ve sadece Birleşik Krallık bağlamında aynı yükümlülüğü öngördü. Dışarıdan bakıldığında bu durum, şirketleri AB’de, Birleşik Krallık’ta ya da hatta her ikisinde birden temsilci atamak zorunda bırakabilecek iki yasal hüküm olduğu anlamına gelmektedir. AB’de, Birleşik Krallık’ta ya da başka bir yerde yerleşik olmalarına bakılmaksızın, bu durum çoğu şirket tarafından dikkate alınmalıdır.

Madde Birleşik Krallık GDPR Madde 27, AB GDPR Madde 27 ile aynıdır ve bu nedenle her iki hüküm de şirketleri aynı şekilde aşağıdaki durumlarda bir temsilci atamakla yükümlü kılar

  • bireylere mal veya hizmet sunuyorsa; veya
  • bireylerin davranışlarını izlemek.

“Mal ve hizmetlerin sunulmasının” ne anlama geldiği, EDPB’nin GDPR’nin bölgesel kapsamına ilişkin kılavuz ilkelerine tabidir (Kılavuz 3/2018). Bu kılavuz ilkeler artık Birleşik Krallık yasalarıyla doğrudan ilgili olmayacak olsa da ICO, belirli konularla ilgilenirken hala yararlı bir rehberlik sağladıklarını belirtmiştir. Dolayısıyla, GDPR’nin bölgesel kapsamını belirlerken, Birleşik Krallık hükümeti bu konuyla ilgili yeni düzenlemeler kabul etmediği veya ICO çelişkili bir açıklama yayınlamadığı sürece, EDPB kılavuzları yardımcı olabilir. EPDB’nin kılavuz ilkelerine göre, bir şirketin mal veya hizmetlerini belirli bir bölgedeki bireylere sunup sunmadığını belirlerken farklı faktörlerin dikkate alınması gerekir. Dikkate alınması gereken bazı faktörler şunlardır

  • Belirli bir bölgede konuşulan dilleri kullanmak veya söz konusu bölgenin para biriminde ödeme teklif etmek;
  • Bir pazara hitap etmek için Google veya Facebook reklamları kullanmak veya söz konusu pazardaki müşterilere yönelik diğer pazarlama faaliyetleri;
  • belirli bir pazarla ilgili referanslardan veya referanslardan bahsetmek;
  • söz konusu faaliyetin, belirli turistik faaliyetler gibi uluslararası nitelikte olması;
  • aynı bölgedeki bireylerin ulaşabileceği yerel adreslerin veya telefon numaralarının belirtilmesi;
  • söz konusu pazarda üst düzey alan adlarının kullanılması;
  • malların ilgili bölgedeki bireylere teslim edilmesinin teklif edilmesi.

Ayrıca, “bir bireyin davranışının izlenmesi” kriterinin yorumlanması Kılavuz 3/2018’e tabidir. AB’deki bireylerin kişisel verilerinin çevrimiçi olarak toplanması veya analiz edilmesinin tamamı “izleme” olarak nitelendirilmez. Veri sahiplerinin davranışlarının izlenmesi, belirli bir amaç için veri toplama niyeti anlamına gelir. Bu nedenle, daha sonra profil oluşturma tekniklerinin potansiyel kullanımı da dahil olmak üzere, bireylerin internette her türlü takibi “izleme” olarak nitelendirilir. EDPB’ye göre, izleme sadece internet üzerinden değil, aynı zamanda giyilebilir cihazlar ve diğer akıllı cihazlar aracılığıyla da gerçekleştirilebilir. İzleme faaliyetleri şunları içerir:

  • davranışsal reklamlar;
  • özellikle pazarlama amaçlı coğrafi konum belirleme faaliyetleri;
  • çerezlerin veya parmak izi gibi diğer izleme tekniklerinin kullanılması yoluyla çevrimiçi izleme;
  • çevrimiçi kişiselleştirilmiş diyet ve sağlık analizi hizmetleri;
  • CCTV;
  • bireysel profillere dayalı pazar araştırmaları ve diğer davranışsal çalışmalar;
  • bir bireyin sağlık durumunun izlenmesi veya düzenli olarak raporlanması.

Bu tür faaliyetler yürüten tüm şirketler bu durumun sonuçlarının farkında olmalıdır. Şimdiye kadar bir temsilci atama ihtiyacını düşünmek zorunda kalmamış olan AB şirketleri, Birleşik Krallık’taki bireyleri hedefleyip hedeflemediklerini ve dolayısıyla bir Birleşik Krallık temsilcisine ihtiyaç duyup duymadıklarını belirlemelidir. Aynı şey Birleşik Krallık şirketleri için de geçerlidir: AB GDPR hükümleri aynı kalsa da, Avrupa Birliği’nde herhangi bir kuruluşu olmayan Birleşik Krallık şirketleri, GDPR Madde 27 uyarınca bir Avrupa temsilcisi atama yükümlülüğü altına girip girmediklerini değerlendirmelidir. ABve Birleşik Krallık dışında yerleşik olan ve Brexit’ten önce GDPR kapsamındaki bu yükümlülüğün farkında olanşirketler, yeni Birleşik Krallık hükümleri kapsamında bir Birleşik Krallık temsilcisi atamaları gerekip gerekmediğini dikkatlice değerlendirmelidir. Bir yandan AB yasalarına diğer yandan Birleşik Krallık yasalarına uymak için, şimdi iki temsilci atamaları gerekebilir. Eğer halihazırda bir Avrupa temsilcisi atamışlarsa ancak bu temsilcinin Birleşik Krallık’ta bir kuruluşu yoksa, şirketin ek bir Birleşik Krallık temsilcisi ataması gerekir. Aynı durum, Avrupa temsilcisi Birleşik Krallık’ta yerleşik olan ve AB içinde bir kuruluşu bulunmayan şirketler için de geçerlidir. Artık AB’de yerleşik bir Avrupa temsilcisi atamak zorunda kalabilirler. En uygun seçenek, hem AB’de hem de Birleşik Krallık’ta kuruluşu olan bir temsilci atamak olabilir. Temsilci yükümlülüğü ile ilgili diğer tüm sorularınızın yanıtları için lütfen GDPR SSS bölümümüze ve Birleşik Krallık gizlilik SSS bölümümüze bakın.

illustration.

“Brexit Anlaşması “nın veri transferi üzerindeki etkileri

Birleşik Krallık’ın AB’den ayrılmasıyla ilgili en çok merak edilen sorulardan biri de bunun AB’den Birleşik Krallık’a ve Birleşik Krallık’tan AB’ye veri aktarımı üzerinde nasıl bir etkisi olacağıydı. Birleşik Krallık, Birleşik Krallık’tan AB’ye veri aktarımına izin verileceğini açıklarken, AB, AB’den Birleşik Krallık’a yapılacak herhangi bir veri aktarımının uluslararası veri aktarımlarına ilişkin GDPR hükümleri kapsamına gireceği yönündeki tutumunu sürdürdü. Bununla birlikte, AB, herhangi bir ek güvenceye gerek kalmadan veri akışına izin vererek aktarımları çok daha kolay hale getirecek bir yeterlilik kararı üzerinde çalışmaya başladı. Avrupa Adalet Divanı’nın Temmuz 2020’de verdiği karar (Schrems II) AB’nin bir yeterlilik kararı alma çalışmalarını geciktirdiğinden ve geçiş dönemi 31 Aralık 2020’de sona ereceğinden, AB-İngiltere veri transferleri için durum pek parlak görünmüyordu. Neyse ki, ortaya çıkan endişeler, AB’nin yeterlilik kararına ulaşması için daha fazla zaman tanıyan maksimum altı aylık bir “köprüleme süresi” sağlayan TCA tarafından ele alındı. Bu köprüleme dönemi boyunca veriler her zamanki gibi aktarılabilir. Ancak, bir yeterlilik kararının alınıp alınmayacağı kesin değildir. Bu nedenle, AB’den Birleşik Krallık’a veri aktaran şirketler, geçiş dönemi sona ermeden önce alternatif koruma tedbirlerini uygulamaya koymalıdır.

  • Geçiş döneminin bitiminden önce elde edilen ve AB GDPR kapsamında işlenen; veya
  • Eski veriler AB GDPR’ye (“dondurulmuş GDPR” olarak da adlandırılır) tabi olmaya devam edecektir. Bu nedenle ICO, işletmelere geçiş dönemi sona ermeden önce hangi verilerin toplandığını tespit etmelerini tavsiye etmektedir. Birleşik Krallık veri koruma kanunu şu anda dondurulmuş GDPR ile uyumlu olduğundan, uygulamada işletmelerin Çekilme Anlaşmasına uymak için herhangi bir değişiklik yapmaları gerekmeyebilir. Ancak Birleşik Krallık hükümeti, işletmelerin eski verileri tanımlamak ve izlemek için kişisel veri stoklarını almalarını vurgulamaktadır. Avrupa Komisyonu tarafından bir yeterlilik kararı verilirse, bu hükümler geçerliliğini yitirecektir. Kaynaklar: Gov.uk Guidance: İşletmenizde veya diğer kuruluşlarda kişisel verilerin kullanılması, AB Komisyonu: ICO: Uluslararası veri transferleri