Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Illustration of a camera on a concrete wall.

"Kötü adamlar Madde 27 temsilcilerini atamazlar. 27 temsilcilerini atamazlar" ama ceza alırlar!

Andreas
Women called Clara in a pantsuit.

Andreas Maetzler, Clara Sator

İngiltere ve Galler Yüksek Mahkemesi, Sanso Rondon v LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) kararında şu sonuca varmıştır:

“Bir Madde 3.2 kontrolörü tarafından bir temsilcinin atanması, kendi başına, kontrolörün GDPR ile etkileşime girdiğine, kapsam hükümlerini anladığına ve verilere ve veri sahiplerine erişimine getirdiği koşulları kabul ettiğine dair önemli bir işarettir. Başka bir deyişle, söz konusu pazarlığın kabul edildiğine işaret eder: elde edilecek fayda için üstlenilecek yük. Bu, Madde 3.2’nin uygulanmasının kabulü ve iyi niyetin bir işaretidir. (kararın tamamı)

Davalı tarafın hukuk müşavirinin de belirttiği gibi, kötü adamlar 27. maddeye göre temsilci atamazlar. Ancak bir temsilci atama meselesi artık sadece uyumluluğu göstermek ve güven kazanma çabasını sergilemekle ilgili değildir. Hollanda Veri Koruma Otoritesi (“DPA”) tarafından Kanada web sitesine sahip bir şirkete verilen para cezası ışığında, bir temsilci atamamak bir şirket için varoluşsal bir tehdit haline gelmektedir. GDPR’nin uygulanabilirliği konusunda farkındalık ve okuryazarlık eksikliği ile muafiyetlere ilişkin yanlış anlamalar yaygındır. Bu durum, her veri sahibinin ve her veri koruma otoritesinin, özellikle GDPR Madde 27’ye göre bir temsilci atama yükümlülüğü (temsilci atama gerekliliği hakkında daha fazla bilgi) ile ilgili olarak, uyumsuzluğu bir bakışta görebileceği gizlilik politikalarında kendini açıkça gösteren bir uyum açığı ile sonuçlanmaktadır. Bir temsilci atamadaki başarısızlık, Hollanda DPA’sının yarım milyon Euro’nun üzerinde bir para cezası vermesi nedeniyle - Kanadalı olduğu varsayılan - Locatefamily.com web sitesine çok pahalıya mal olmuştur.

Dava hakkında

Locatefamily.com, kullanıcıların iletişimlerini kaybettikleri aile üyeleri, eski sınıf arkadaşları veya arkadaşlarının iletişim bilgilerini aramalarına olanak tanıyan bir platformdur. Bu nedenle web sitesi, dünyanın her yerinde bulunan bireylerin isimleri, adresleri ve hatta bazen telefon numaraları gibi kişisel verilerini kullanmaktadır. Çoğu zaman, bireyler kişisel verilerinin kullanıldığının ve yayınlandığının farkında bile değildir. Son birkaç yıl boyunca, Hollanda DPA, Locatefamily.com’un kişisel verilerinin web sitesinden silinmesine yönelik taleplere uygun şekilde yanıt vermediğini iddia eden Avrupalı veri sahiplerinden çok sayıda şikayet aldı. Hollanda DPA bu şikayetleri daha detaylı araştırmış ve diğer Üye Devletlerdeki birkaç veri koruma otoritesinin de benzer mesajlar aldığını tespit etmiştir. Şikayetlerin sayısı kontrolden çıktığında, Hollanda DPA, GDPR Madde 27’nin ihlal edildiği iddiasıyla bir soruşturma başlatmaya karar verdi. GDPR’nin 27. Maddesinin ihlali iddiasıyla soruşturma başlatmaya karar verdi, zira şirket ne Avrupa Birliği’nde yerleşikti ne de Avrupa Birliği’nde işyerleri vardı. Bir Madde 27 temsilcisinin zorunlu olarak atanması 27 temsilcisinin atanması zorunluluğu, çok kısa ve eksik gizlilik politikasında belgelenmemiştir.

AB GDPR temsilcisinin atanmaması

Madde 27 GDPR, Avrupa Birliği dışındaki şirketleri aşağıdaki durumlarda bir Avrupa temsilcisi atamakla yükümlü kılar

  • mal veya hizmet teklif etmek; veya
  • Şirketin Avrupa Birliği içinde bir kuruluşu yoksa, Avrupalı bireylerin davranışlarını izlemek.

Bu gerekliliğin nedeni, veri koruma yetkililerinin ve bireylerin gizlilikle ilgili soruları için yerel bir irtibat kişisine sahip olmaları ve bireylerin GDPR kapsamındaki veri sahibi talepleriyle, örneğin kişisel verilerinin silinmesini isteme hakkı gibi, temsilciye başvurabilmeleridir.

Bu davadaki anlaşmazlık noktalarından biri, Locatefamily.com’un hizmetlerini AB vatandaşlarına sunup sunmadığı sorusuydu. Şirketin inandığının aksine, Hollanda DPA, Locatefamily.com’un hizmetlerini Avrupa Birliği’nde yerleşik bireylere sunduğunu, çünkü şirketin web sitesinin bu bireylere ulaşmak için tasarlandığını düşündü. Yukarıdakileri takiben, bu durum Locatefamily.com’un AB içinde bir kuruluşu olmaması durumunda bir temsilci atamasını gerektirmektedir. Hollanda DPA başkan yardımcısı Monique Verdier, ‘bu bilgilerin kaldırılmasının kolay bir yolu olması gerektiğini’ vurguladı. Burada bu mümkün değil, çünkü Locatefamily.com’un AB’de bir temsilcisi yok. Bu nedenle web sitesine para cezası verdik’ dedi.

Şirketin bu gerekliliği yerine getirmemesi, DPA’nın 525.000,00 Euro para cezası vermesine yol açtı. Buna ek olarak DPA, Locatefamily.com’un 18 Mart 2021 tarihine kadar bir Avrupa temsilcisi atamasını, aksi takdirde atamamaya devam ettikleri her iki hafta için 20.000,00 Avro para cezasına çarptırılacaklarını ve bu cezanın en fazla 120.000,00 Avro’ya kadar çıkabileceğini belirtmiştir. Ancak, bu ceza çok daha yüksek olabilirdi: GDPR, denetim makamlarının 10.000.000,00 Avro’ya veya şirketin yıllık cirosunun %2’sine (hangisi daha yüksekse) kadar para cezası uygulamasına izin vermektedir. Dolayısıyla burada ucuz kurtuldukları düşünülebilir.

Sonuç

Veri koruma makamlarının bir Madde 27 temsilcisi atamadığı için para cezası uygulamaya başlamasının sadece bir zaman meselesi olduğu düşünülebilir. 27 temsilcisi atamamaktan dolayı para cezası vermeye başlamasının an meselesi olduğu düşünülebilir. Bununla birlikte, AB üyesi olmayan ve Birleşik Krallık’ta yerleşik olmayan şirketlerin büyük çoğunluğu ya yükümlülükten haberdar olmadıkları veya haberdar olmak istemedikleri ya da yükümlülüğü bildikleri ve potansiyel olarak yıkıcı riski kabul ettikleri için henüz bir temsilci atamamıştır.

Bu dava, denetim makamlarının uyumsuzluk örneklerini cezalandırmaya ve bir temsilci atama yükümlülüğünü uygulamaya istekli olduğunu göstermektedir. Sadece Hollanda DPA’sı değil, diğer dokuz veri koruma otoritesi de bu davanın soruşturmasına katılmıştır, bu da Madde 27’ye uyumun denetim makamları için önemli olduğunu göstermektedir. 27’ye uyumun Avrupa Birliği’ndeki denetim makamları için önem arz ettiğini göstermektedir. Ayrıca, AB ve Birleşik Krallık dışındaki şirketler, yalnızca ulusal veri koruma makamlarının bir şirketin uyumluluğunu sorgulayabileceğini değil, aynı zamanda GDPR’nin AB’deki 447 milyon veri sahibine ve Birleşik Krallık’taki 66 milyon veri sahibine kendi gizlilik haklarını bireysel olarak şikayet etme ve uygulama hakkı verdiğini de akılda tutmalıdır.

Son olarak, bu davada olduğu gibi uyumsuzluk için para cezaları uygulamak, veri koruma makamlarının iyi bilinen bir yetkisidir, ancak AB veya İngiltere dışındaki bir şirket için varoluşsal bir tehdit oluşturabilecek tek yetki değildir. Diğerlerinin yanı sıra, veri koruma makamları, işleme yasakları veya üçüncü bir ülkedeki bir alıcıya veri akışının askıya alınması gibi sınırlamalar getirme yetkisine sahiptir ve her ikisi de bir şirketin olağan işine devam etmesini engelleyebilir. Bu nedenle şirketler ve danışmanları, GDPR’nin uygulanabilirliği ve bir temsilci atama yükümlülüğü konusundaki anlayışlarını sorgulamalı ve son literatürü (daha fazla bilgi) dikkate alarak duruşlarını yeniden değerlendirmelidir. Brexit, Birleşik Krallık’a ulaşan AB şirketlerinin yanı sıra AB’deki bireyleri hedefleyen veya izleyen Birleşik Krallık şirketleri için de bunu bir gereklilik haline getirmektedir. Herhangi bir şüphe durumunda, İngiltere ve Galler Yüksek Mahkemesi’ne göre bu hizmet kolay erişilebilir (burada) ve iyi niyet göstergesi olduğundan bir temsilci atanması tavsiye edilir.