AB dışında kurulan şirketlerin, AB Genel Veri Koruma Tüzüğü'nün (GDPR) 27. maddesi uyarınca bir AB temsilcisi ataması gerekebilir. Bu yükümlülük, aşağıdaki durumlarda ortaya çıkar:

• AB’de bulunan bireylere mal veya hizmet sunuluyorsa (örneğin bir web sitesinin AB dillerinde sunulması, EUR cinsinden ödeme seçenekleri sunulması),
• veya AB’deki bireylerin davranışları izleniyorsa (örneğin çerez yoluyla profilleme yapılması).

Avrupa Veri Koruma Kurulu’nun (EDPB), GDPR’nin yargı yetkisine ilişkin 3/2018 no’lu kılavuzuna göre, bu yükümlülük hem veri sorumluları hem de veri işleyenler için geçerlidir. AB dışında yerleşik veri işleyenler için de GDPR geçerli olabilir.

Örnek Durum 1: Çevrimiçi Oyun Şirketi: AB dışında kurulu bir çevrimiçi oyun şirketisiniz ve oyunlarınızı AB’deki kullanıcılara ücretsiz olarak sunuyorsunuz. Kullanıcıların coğrafi konum bilgileri, tarayıcı verileri ve gezinme geçmişini analiz ederek reklam gösterimi yapıyorsunuz. Bu durumda AB pazarını hedeflediğiniz ve kullanıcı davranışlarını izlediğiniz için, GDPR’ye uyum sağlamak amacıyla AB üyesi bir ülkede fiziksel olarak yerleşik bir temsilci atamanız yasal bir zorunluluktur. Aksi halde, GDPR ihlalleri ciddi para cezalarına ve AB’deki faaliyetlerinizin durdurulmasına yol açabilir.

Örnek Durum 2: B2B SaaS Şirketi: Bir CRM yazılımı geliştiriyorsunuz ve bunu AB’deki şirketlere veya AB veri konularına hizmet sunan şirketlere SaaS modeliyle sağlıyorsunuz. Müşterilerinizin AB’deki bireylerle ilgili verileri yazılımınız üzerinden işleniyor ve depolanıyor. Bu nedenle, siz de AB'de fiziksel olarak yerleşik bir GDPR temsilcisi atamakla yükümlüsünüz. Ayrıca, AB’deki müşterileriniz sizden bir temsilci atamanızı ve bir veri işleme sözleşmesi imzalamanızı talep edebilir. GDPR’ye önceden uyum sağlamanız, iş görüşmelerinde güven oluşturmanıza ve ticari süreci hızlandırmanıza yardımcı olur.

GDPR’nin 27. maddesine göre, bir denetleyici veya veri işleyen taraf, aşağıdaki tüm kriterleri aynı anda karşılıyorsa temsilci atama yükümlülüğünün dışında tutulabilir:

• Kişisel veriler yalnızca ara sıra işleniyor olmalı; yani bu işlem düzenli veya sistematik bir şekilde yapılmamalıdır,
• İşleme faaliyetleri, özel nitelikli kişisel verilerin ya da ceza mahkûmiyetleri ve suçlarla ilgili verilerin geniş çaplı işlenmesini içermemelidir,
• Veri işleme, veri sahiplerinin hak ve özgürlükleri açısından düşük risk taşımalıdır.

Bu üç kriterin tamamını birden sağlamak çoğu işletme için oldukça zordur. Özellikle “kişisel verilerin yalnızca ara sıra işlenmesi” şartı, birçok şirketin muafiyet kapsamı dışında kalmasına neden olur.

Şirketinizin AB’deki müşterilerle ticari ilişki kurma niyeti, somut bir ticari faaliyetle desteklenmiş olmalıdır.
Sadece AB'deki kullanıcıların web sitenize erişebiliyor olması, bir e-posta veya adres bilgisinin sitede yer alması ya da telefon numarasının ülke kodu olmadan paylaşılması, tek başına AB’deki kişilere mal veya hizmet sunma niyetini kanıtlamak için yeterli sayılmaz.

Avrupa Veri Koruma Kurulu (EDPB), bir mal veya hizmetin AB'de sunulup sunulmadığını değerlendirirken dikkate alınması gereken faktörleri GDPR'nin yargı yetkisine ilişkin 3/2018 no’lu kılavuzda açıklamıştır. Bu faktörlerden bazıları şunlardır:

• AB üye devletlerinin dillerinde hizmet sunulması veya bu ülkelerin para birimiyle ödeme kabul edilmesi,
• Google, Facebook gibi platformlarda AB kullanıcılarını hedefleyen reklam kampanyaları veya pazarlama faaliyetleri,
• AB’li müşterilere dair referanslara veya kullanıcı yorumlarına yer verilmesi,
• AB ülkelerine yönelik özel teslimat seçenekleri sunulması,
• AB ülkelerinden erişilebilecek yerel adres ya da telefon numarası paylaşılması,
• AB’ye özgü alan adlarının (örneğin .de, .fr) kullanılması,
• AB'den belirli bir hizmet lokasyonuna ulaşım talimatlarının verilmesi (örneğin bir otel veya turizm hizmeti için),
• AB ülkelerine mal veya hizmet gönderiminin teklif edilmesi.

Kısacası, eğer şirketinizin AB pazarına bir açılım faaliyeti varsa ya da AB'deki müşterilerin ürünlerinize erişmesini ve satın almasını sağlayan bir sistem kurulduysa, GDPR büyük olasılıkla geçerli olacaktır.

Durum 1: Türkiye merkezli bir web sitesi, kişiye özel aile fotoğraf albümleri oluşturma, düzenleme, baskı ve gönderim hizmeti sunmaktadır. Site İngilizce, Fransızca, Hollandaca ve Almanca dillerinde hizmet vermekte ve ödemeler euro veya sterlin olarak kabul edilmektedir. Ayrıca, albümlerin yalnızca İngiltere, Fransa, Benelüks ülkeleri ve Almanya’ya posta yoluyla teslim edilebileceği açıkça belirtilmektedir.
Bu durum, hizmetin açıkça AB pazarına yönelik olduğunu gösterdiğinden, GDPR’nin uygulanabilirliği açısından güçlü bir göstergedir.

Durum 2: İsviçre’deki bir üniversite, uluslararası ilişkiler alanında yaz dönemi kursları sunmakta ve bu programları özellikle Almanya ve Avusturya’daki üniversitelerde tanıtmaktadır. Katılımcı sayısını artırmak amacıyla yapılan bu tanıtım faaliyetleri, üniversitenin Avrupa Birliği’nde bulunan veri sahiplerine açıkça hizmet sunma niyetinde olduğunu ortaya koymaktadır.
Dolayısıyla, bu faaliyetler kapsamında gerçekleştirilen kişisel veri işleme süreçlerine GDPR uygulanacaktır.

AB’de bulunan bireylerin kişisel verilerinin çevrim içi ortamda toplanması veya analiz edilmesi, her zaman “izleme” olarak değerlendirilmez.
Veri işleme faaliyetinin "izleme" kapsamında değerlendirilmesi için, verilerin belirli bir amaç doğrultusunda toplanması ve bireyin davranışlarını takip etme niyetinin bulunması gerekir. Özellikle çevrim içi kullanıcı davranışlarının takibi ve bu verilere dayalı profilleme gibi uygulamalar, GDPR kapsamında “izleme” olarak kabul edilir.

Avrupa Veri Koruma Kurulu (EDPB), bu konudaki detayları 03/2018 sayılı Kılavuzunda açıklamıştır. EDPB’ye göre izleme yalnızca internet üzerinden değil, aynı zamanda giyilebilir teknolojiler ve akıllı cihazlar aracılığıyla da gerçekleşebilir.

İzleme kapsamına giren faaliyetlere örnek olarak şunlar sayılabilir:

• Davranışsal reklamcılık
• Pazarlama amacıyla yapılan coğrafi konum belirleme
• Çerezler veya dijital parmak izi gibi tekniklerle çevrim içi takip
• Kişiselleştirilmiş diyet ve sağlık analiz hizmetleri
• CCTV (kapalı devre güvenlik kameraları) ile izleme
• Pazar araştırmaları ve bireysel profillere dayalı davranışsal analizler
• Bir bireyin sağlık durumunun sürekli izlenmesi veya düzenli olarak raporlanması

Örnek 1: ABD merkezli bir pazarlama şirketi, Fransa’daki bir alışveriş merkezine mağaza yerleşimi konusunda tavsiyeler sunmaktadır. Bu tavsiyeler, merkezdeki müşterilerin Wi-Fi üzerinden takip edilerek toplanan hareket verilerine dayanmaktadır. Bu durum, AB veri sahiplerinin davranışlarının izlendiğini göstermekte ve GDPR kapsamına girmektedir.

Örnek 2: Kanada merkezli bir mobil uygulama geliştiricisi, AB’de yerleşik değildir. Uygulamanın optimizasyonu ve bakımı için ABD’deki bir veri işleyeni kullanmaktadır. Aynı zamanda, uygulama AB’deki kullanıcıların davranışlarını da izlemektedir. Bu nedenle geliştirici, GDPR’nin 3(2)(b) maddesi kapsamında AB düzenlemelerine tabidir.

Genel Veri Koruma Tüzüğü (GDPR), yasal kapsamını Avrupa Birliği dışındaki denetleyici ve veri işleyen kuruluşlara da genişletmektedir. Bu nedenle, AB dışındaki bir denetleyici veya işleyicinin AB’de bir temsilci atama yükümlülüğünü yerine getirmemesi durumunda, 10 milyon euroya kadar veya şirketin küresel yıllık cirosunun %2’sine kadar idari para cezası uygulanabilir.

Bu tür cezalar hem bireylerin şikâyetleri hem de veri koruma otoritelerinin doğrudan müdahalesiyle gündeme gelebilir. Ayrıca, bu yükümlülüğün yerine getirilmemesi hâlinde AB’deki iş ortaklarınız veri aktarımını durdurmak zorunda kalabilir, bu da ticari ilişkilerinizde ciddi kesintilere neden olabilir.

Temsilci, Avrupa Birliği dışındaki denetleyiciler ve veri işleyenler ile AB’deki denetim otoriteleri ve veri sahipleri arasındaki iletişimi kolaylaştırmak amacıyla bir irtibat noktası olarak görev yapar. Bu temsilcinin, ilgili denetleyici veya veri işleyen tarafından yazılı olarak yetkilendirilmiş olması gerekir.

Ayrıca, temsilci, veri işleme faaliyetlerine ilişkin GDPR’nin 30. maddesi kapsamında tutulması gereken kayıtları saklamakla yükümlüdür ve bu kayıtları talep üzerine denetim otoritesine sunmalıdır.

İletişimi kolaylaştırmak amacıyla Prighter, Avrupa genelinde bir ofis ağı oluşturmuş ve hem denetim otoriteleri hem de veri sahipleriyle etkili iletişim kurmak için yüksek teknolojili çözümler geliştirmiştir.

Temsilci atamasına ilişkin yazılı yetkilendirme, onboarding sürecinin doğal bir parçasıdır. Müşteriler, vekâletnameyi uçtan uca dijital bir süreçle çevrim içi olarak kolayca imzalayabilir.

Ayrıca, müşterilerimize işleme faaliyetlerine ilişkin kayıtları hazırlarken destek sağlıyoruz. Bunun için önceden doldurulmuş şablonlar sunuyor, kapsamlı rehberlik ve sürekli destekle süreci kolaylaştırıyoruz.

Öncelikle, Avrupa Veri Koruma Kurulu (EDPB), 03/2018 sayılı kılavuzunda yalnızca tek bir temsilcinin atanmasının yeterli olduğunu ve bu temsilcinin tüm AB Üye Devletleri nezdinde görev yapabileceğini açıkça belirtmektedir. Ancak, müşteri kitlesinin büyük bir kısmı belirli bir Üye Devlette bulunuyorsa, temsilcinin o ülkede kurulması iyi uygulama olarak önerilmektedir. Her durumda, temsilci nerede yer alırsa alsın, tüm AB ülkelerindeki veri sahipleri tarafından kolayca erişilebilir olmalıdır.

Peki, Prighter bu gereksinimlere nasıl yaklaşıyor?

– Prighter’ın, AB’nin önde gelen Üye Devletlerinde doğrudan ofisleri ve iş ortaklığı ofisleri bulunmaktadır. Bu sayede, temsilciliğiniz hem yerel düzeyde erişilebilir olur hem de tüm müşterileriniz için uyumlu bir yapı sunulur — nerede olurlarsa olsunlar.

– Prighter yalnızca bir posta adresi sunmaz; her ofisimizde gerçek veri gizliliği uzmanları görev yapar. Böylece yalnızca formel bir temsil değil, etkin, uzman temelli bir destek sağlanır.

Amacımız, Avrupa dışındaki şirketlerin GDPR’ye uyum sağlamasını hukuki uzmanlıkla teknolojiyi bir araya getiren çözümlerimizle mümkün kılmaktır.

Büyük bankalara, finans kuruluşlarına ve teknoloji şirketlerine Veri Koruma Görevlisi (DPO) olarak hizmet verirken edindiğimiz pratik deneyimi, Veri Sahibi Talepleri (DSR), veri ihlalleri ve işleme faaliyetlerine ilişkin kayıtların yönetimi gibi süreçleri kolaylaştıran araçlarımıza entegre ediyoruz.

Gizlilikle ilgili her konuda size destek sağlıyoruz. Ama en önemlisi, gizlilik süreçlerinizi etkili, uyumlu ve profesyonel bir şekilde yönetmenize yardımcı olarak müşteri güvenini artırmanızı ve işinizi büyütmenizi mümkün kılıyoruz.

Hizmetimizin merkezinde, GDPR’nin 27. maddesi kapsamında sunulan temsilcilik hizmeti yer almaktadır. Bu yasal yükümlülüğü temel alarak, uyum sürecinizi güçlendirecek ve müşteri ile iş ortaklarınızın güvenini artıracak özellikler, hizmetler ve araçlar geliştirdik.
Detaylı bilgi için “GDPR Temsil Hizmetleri” sayfamızı ziyaret edebilirsiniz.

GDPR Temsilciliği
AB GDPR Temsilcilik Programımıza abone olduğunuzda, Prighter’ı resmi temsilciniz olarak atarsınız. Denetim otoriteleri ve veri sahiplerinden gelen taleplerin yönetiminde, nitelikli hukukçulardan ve gizlilik uzmanlarından oluşan ekibimiz ilk temas noktanız olur.

Güven Kazanın
Markanıza özel olarak özelleştirilebilen bir “Uyumluluk İkinci Sayfası” sunuyoruz. Bu sayfa üzerinden gizlilik ve güvenlik sertifikalarınızı, gizlilik ve çerez politikalarınızı paylaşabilir, kullanıcılarınıza şeffaflık sunarak güven oluşturabilirsiniz. Aynı sayfa, veri sahiplerinin taleplerini iletebileceği bir erişim noktası işlevi de görür ve bu talepler, Prighter’ın sunduğu gizlilik yazılımlarıyla kolayca yönetilebilir.

GDPR Gizlilik Yazılım Araçları
Mevcut veya potansiyel müşterilerden gelen veri sahibi taleplerinin (DSR) tüm yaşam döngüsünü yönetmek üzere geliştirdiğimiz özel yazılım, size zaman ve kaynak tasarrufu sağlar, uyumluluk riskinizi azaltır.

Ayrıca, denetim otoritelerinden gelen standart talepler (örneğin işleme faaliyetlerine ilişkin kayıtların sunulması) için tam destek sağlıyoruz. Bir veri ihlali yaşanması durumunda da, acil müdahale imkânı sunan araçlarımızla size hızlı ve etkili destek veriyoruz.

İşte tam bu noktada yenilikçi yaklaşımımız devreye giriyor. Veri Sahibi Talebi (VKI) Yönetim Aracımızı, hem müşterilerden hem de denetim otoritelerinden gelen gizlilik taleplerini merkezi bir yapıda toplamak, sınıflandırmak ve yönetmek üzere geliştirdik.

Kendi geliştirdiğimiz yapay zekâ teknolojisi sayesinde, milyonlarca veri sahibinden gelen talepleri tek bir araç üzerinden etkili şekilde işleyebilirsiniz. Bu araç, VKI'lerin tüm resmi yönlerini kapsar, veri sahipleriyle iletişim dahil.

Veritabanınızda ne yapılacağına (örneğin bir kişinin verilerinin silinmesi) her zaman siz karar verirsiniz. VKI Aracı, taleplerin tüm yaşam döngüsünü yönetmek üzere tasarlanmıştır ve sürecin her aşamasında size hem doğru yönlendirme hem de güçlü bir danışmanlık çerçevesi sunar.

Bu araca dair daha fazla bilgiye buradan ulaşabilirsiniz:
PrighterDSR'ı ziyaret edin 

Eğer şirketiniz aşağıdaki üç kriterden en az birini karşılıyorsa, bir Veri Koruma Görevlisi (DPO) atamanız zorunludur:

• Veri işleme, bir kamu otoritesi veya kamu kuruluşu tarafından yürütülüyorsa (mahkemelerin yargı yetkisi kapsamındaki faaliyetler hariç);
• Şirketinizin temel faaliyetleri, veri sahiplerinin büyük ölçekte düzenli ve sistematik olarak izlenmesini gerektiriyorsa;
• Şirketinizin temel faaliyetleri, özel nitelikli kişisel verilerin (GDPR Madde 9) veya ceza mahkûmiyetleri ve suçlara ilişkin verilerin (Madde 10) büyük ölçekte işlenmesini kapsıyorsa.

Bu kriterlerin nasıl yorumlanması gerektiğine ilişkin detaylı açıklamalar, 29. Madde Çalışma Grubu’nun Veri Koruma Görevlilerine ilişkin rehberinde yer almaktadır.

Öte yandan, GDPR temsilcisi atama yükümlülüğü, AB dışında yerleşik bir şirketin AB'deki bireylere mal veya hizmet sunması ya da bu bireylerin davranışlarını izlemesi durumunda ortaya çıkar.

Kısaca özetlemek gerekirse:

• DPO atama yükümlülüğü, daha yüksek riskli ve özel nitelikli veri işleme faaliyetleriyle ilişkilidir.
• GDPR temsilcisi atama yükümlülüğü ise, şirketinizin AB’deki bireylerin kişisel verilerini işlediğinin “fark edilir” olması hâlinde devreye girer.

Veri Koruma Görevlisi (DPO), bir şirkette kişisel verilerin korunmasıyla ilgili tüm süreçlerde aktif rol oynamalıdır. DPO’nun temel sorumlulukları arasında, şirketin GDPR’ye uyum sürecini izlemek, veri koruma etki değerlendirmelerine destek olmak ve yönetime gizliliğin tasarım yoluyla ve varsayılan olarak nasıl sağlanacağı da dâhil olmak üzere tüm gizlilik konularında danışmanlık sunmak yer alır.

Bu nedenle, DPO’nun şirkete yakın olması ve günlük operasyonlara dâhil olabilmesi önemlidir. Mümkünse, DPO’nun şirketin merkezinin bulunduğu bölgede görev yapması tercih edilir.

Buna karşılık, AB GDPR Temsilcisi, AB dışında yerleşik bir şirketin AB içindeki yasal temsilcisi olarak hareket eder ve bu nedenle fiziksel olarak uzakta konumlanır. Temsilci, şirketin AB içinde bir şubesi ya da bağlı kuruluşu değil, AB’deki yetkililerle ve veri sahipleriyle iletişim kurulabilmesini sağlayan resmi bir temas noktasıdır.

Hayır, DPO ile GDPR temsilcisi rollerinin aynı kişide birleşmesi genellikle uygun değildir, çünkü bu iki rol arasında çıkar çatışması riski bulunmaktadır.

Avrupa Veri Koruma Kurulu (EDPB), 03/2018 sayılı kılavuzunda, özellikle yaptırım süreçlerinde bu iki rolün yükümlülükleri arasında çatışma yaşanabileceğine dikkat çekmektedir.

EDPB’ye göre, bir temsilcinin görevi, özellikle aynı kişinin bir şirket adına hem veri işleyici hem de temsilci olarak hareket etmesi durumunda, rol çatışmalarına yol açabilir. DPO ve temsilcinin sorumlulukları farklı olduğundan, bu iki görevin aynı kişi ya da yapı tarafından yürütülmesi hem bağımsızlık ilkesini hem de uyumluluğu riske atabilir.

Prighter’ı GDPR temsilcisi olarak atamak kolay ve hızlıdır, birkaç dakika içinde tamamlanabilir.
Üstelik, herhangi bir risk almadan başlayabilmeniz için size 14 günlük ücretsiz deneme süresi sunuyoruz.

1. Planınızı seçin:
Mevcut planlarımız, şirketinizin büyüklüğüne göre belirlenmiştir. Büyüklük, Eurostat kriterlerine göre tanımlanır ve çalışan sayısı esas alınır. Bu tanıma yarı zamanlı çalışanlar ve serbest çalışanlar da dahildir.

2. Şirket bilgilerinizi girin:
Kısa bir form aracılığıyla temel bilgilerinizi paylaşıyorsunuz.

3. Vekâletnameyi indirin ve yükleyin:
Kayıt işleminin ardından, Prighter’ın GDPR temsilcisi olarak yetkilendirildiğini gösteren resmi vekâletname belgesini indirebilirsiniz. Bu belgeyi imzalayıp sistemimize yüklemeniz yeterlidir.

4. Bilgilerin kontrolü ve onay:
Ekibimiz, sağladığınız bilgileri ve vekâletnameyi inceler. Bu adım genellikle birkaç saat içinde tamamlanır.

5. Temsilcilik başlıyor:
Vekâletnameniz onaylandığında, şirketiniz Prighter’ı GDPR’nin 27. maddesi kapsamında Avrupa Birliği genelinde yasal temsilcisi olarak atamış olur. Ardından müşteri panelinize giriş yapabilir, web sitenizde ve gizlilik politikanızda kullanabileceğiniz şablonlara erişebilirsiniz.

Ve artık 14 günlük ücretsiz deneme süreniz başlamış olur!

Veri Koruma Görevlisi (DPO) atamasının aksine, bir GDPR temsilcisinin denetim otoritesine ayrıca bildirilmesi gerekmez.
Bir veri koruma otoritesi bir şirket hakkında soruşturma başlatırsa, temsilci bilgilerine genellikle şirketin gizlilik politikasından ulaşabilir.

Ancak, Prighter’ı NIS temsilciniz olarak atamanız durumunda, bu bilgiyi ilgili otoriteye bildirmeniz gerektiğini lütfen unutmayın.

Her bir tüzel kişilik, GDPR’nin 27. maddesi uyarınca ayrı bir temsilci atamakla yükümlüdür.
Ancak Prighter, grup şirketleri için bu süreci kolaylaştıran grup paketi seçeneği sunar. Bu paket sayesinde, bağlı kuruluşlarınız için oluşturulan alt hesaplar tek bir ana hesap üzerinden merkezi olarak yönetilebilir.

Grubun veri koruma süreçlerini tek bir noktadan yürütmek için, merkezi bir yönetim hesabı belirlemeniz ve hem ana hem de alt hesapları tek bir oturum açma ile yönetmeniz gerekir.

Kapsam dahilindeki bağlı kuruluş sayısı, seçtiğiniz pakete bağlıdır:

• Küçük İşletme Paketi: 2 bağlı kuruluş
• Orta Ölçekli İşletme Paketi: En fazla 5 bağlı kuruluş
• Büyük İşletme Paketi: Sınırsız sayıda bağlı kuruluş

Grup paketi kapsamında yer alan tüm şirketlerin aynı sektörde faaliyet göstermesi, aynı ürün/hizmet yelpazesine sahip olması ve aynı ya da ilişkili bir marka altında hareket etmesi gerekmektedir.

Abonelik fiyatlarımız, şirketinizin büyüklüğüne ve kapsama alınacak varlık sayısına göre, resmi Eurostat kategorilerine dayalı olarak belirlenir ve aylık 39 €’dan başlar.

Tüm abonelik planlarımızda, hizmetimizi değerlendirebilmeniz için 14 günlük ücretsiz deneme süresi sunuyoruz. Böylece herhangi bir taahhütte bulunmadan önce sistemimizi tanıyabilirsiniz.

Fiyatlandırmamız tamamen şeffaftır. Veri sahiplerinden gelen talepler için işlem başına ek ücret alınmaz, dolayısıyla gizli maliyetlerle karşılaşmazsınız.

Esnek ödeme seçenekleri sunuyoruz:
Aylık, üç aylık veya yıllık ödeme planlarından dilediğinizi seçebilirsiniz.

• Üç aylık ödemelerde indirim uygulanır.
• Yıllık ödemelerde ise daha yüksek bir indirimden faydalanabilirsiniz.

Ödemelerinizi kredi kartı ya da banka havalesi ile gerçekleştirebilirsiniz.
Çoğu kredi kartını kabul ediyoruz. Banka havalesi yoluyla ödeme yapmak isteyen müşteriler için yıllık ödemeler EUR, USD veya GBP olarak yapılabilir.

Daha fazla bilgi veya sorularınız için destek ekibimizle iletişime geçebilirsiniz.

GDPR bir AB düzenlemesi olduğu için, Brexit sonrası artık doğrudan Birleşik Krallık’ta geçerli değildir. Ancak Birleşik Krallık hükümeti GDPR’ı kendi veri koruma hukukuna dahil etmiştir. Dolayısıyla 1 Ocak 2021’den itibaren Birleşik Krallık versiyonu olan ‘UK GDPR’ yürürlüğe girmiştir ve şirketlerin buna uyması gerekmektedir.

Gerekliliklerin çoğu AB GDPR ile aynıdır. Bu nedenle halihazırda AB GDPR’a uyumlu olan şirketlerin büyük değişiklikler yapmasına gerek yoktur. Ancak sınır ötesi faaliyetlerde ek yükümlülükler doğabilir; örneğin Birleşik Krallık’ta bir temsilci atama veya Birleşik Krallık’a ve Birleşik Krallık’tan yapılacak uluslararası veri transferlerinde uyumluluk sağlama gibi.

Birleşik Krallık hükümeti, 1 Ocak 2021’den itibaren, Birleşik Krallık dışında bulunan (AB’de veya üçüncü bir ülkede) ve Birleşik Krallık’ta ofisi, şubesi ya da başka bir kuruluşu bulunmayan şirketlerin, eğer Birleşik Krallık’taki kişilerin kişisel verilerini işliyorlarsa bir Birleşik Krallık temsilcisi atamaları gerektiğini belirtmiştir. Bu yükümlülük, şu durumlarda geçerlidir:

• Birleşik Krallık’taki kişilere mal veya hizmet sunuluyorsa, veya
• Birleşik Krallık’taki kişilerin davranışları izleniyorsa.

EDPB (Avrupa Veri Koruma Kurulu), GDPR’ın coğrafi kapsamı ve temsilci atanmasına ilişkin kılavuzlar yayımlamıştır (Kılavuz 3/2018). Bu kılavuzlar artık doğrudan Birleşik Krallık hukuku açısından bağlayıcı olmasa da, ICO belirli konularda hâlâ yol gösterici olabileceklerini ifade etmiştir. Dolayısıyla, Birleşik Krallık hükümeti bu konuda yeni düzenlemeler yapmadığı sürece, GDPR’ın coğrafi kapsamını belirlerken EDPB kılavuzları yardımcı olabilir.

Bu kılavuzlara göre, bir şirketin AB’deki kişilere mal veya hizmet sunup sunmadığını belirlemek için farklı faktörler göz önünde bulundurulur. Aynı mantık, yalnızca Birleşik Krallık’a uyarlanarak da kullanılabilir. Örneğin şu hususlar dikkate alınabilir:

• Birleşik Krallık’ta kullanılan dilin ve GBP para biriminin kullanılması,
• Birleşik Krallık’taki kişilere yönelik reklamlar veya pazarlama araçlarının kullanılması,
• Birleşik Krallık’tan erişilebilecek adres ya da telefon numaralarının belirtilmesi,
• .uk uzantılı alan adlarının kullanılması,
• Malların Birleşik Krallık’a tesliminin sunulması.

Birleşik Krallık hükümeti bu konuda yeni bir düzenleme yapmadığı sürece, EDPB’nin (Avrupa Veri Koruma Kurulu) kılavuzları (Kılavuz 3/2018), şirketlerin Birleşik Krallık’taki kişilerin davranışlarını izleyip izlemediğini değerlendirmede yardımcı olabilir. EDPB kılavuzlarına göre izleme hem internet üzerinden hem de giyilebilir teknolojiler ve diğer akıllı cihazlar aracılığıyla gerçekleşebilir. İzleme faaliyetlerine örnek olarak şunlar gösterilebilir:

• Davranışsal reklamcılık
• Coğrafi konum takibi
• Çerezler veya diğer takip teknolojileriyle çevrim içi takip
• Bireysel profillere dayalı pazar araştırmaları ve diğer davranış analizleri
• CCTV (güvenlik kameraları)

Bir kamu otoritesiyseniz temsilci atamanıza gerek yoktur. Ayrıca, şirketiniz aşağıdaki tüm kriterleri karşılıyorsa Birleşik Krallık’ta temsilci atama yükümlülüğünüz bulunmaz:

• Kişisel verileri yalnızca arada sırada işliyorsanız, ve
• Veri işleme faaliyetleri, veri sahiplerinin hakları açısından düşük risk taşıyorsa, ve
• Özel nitelikli kişisel veriler veya suçlara ilişkin veriler büyük ölçüde işlenmiyorsa.

Genel olarak şirketlerin bu kriterlerin tamamını karşılaması oldukça zordur; bu nedenle bu istisnadan faydalanabilmeleri neredeyse hiçbir zaman mümkün olmaz.

Eğer şirketiniz bir temsilci atamakla yükümlüyse ancak bunu yapmazsa, yıllık küresel gelirinizin %2'si veya 8.7 milyon GBP'ye kadar ceza kesilebilir.

Birleşik Krallık’taki gizlilik temsilcinizin, UK GDPR kapsamındaki yasal yükümlülüklerinizde sizi temsil edebilmesi gerekir. Bu nedenle temsilcinizin yalnızca bir posta kutusu değil, Birleşik Krallık’ta bulunan nitelikli bir gizlilik uzmanı olmasına dikkat etmelisiniz. Temsilci yazılı olarak atanmalı ve sizin adınıza UK GDPR uyumunuzu sağlarken aynı zamanda Birleşik Krallık’taki veri sahipleri ve denetim otoritesi ICO için yerel irtibat noktası olarak görev yapmalıdır.

Peki, Prighter bu gereklilikleri nasıl karşılıyor?

Birleşik Krallık’taki gizlilik temsilciliği, Prighter Group’un bir parçası olan ve Maetzler Rechtsanwalts GmbH & Co KG tarafından desteklenen Birleşik Krallık şirketi Prighter Ltd tarafından sunulmaktadır.

Prighter Ltd ile birlikte eğitimli avukatlar ve gizlilik uzmanları, yalnızca Birleşik Krallık’a ilişkin değil, ötesindeki gizlilik konularında da sizi destekler.

Yazılı atama, onboarding sürecinin bir parçasıdır. Müşteriler vekâletnameyi uçtan uca dijital süreçle doğrudan çevrimiçi olarak imzalayabilirler.

Amacımız, Birleşik Krallık’ta şubesi, iştiraki veya başka bir yapılanması olmayan şirketlerin, hukuki uzmanlığımızı teknolojiyle birleştirerek Birleşik Krallık gizlilik mevzuatına uyum sağlamalarını mümkün kılmaktır. Büyük bankalar, finansal hizmet sağlayıcıları ve teknoloji şirketleri için atanmış Veri Koruma Görevlisi rolümüzden edindiğimiz pratik deneyimleri; Veri Sahibi Taleplerinin (DSR) ve veri ihlallerinin yönetimi ile işleme faaliyetleri kayıtlarının takibi için geliştirdiğimiz araçlara aktarıyoruz. Tüm gizlilik konularında sizi destekliyoruz, fakat en önemlisi, gizlilik süreçlerini verimli ve profesyonel bir şekilde yönetmenizi sağlayarak müşteri güvenini artırmanıza ve işinizi büyütmenize yardımcı oluyoruz.

Hizmetimizin merkezinde UK GDPR Madde 27 kapsamındaki temsil bulunmaktadır. Bu gerekliliğin etrafında, uyumluluğunuzu verimliliğe dönüştürmenizi ve müşterileriniz ile iş ortaklarınızın güvenini kazanmanızı sağlayacak özellikler, hizmetler ve araçlar geliştirdik. Sunulan hizmetler hakkında daha fazla bilgi için ‘UK-Rep Hizmetleri’ sayfasını ziyaret edebilirsiniz.

Birleşik Krallık Temsilciliği:
UK Privacy Representation Programı’na abone olduğunuzda, bizi yetkilendirilmiş Birleşik Krallık Gizlilik Temsilciniz olarak atamış olursunuz. Alanında uzman avukatlarımız ve gizlilik profesyonellerinden oluşan ekibimiz, veri sahiplerinden veya denetim otoritelerinden (ICO gibi) gelen talepleri karşılamanızda size gerekli desteği sağlar.

Güven Kazanın:
Markanıza özel uyarlanabilen bir Uyum Açılış Sayfası (Compliance Landing Page) sunuyoruz. Bu sayfada gizlilik ve güvenlik sertifikalarınızı, gizlilik ve çerez politikalarınızı paylaşabilir, gizlilik alanındaki hazırlığınızı gösterebilirsiniz. Böylece müşterilerinizin güvenini artırabilir ve gizlilik konusundaki şeffaflığınızı ortaya koyabilirsiniz. Ayrıca bu sayfa, gizlilikle ilgili taleplerin iletilebileceği bir erişim noktasıdır; taleplerinizi GDPR Gizlilik Yazılımı araçlarıyla kolayca yönetebilirsiniz.

Gizlilik Yazılımı Araçları:
Mevcut veya potansiyel müşterilerden gelebilecek Veri Sahibi Taleplerini (DSR) yönetmek için özel bir araç geliştirdik. Bu sayede zamandan, iç kaynaklardan ve maliyetten tasarruf eder, uyumsuzluk riskinizi önemli ölçüde azaltırsınız. Ayrıca ICO’dan gelebilecek standart taleplerin (örneğin işleme faaliyetleri kayıtlarının sunulması) tamamı bu kapsamda karşılanır.

İnovasyonumuz burada devreye giriyor. Müşterilerden ve otoritelerden gelen tüm gizlilik taleplerini yönlendirmek, yapılandırmak ve filtrelemek için Veri Sahibi Talepleri (DSR) yönetim aracını geliştirdik. Kendi geliştirdiğimiz yapay zekâ teknolojisi sayesinde milyonlarca veri sahibinden gelen talepleri tek bir araçla yönetebilirsiniz. DSR’lerin resmi olarak ele alınmasının tüm yönlerini -veri sahipleriyle iletişim dâhil kapsıyor ve destekliyoruz. Veritabanınızda gerçekten yapılması gereken işlemler (örneğin bir veri sahibinin silinmesi) ise her zaman sizin kararınızdır. DSR aracı, bir veri sahibi talebinin tüm yaşam döngüsünü yönetmek, resmi gerekliliklerin doğru şekilde yerine getirilmesini sağlamak ve size yol gösterici bir çerçeve sunmak için tasarlanmıştır.

Visit Prighter DSR

Genellikle, AB/EEA'da ofisi, şubesi veya diğer tesisleri olmayan şirketler, AB/EEA'daki bireylere mal veya hizmet sunuyorlarsa veya AB/EEA'daki bireylerin davranışlarını izliyorlarsa, bir 27. Madde AB GDPR temsilcisine ihtiyaç duyarlar.

• AB/EEA'daki bireylere mal veya hizmet sunuyorlarsa; veya
• AB/EEA'daki bireylerin davranışlarını izliyorlarsa.

Brexit sonrasında, İngiltere artık AB'nin bir Üye Devleti değil ve dolayısıyla İngiltere'deki bir tesis artık AB/EEA tesisleri olarak sayılmaz, bu nedenle bu genel kural, yukarıdaki kriterleri karşılayan İngiliz şirketlerini bir 27. Madde GDPR temsilcisi atamaya zorlayacaktır. Dolayısıyla, AB/EEA'da bir tesis olmadan AB/EEA pazarına ulaşan bir İngiliz şirketiyseniz, bir 27. Madde temsilcisi atamanız gerekecektir.

Eğer bir kamu otoritesiyseniz, bir temsilci atamanıza gerek yoktur. Ayrıca, aşağıdaki tüm kriterleri karşılıyorsanız bu yükümlülükten muaf tutulursunuz:

• Kişisel verileri yalnızca ara sıra işliyorsunuz; ve
• İşlem, veri konularının hakları açısından düşük riskli ise; VE
• İşlem, özel kategorilerdeki verilerin veya suç işleme verilerinin geniş çapta kullanımını içermiyorsa.

Art. 27 GDPR temsilcisinin atamasıyla ilgili daha fazla sorunuz varsa lütfen Art. 27 AB GDPR SSS'lerimize bakın.

Birleşik Krallık ve AB/DHH dışında kurulan ve ne Birleşik Krallık'ta ne de AB/DHH içinde bir kuruluşa sahip olmayan ancak

• AB/DHH'deki bireylere mal veya hizmet sunan veya
• AB/DHH'deki bireylerin davranışlarını izleyen.

AB düzenlemelerine uyum sağlamak ve diğer yandan Birleşik Krallık düzenlemelerine uyum sağlamak için hem AB'de hem de Birleşik Krallık'ta iki temsilci atamaları gerekecektir.

Prighter'ın hem AB'de hem de Birleşik Krallık'ta ofisleri olduğundan, size AB temsilciliği ve Birleşik Krallık temsilciliği sunabiliyoruz.

Onboarding süreci basittir ve birkaç dakika içinde tamamlanabilir, ancak en iyi kısım şudur:

1. Şirketinize risk içermeyen 14 günlük deneme süresi veriyoruz ve bu sayede randevuyu tamamen risk içermeyen hale getiriyoruz.
2. Bir plan seçin. Mevcut planlar şirketinizin büyüklüğüne bağlıdır. Şirketin büyüklüğü, Eurostat kategorilerine göre tanımlanır ve dolayısıyla çalışan kişi sayısına göre belirlenir. 'Çalışanlar ve bu nedenle yarı zamanlı çalışanlar ve serbest çalışanları içerir.Employees' includes part-timeworkers and freelancers.
3. Şirketinizin detaylarını girin. Risk içermeyen 14 günlük deneme süreniz, bu adımı tamamladığınızda başlar.
4. Kayıt olduktan sonra, Vekâletname (PoA) için bir indirme düğmesi bulacaksınız. Denetim otoriteleri tarafından talep edilmesi durumunda Prighter'ın temsilciniz olarak atandığını gösteren imzalı bir PoA gereklidir. Lütfen PoA'nızı imzalayıp yüklemenizi rica ederiz.
5. Ekibimiz, şirketiniz ve PoA ile ilgili sağlanan bilgileri kontrol edecek ve doğrulayacaktır. Bu genellikle birkaç saat içinde yapılır.
6. PoA onaylandıktan sonra, şirketiniz Prighter'ı İngiltere gizlilik temsilcisi olarak başarılı bir şekilde atamış olur. Müşteri alanınıza giriş yapabilir ve ana sayfanıza ve gizlilik politikanıza neler ekleyebileceğinizle ilgili şablonlar ve bilgiler bulabilirsiniz.

Bir Veri Koruma Yetkilisi atanmasının aksine, temsilin ICO'ya bildirilmesine gerek yoktur. ICO'nun bir şirket hakkında bir soruşturması olduğunda, gerekli bilgileri şirketin gizlilik politikasından alırlar.

Lütfen İngiltere gizlilik temsilinin aksine, bir NIS temsilinin ICO'ya bildirilmesi gerektiğini unutmayın.

Her ayrı varlık, UK GDPR Madde 27'ye göre temsil gerektirir. Bununla birlikte, Prighter, grubunuzun temsilini tek bir ana hesap aracılığıyla her bir bağlı kuruluşun temsilini yönetmek için bir grup paketine kaydolma seçeneği sunar, her bir bağlı kuruluş için alt hesaplarla. Grubun veri koruma yönetimi için merkezi bir nokta seçmeniz ve hem ana hesabı hem de alt hesapları tek bir merkezi girişle yönetmeniz gerekecektir. Kapsanan bağlı kuruluş sayısı, kaydolduğunuz pakete bağlıdır. "Küçük işletme" paketi iki bağlı kuruluşu içerir, "orta ölçekli işletme" paketi en fazla 5 bağlı kuruluşu içerir ve "büyük işletme" paketi sınırsız sayıda bağlı kuruluşu içerir. Dahil edilen tüm grup varlıklarının aynı endüstride faaliyet göstermesi, aynı ürün yelpazesini sunması ve aynı veya bağlantılı bir markaya sahip olması gerekmektedir.

Subscription pricing is based on your company size according to official Eurostat categories and the number of entities to be covered, starting from €19 per month. We offer a 14-day trial period on all subscriptions so that you can get to know our service without any risk. All of our pricing is transparent and there are no hidden costs as we do not charge per request from data subjects. You can choose between monthly, quarterly, or yearly payments. Your company gets a discount for quarterly payments and an even higher discount for the yearly payments option.

Furthermore, you can choose between paying with credit card, or via bank transfer. We accept almost all credit cards. Bank transfers are acceptable in EUR, USD and GBP for annual payments. Please contact our support team should you have any further questions!

DSA, dijital dünyada yasa dışı ve zararlı içerikler ile ürünlerin yanı sıra dezenformasyonun yayılmasına karşı oluşturulmuştur. Kullanıcı güvenliğini sağlamayı, temel hakları korumayı ve adil, açık bir çevrimiçi platform ortamı yaratmayı amaçlar.

DSA bir AB düzenlemesidir ve bu nedenle üye devletlerin ulusal hukuklarına ayrıca aktarılmasına gerek olmadan doğrudan uygulanır. Bu düzenleme, farklı ulusal yasalar arasındaki uyumsuzlukları gidermek ve tek pazarı olumsuz etkileyen düzenleyici parçalanmayı önlemek amacıyla Avrupa Birliği düzeyinde kabul edilmiştir.

Ulusal düzeyde DSA kapsamında yalnızca tek bir yetkili otorite bulunmaz; ulusal hukuk çerçevesinde DSA’nın kapsadığı konulara göre birden fazla otorite yetkilendirilebilir. Bu otoritelerin çalışmalarını koordine etmek amacıyla her üye devlet, bir Dijital Hizmetler Koordinatörü atar. Bu koordinatör, ülke içindeki tek temas noktası olarak görev yapar (listeye buradan ulaşılabilir).

AB düzeyinde ise Avrupa Komisyonu ve Avrupa Dijital Hizmetler Kurulu, DSA kapsamında geniş yetkilere sahiptir. Bu yetkiler, uygulama rehberleri yayımlamaktan denetim görevlerini yürütmeye kadar uzanır.

DSA, Dijital Piyasalar Yasası (DMA) ile birlikte Dijital Hizmetler Yasası Paketinin bir parçasını oluşturur ve bu paket de Avrupa için Dijital Gündemin (Digital Agenda for Europe) bir bileşenidir.

DSA, çevrimiçi aracılık hizmetlerine uygulanır ve barındırma hizmetleri, çevrimiçi platformlar ile çok büyük çevrimiçi platformlar ve arama motorları (VLOP ve VLOSE’lar) için ek kurallar içerir. Bu kurallar, hizmet sağlayıcıların nerede yerleşik olduklarına bakılmaksızın, aracılık hizmeti sunduklarında geçerlidir.

DSA, hizmet sağlayıcıların nerede yerleşik olduklarına bakılmaksızın uygulanır. Bu da, AB dışında yerleşik hizmet sağlayıcıların da DSA’nın ülke dışı kapsamına girdiği anlamına gelir. Yani, aracılık hizmetlerini ticari kullanıcılar, tüketiciler veya diğer hizmet alıcılarına sunan AB dışı sağlayıcılar da bu düzenlemeye tabidir.

Bir hizmetin “aracılık hizmeti sunmak” olarak değerlendirilmesi için, bu hizmetin AB’deki kullanıcılar tarafından erişilebilir olması ve AB ile önemli bir bağlantısının bulunması gerekir. Bu önemli bağlantı, yalnızca hizmet sağlayıcının AB’de bir kuruluşunun olmasından değil, aynı zamanda bazı fiili kriterlerden de kaynaklanabilir. Bu kriterler arasında şunlar yer alır:

• Hizmetin AB’de önemli sayıda kullanıcıya ulaşması,
• Faaliyetlerin AB’ye yönelik olarak hedeflenmesi.

Bir veya daha fazla üye devletteki hizmet alıcılarının sayısının “önemli” olup olmadığı, bu sayının toplam nüfusa oranına bağlıdır.

Bir hizmet sağlayıcısının faaliyetlerini AB’deki alıcılara yöneltip yöneltmediğini belirlemek için tüm koşullar dikkate alınır. Özellikle yaygın olarak kullanılan bir dili veya para birimini kullanmak, ürün ya da hizmet siparişine imkân tanımak ya da ilgili üst düzey alan adını (.eu gibi) kullanmak, AB’deki alıcıların hedeflendiğini gösterir. Ayrıca bir uygulamanın ilgili ülkenin uygulama mağazasında bulunması, yerel reklamların yapılması veya o ülkenin dilinde reklam verilmesi ya da müşteri ilişkilerinin bu dilde yürütülmesi de hedefleme göstergesi olabilir. Buna karşılık, bir web sitesine AB’den teknik olarak erişilebiliyor olması tek başına Birlik ile “önemli bir bağlantı” kurulduğu anlamına gelmez.

DSA kapsamında başka bir iş türü altında ek bir sınıflandırmaya tabi olup olmamasına bakılmaksızın, Aracılık Hizmetleri şu hizmet türlerini içerir:

• “Mere Conduit” (Basit Aktarım) Hizmetleri: İnternet Servis Sağlayıcıları (ISP) gibi, verilerin yalnızca iletildiği hizmetler.
• “Caching” (Önbellekleme) Hizmetleri: İçerik Dağıtım Ağları (CDN) gibi, verilerin geçici olarak saklanarak erişim hızının artırıldığı hizmetler.
• “Hosting” (Barındırma) Hizmetleri: Bulut bilişim, web barındırma, ücretli yönlendirme hizmetleri veya dosya depolama ve paylaşımı da dahil olmak üzere çevrimiçi bilgi ve içerik paylaşımını mümkün kılan hizmetler.

Barındırma Hizmetleri (Hosting Services), kullanıcılar tarafından sağlanan bilgilerin depolanmasını içerir. Buna bulut bilişim, web barındırma, ücretli yönlendirme hizmetleri ile çevrimiçi bilgi ve içerik paylaşımını mümkün kılan -dosya depolama ve paylaşımı gibi- hizmetler dahildir.

Çevrimiçi Platformlar, satıcılar ile tüketicileri bir araya getiren hizmetlerdir. Buna çevrimiçi pazar yerleri, uygulama mağazaları, paylaşım ekonomisi platformları ve sosyal medya platformları örnek gösterilebilir.

Avrupa’daki 450 milyon tüketicinin %10’undan fazlasına ulaşan çevrimiçi platformlar ve arama motorları “çok büyük” olarak sınıflandırılır. Yasa dışı içeriklerin yayılması ve toplumsal zararlara ilişkin özel riskler nedeniyle, VLOP’lar (Çok Büyük Çevrimiçi Platformlar) ve VLOSE’ler (Çok Büyük Çevrimiçi Arama Motorları) için özel kurallar uygulanır.

Her şeyden önce, yasal temsilci, yetkili ulusal otoriteler, Avrupa Komisyonu ve Avrupa Dijital Hizmetler Kurulu ile iletişimi kolaylaştırmakla görevlidir. Yasal temsilci ayrıca hizmet alıcıları ve güvenilir bildirimciler (trusted flaggers) için iletişim noktası olarak da görev yapabilir. Operasyonel amaçlarla, çeşitli paydaşlarla iletişimi kolaylaştırmak adına elektronik iletişim noktası işlevini de üstlenebilir.

Yasal temsilci atama yükümlülüğü, DSA’nın etkin şekilde denetlenmesini ve gerektiğinde uygulanmasını sağlamak amacıyla getirilmiştir. Bu nedenle, yasal temsilci, DSA kapsamındaki yükümlülüklere uyulmaması durumunda sorumlu tutulabilir. Ancak bu, aracılık hizmeti sağlayıcısına karşı açılabilecek dava veya uygulanabilecek yaptırımları ortadan kaldırmaz.

Aracılık hizmeti sağlayıcıları, atadıkları yasal temsilcinin ilgili otoritelerle iş birliği yapabilmesi için gerekli yetkilere ve kaynaklara sahip olmasını sağlamalıdır. Bu aynı zamanda, yasal temsilcinin ulusal ve Avrupa otoriteleri nezdindeki süreçleri yürütebilecek düzeyde yeterli nitelik ve deneyime sahip olması gerektiği anlamına gelir.

Ağ ve Bilgi Sistemlerinin Güvenliği Direktifi (NIS2), siber güvenliği geliştirmek amacıyla NIS1’in yerini alarak kapsamını genişletmiş ve daha sıkı gereklilikler getirmiştir. AB’deki temel ve önemli sektörlerde siber güvenliği güçlendirmeyi hedefler.

NIS2 şu alanları kapsar:

• Temel Hizmet Operatörleri (OES): Enerji, bankacılık, ulaşım, dijital altyapı, B2B bilgi teknolojileri hizmet yönetimi gibi sektörler.
• Önemli Hizmet Operatörleri: Posta hizmetleri, atık yönetimi, araştırma, dijital hizmet sağlayıcılar gibi sektörler.

NIS2 şu şirketlere uygulanır:

• Belirlenen eşik değerleri karşılayan şirketler,
• AB içinde kurulmuş şirketler,
• AB dışında kurulmuş ancak hizmetlerini AB içinde sunan şirketler.

Dijital Hizmet Sağlayıcısı, dijital bir hizmet sunan her türlü tüzel kişiyi ifade eder.

Online Pazar Yerleri: Satışları veya sözleşmeleri kolaylaştıran platformlardır (örneğin uygulama mağazaları). Yalnızca üçüncü taraf hizmetlere aracılık eden ve sözleşmenin bu hizmetler aracılığıyla sonuçlandığı çevrimiçi platformlar bu kapsama girmez.

Online Arama Motorları: İnternet sitelerinde arama yapılmasını sağlayan hizmetlerdir. Belirli bir web sitesinin içeriğiyle sınırlı arama işlevleri, bu işlev harici bir arama motoru tarafından sağlansa bile, NIS Direktifi kapsamına girmez. Belirli ürün veya hizmetlerin fiyatlarını karşılaştıran ve kullanıcıyı tercih ettiği satıcının sitesine yönlendiren hizmetler de bu kapsama dahil değildir.

Sosyal Ağ Platformu Sağlayıcıları: Kullanıcıların birden fazla cihaz üzerinden iletişim kurmasını ve içerik paylaşmasını sağlayan sosyal ağ platformlarıdır.

Dijital Altyapı Sektörü Kapsamına Girenler:

İnternet Değişim Noktası (IXP) Sağlayıcıları: Bağımsız sistemlerin birbirine bağlanmasını sağlayan ağlardır.

DNS Hizmet Sağlayıcıları (kök alan adı sunucusu işletmecileri hariç): Alan adlarının çözümlemesini sağlayan hizmet sağlayıcılardır.

Üst Düzey Alan Adı (TLD) Kayıt Operatörleri: Belirli bir üst düzey alan adının (TLD) yönetimi için yetkilendirilmiş, bu alan altında alan adı kaydı ve teknik işletiminden sorumlu kuruluşlardır.

Bulut Bilişim Hizmet Sağlayıcıları: Ağlar, sunucular, depolama, uygulamalar ve hizmetler gibi ölçeklenebilir ve paylaşılabilir bilişim kaynaklarına erişim sağlayan hizmetlerdir. Bir hizmetin bulut hizmeti sayılması için üç özellik bulunur:

• Ölçeklenebilir kaynaklar
• Esnek kaynak havuzu
• Paylaşılabilir yapı

NIS2 kapsamında IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) ve SaaS (Hizmet Olarak Yazılım) gibi tüm iş modelleri dahildir.

Veri Merkezi Hizmet Sağlayıcıları: Veri merkezleri, bilgi işlem ve ağ ekipmanlarının barındırıldığı; veri depolama, işleme ve iletimi için güç dağıtımı ve çevresel kontrol altyapısına sahip tesislerdir.

İçerik Dağıtım Ağı (CDN) Sağlayıcıları: Dijital içerik ve hizmetlerin yüksek erişilebilirlik, kullanılabilirlik ve hızlı teslimini sağlamak amacıyla coğrafi olarak dağıtılmış sunuculardan oluşan ağlardır.

Güven Hizmeti Sağlayıcıları: Elektronik imzalar, mühürler, zaman damgaları, kayıtlı teslimat hizmetleri ve bunlara ilişkin sertifikaların oluşturulması, doğrulanması ve geçerliliğinin sağlanması; ayrıca web sitesi kimlik doğrulama sertifikaları veya elektronik imzaların ve mühürlerin korunması gibi ücretli elektronik hizmetler sunan sağlayıcılardır.

Kamuya Açık Elektronik İletişim Ağı Sağlayıcıları: Uydu, internet, mobil ve kablo ağları dahil olmak üzere kablo, radyo, optik veya diğer elektromanyetik yollarla sinyallerin iletilmesini sağlayan sistemler ve altyapılar sunar. Bu kapsama radyo, televizyon ve yayın sistemleri de girer.

Kamuya Açık Elektronik İletişim Hizmet Sağlayıcıları: Elektronik iletişim ağları üzerinden ücret karşılığı sunulan hizmetlerdir. İçerik üzerinde editoryal kontrolü bulunan hizmetler hariç olmak üzere şu tür hizmetleri kapsar:

• İnternet erişim hizmeti,
• Kişiler arası iletişim hizmeti,
• Makineden makineye iletişim ve yayıncılık için kullanılan sinyal iletim hizmetleri.

Yönetilen Hizmet Sağlayıcısı: Müşterilerin tesislerinde veya uzaktan gerçekleştirilen destek ya da aktif yönetim yoluyla, BT ürünleri, ağlar, altyapılar, uygulamalar veya diğer ağ ve bilgi sistemlerinin kurulumu, yönetimi, işletimi ya da bakımına ilişkin hizmetler sunar.

Yönetilen Güvenlik Hizmeti Sağlayıcısı: Siber güvenlik risk yönetimiyle ilgili faaliyetleri yürüten veya bu faaliyetlere destek sağlayan hizmet sağlayıcısıdır.

Bir şirketin AB içinde hizmet sunup sunmadığını belirlerken, esas olarak şirketin hizmetlerini hangi pazarlara sunmayı planladığı dikkate alınır. Bu niyetin varlığını değerlendirmek için çeşitli faktörler göz önünde bulundurulur.

Bir web sitesine (şirkete veya aracısına ait), e-posta adresine ya da diğer iletişim bilgilerine AB’den erişilebilmesi veya şirketin kurulu olduğu bölgede yaygın olarak kullanılan bir dilin kullanılması tek başına bu niyeti göstermez.

Bunun yerine, bir veya birden fazla AB üye devletinde yaygın olarak kullanılan bir dilin veya para biriminin kullanılması, hizmetlerin bu dillerde sipariş edilebilmesi ya da AB’deki müşteriler veya kullanıcıların açıkça belirtilmesi, şirketin ana merkezinin bulunmadığı bir bölgede hizmet sunma niyetinin göstergesi olarak değerlendirilebilir.

Şirketinizin AB’de bir merkezi yoksa ancak belirtilen dijital hizmetleri bu bölgelerde sunuyorsa, genel olarak bir NIS temsilcisi atamanız gerekir. Ancak NIS2’ye uyma ve temsilci atama yükümlülüğü, belirli bir şirket büyüklüğünü aşmayan işletmeler için geçerli değildir. Muaf tutulanlar şunlardır:

• Küçük işletmeler: 50’den az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 10 milyon euroyu geçmeyen işletmeler.
• Mikro işletmeler: 10’dan az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 2 milyon euroyu geçmeyen işletmeler.

Özetle, şirketinizin 50’den az çalışanı varsa ve yıllık ciro ve/veya bilanço toplamı 10 milyon euronun altındaysa, NIS temsilcisi atama zorunluluğunuz bulunmaz.

NIS2 kapsamına giren kuruluşların başlıca yükümlülükleri şunlardır:

Siber Güvenlik Risk Yönetimi Önlemleri:
Dijital Hizmet Sağlayıcıları (DSP’ler), AB içinde sundukları hizmetlerle bağlantılı olarak kullandıkları ağ ve bilgi sistemlerinin güvenliğini tehdit eden riskleri belirlemeli ve bu riskleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemleri almalıdır.

Bildirim Yükümlülüğü:
Kuruluşlar, önemli bir siber güvenlik olayı meydana geldiğinde belirlenen süreler içinde yetkili otoritelere bildirimde bulunmakla yükümlüdür:

• Erken Uyarı: Olayın farkına varıldıktan sonraki 24 saat içinde, olayın yasa dışı eylemler içerip içermediği veya sınır ötesi etkisi olup olmadığı belirtilerek bildirim yapılmalıdır.
• Olay Bildirimi: 72 saat içinde ayrıntılı bir olay bildirimi sunulmalı; olayın ilk değerlendirmesi, ciddiyeti, etkisi ve mevcut göstergeler paylaşılmalıdır.
• Ara Rapor: İlgili otorite veya CSIRT’in talebi üzerine olayın durumu hakkında ara rapor sağlanmalıdır.
• Nihai Rapor: Olaydan itibaren bir ay içinde, olayın açıklaması, temel nedeni, alınan önlemler ve olası sınır ötesi etkiler dâhil olmak üzere ayrıntılı bir nihai rapor sunulmalıdır.

Temsilci Atama Yükümlülüğü:
AB’de yerleşik olmayan ancak AB içinde belirli hizmetleri sunan kuruluşlar, kendileri adına hareket edecek bir temsilci atamakla yükümlüdür. Bu kuruluşlar şunlardır:

• DNS hizmet sağlayıcıları
• Üst düzey alan adı (TLD) kayıt operatörleri
• Alan adı kayıt hizmeti sunan kuruluşlar
• Bulut bilişim hizmet sağlayıcıları
• Veri merkezi hizmet sağlayıcıları
• İçerik dağıtım ağı (CDN) sağlayıcıları
• Yönetilen hizmet sağlayıcıları
• Yönetilen güvenlik hizmeti sağlayıcıları
• Çevrimiçi pazar yeri sağlayıcıları
• Çevrimiçi arama motorları
• Sosyal ağ platformu sağlayıcıları

GDPR'den farklı olarak, NIS2, tüm AB Üye Devletleri arasında tek tip bir yasa olmamasına rağmen, her Üye Devlet tarafından ulusal yasalara bireysel olarak uygulanmıştır. Şirketiniz için geçerli ulusal yasa, esaslı veya önemli bir şirket olarak nitelendirilir ve ilgili eşikleri aşar:

• Şirketinizin AB'de bir veya daha fazla tesisi varsa, o zaman ana tesisi bulunduğu AB Üye Devleti'nin yargı yetkisine tabi olacaktır (yani merkezinizin bulunduğu yer);
• Şirketiniz AB'de kurulu değilse ancak AB'de ICT hizmetleri, dijital altyapı veya dijital hizmetler sunuyorsa, hizmetlerinizi sunduğunuz bir AB Üye Devleti'nde temsilci atamanız gerekmektedir. Şirketiniz o zaman o yargı yetkisinin altında olacaktır.

AB NIS2-Direktifinin 26. maddesine göre (ve ulusal yasalardaki çoğu uygulamada), Avrupa Birliği'nde kurulu olmayan ve

• belirli dijital hizmetler sunanlar; ve
• AB içinde belirli dijital hizmetler sunanlar AB'de hizmet sunulan üye devletlerden birinde kurulu olan bir temsilci atamalıdır.

NIS2 yasası, her üye devlet tarafından farklı şekilde uygulanan bir AB direktifidir, bu nedenle cezalar değişmektedir. Bununla birlikte, yasa, güvenlik önlemlerini ve olaylara müdahaleyi uygulama gerekliliğine uymamanın üye devletler için bazı para cezası çerçeveleri belirlemektedir. Yasa gereği, esaslı kuruluşlar toplam dünya çapındaki yıllık cirolarının %2'si veya 10 milyon avroya kadar cezalandırılabilir. Önemli kuruluşlar toplam dünya çapındaki yıllık cirolarının %1,4'ü veya 7 milyon avroya kadar ceza alabilirler.

Temsilcinin, Dijital Hizmet Sağlayıcıların, Dijital Altyapıların ve Bilişim Hizmet Yönetimlerinin sağlayıcıları tarafından yazılı bir yetki belgesi aracılığıyla açıkça belirlenmesi gerekmektedir. İlgili makamların veya Bilgisayar Güvenliği Olay Yanıt Ekibinin (CSIRT) temsilciyle iletişime geçebilmesi gerekmektedir çünkü temsilci yerel bir iletişim noktası olarak hareket edecektir. Temsilci, NIS yasası kapsamındaki yasal yükümlülükler konusunda DSP Sağlayıcıları adına hareket eder, bu da olay bildirimi de dahil olmak üzere. Temsilci, bulundukları yerin yerel ulusal yasalarına uymak zorunda kalacaktır.

Prighter, bir Vekilin çevrimiçi olarak veya kağıt üzerinde imzalanabileceği bir vekaletnamenin oluşturulduğu ve sonuna kadar dijital bir kayıt sürecine sahiptir. Prighter, ilgili veri koruma otoriteleri ile ilgili iletişim kanalları sağlar.

Evet, Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri Birleşik Krallık’ta hâlâ tam olarak yürürlüktedir.
Başlangıçta Avrupa NIS Direktifi’ne dayanan bu gereklilikler, Birleşik Krallık tarafından 2018 tarihli Birleşik Krallık NIS Yönetmelikleri olarak ulusal mevzuata aktarılmıştır. Brexit’e rağmen bu düzenlemeler yürürlükte kalmış ve Birleşik Krallık’ta ağ ve bilgi sistemlerinin güvenliğini sağlamaya devam etmektedir. Bu nedenle, Birleşik Krallık NIS Yönetmelikleri Brexit sonrasında da geçerli ve bağlayıcıdır.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 aşağıdakilere uygulanır:

Temel Hizmet Operatörleri (OES): Enerji, bankacılık, ulaşım, sağlık, su ve dijital altyapı gibi sektörlerde faaliyet gösteren kuruluşlar.

Dijital Hizmet Sağlayıcıları (DSP): Çevrimiçi arama motorları, çevrimiçi pazar yerleri ve bulut bilişim hizmeti sağlayıcıları bu kapsama girer.

Bu yönetmelikler, aşağıdaki koşulları karşılayan DSP’lere uygulanır:

• En az bir hizmet sunuyor olması: çevrimiçi arama motoru, çevrimiçi pazar yeri veya bulut bilişim hizmeti,
• Mikro veya küçük işletme tanımına girmemesi, yani 50 veya daha fazla çalışanı bulunması ve yıllık cirosunun veya bilanço toplamının 10 milyon euroyu aşması.

DSP’nin merkez ofisi Birleşik Krallık dışında bulunuyorsa, bu düzenlemelere uymak için Birleşik Krallık’ta yerleşik bir temsilci ataması gerekmektedir.

Bu düzenlemeler, ilgili kuruluşların güçlü güvenlik önlemleri uygulamasını ve önemli olayları bildirmesini zorunlu kılarak Birleşik Krallık genelinde kritik hizmetlerin güvenliğini ve dayanıklılığını korumayı amaçlar.

Bir Dijital Hizmet Sağlayıcısı (DSP), Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamına giren dijital hizmetler sunan herhangi bir tüzel kişiliktir. Ancak tüm dijital hizmetlerin bu yükümlülüklere tabi olmadığını belirtmek önemlidir, yalnızca belirli hizmet türleri kapsama alınmıştır.

Çevrimiçi Pazar Yerleri: Çevrimiçi pazar yerleri, tüketiciler ile satıcıların çevrimiçi satış veya hizmet sözleşmeleri yapmasına olanak tanıyan platformlardır. Bu pazar yerleri, sözleşmenin sonuçlandığı nihai ortamı oluşturur. Örneğin, üçüncü taraf uygulama veya yazılımların dijital olarak dağıtılmasını sağlayan uygulama mağazaları çevrimiçi pazar yerleri olarak kabul edilir. Ancak yalnızca üçüncü taraf hizmetlere aracılık eden ve sözleşmenin bu hizmetler aracılığıyla sonuçlandığı çevrimiçi hizmetler bu kapsama dahil değildir.

Çevrimiçi Arama Motorları: Çevrimiçi arama motorları, kullanıcıların herhangi bir konuda web sitelerinde arama yapmasına olanak tanır. Tüm dillerde çalışan arama motorları bu kapsamdadır. Ancak belirli bir web sitesinin içeriğiyle sınırlı arama işlevleri, bu işlev harici bir arama motoru tarafından sağlansa bile, Birleşik Krallık NIS Yönetmelikleri kapsamına girmez. Ayrıca belirli ürün veya hizmetlerin fiyatlarını karşılaştırarak kullanıcıyı tercih ettiği satıcının sitesine yönlendiren hizmetler de kapsam dışıdır.

Bulut Bilişim Hizmetleri: Bulut bilişim hizmetleri, ağlar, sunucular, depolama alanları, uygulamalar ve hizmetler gibi ölçeklenebilir ve esnek paylaşılabilir bilişim kaynaklarına erişim sağlar. Bir hizmetin Birleşik Krallık NIS Yönetmelikleri kapsamında bulut bilişim hizmeti olarak kabul edilmesi için aşağıdaki üç özelliği taşıması gerekir:

• Ölçeklenebilir Kaynaklar: Kaynaklar, coğrafi konumdan bağımsız olarak talebe göre esnek biçimde tahsis edilebilir.
• Esnek Kaynak Havuzu: Kaynaklar talebe göre sağlanır ve serbest bırakılır; bu sayede iş yüküne bağlı olarak hızlı artış veya azalma sağlanabilir.
• Paylaşılabilirlik: Kaynaklar birden fazla kullanıcıya ortak erişimle sunulur, ancak her kullanıcı için veri işleme ayrı ayrı yürütülür.

Birleşik Krallık NIS Yönetmelikleri kapsamında Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS) gibi tüm iş modelleri kapsama dahildir. Ayrıca, ölçeklenebilir, esnek ve paylaşılabilir bilişim kaynaklarına erişim sağlayan hibrit modeller ve benzer varyasyonlar da bu kapsama girer.

Muafiyetler: Küçük ve Mikro İşletmeler
Birleşik Krallık NIS Yönetmelikleri kapsamında mikro ve küçük işletmeler genel olarak muaf tutulur.
Eğer dijital hizmet sağlayıcınızın:

• 50’den az çalışanı varsa ve
• Yıllık cirosu ve/veya bilanço toplamı 10 milyon euronun altındaysa,

DSP olarak sınıflandırılmazsınız ve NIS yükümlülüklerinden muaftır.
Bu muafiyet bireysel girişimleri (sole traders) de kapsar. Ancak, hizmetiniz daha büyük bir grubun parçasıysa, toplam çalışan sayısı ve mali eşiklerin grup düzeyinde bu sınırları aşıp aşmadığını değerlendirmeniz gerekir.

Şirketinizin Birleşik Krallık’ta hizmet sunup sunmadığını belirlemek, hedeflemeyi planladığınız pazarların değerlendirilmesini gerektirir. Yalnızca İngilizce erişilebilir bir web sitesine sahip olmak bu niyeti göstermek için yeterli değildir. Bunun yerine aşağıdaki unsurlar dikkate alınmalıdır:

• Birleşik Krallık’a Özgü Dil veya Para Birimi Kullanımı: Hizmetlerin GBP üzerinden fiyatlandırılması veya içeriğin İngiliz İngilizcesine uyarlanması, Birleşik Krallık müşterilerini hedeflediğinizi gösterir.
• Sipariş İmkanları: Birleşik Krallık pazarına özel olarak tasarlanmış sipariş veya hizmet erişimi sunmak, ülkede hizmet sağladığınızı gösterir.
• Pazarlama ve Hedefleme Faaliyetleri: Pazarlama kampanyalarının Birleşik Krallık’a yönelik yürütülmesi veya Birleşik Krallık’ta müşteri desteği sağlanması, bölgeye hizmet sunulduğunun güçlü göstergeleridir.

Evet, bazı muafiyetler vardır. Şirketinizin Birleşik Krallık’ta bir merkezi bulunmuyorsa ancak Birleşik Krallık içinde dijital hizmetler sunuyorsa, genel olarak Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca bir Birleşik Krallık NIS temsilcisi atamanız gerekir. Ancak bu yükümlülük aşağıdaki durumlarda uygulanmaz:

• Küçük işletmeler: 50’den az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 10 milyon euroyu geçmeyen şirketler.
• Mikro işletmeler: 10’dan az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 2 milyon euroyu geçmeyen şirketler.

Dolayısıyla, şirketinizin 50’den az çalışanı varsa ve yıllık ciro ve/veya bilanço toplamı 10 milyon euronun altındaysa, Birleşik Krallık NIS temsilcisi atama zorunluluğundan muaftır.

According to the UK Network and Information Systems (NIS) Regulations 2018, Digital Service Providers (DSPs) have several key obligations to ensure the security and resilience of their network and information systems when providing services in the United Kingdom:

Technical and Organisational Measures
DSPs must identify and implement appropriate and proportionate technical and organisational measures to manage risks to the security of their network and information systems.

These measures should include:

• Managing threats: Address risks that could compromise the integrity, accuracy, or confidentiality of data and services.
• Proportionality: Measures must be proportionate to the potential impact of the risk, taking into account the state of the art and implementation costs.
• Preventive actions: Include steps to prevent cybersecurity incidents wherever possible.

Incident Management and Impact Minimisation
DSPs must:

• Prevent incidents: Take steps to avoid incidents that could compromise the security of network and information systems.
• Minimise impact: Implement measures to reduce the impact of any incident and ensure the continuity of digital services.
• Recovery plans: Develop and maintain incident response and recovery plans to restore services quickly.

Incident Reporting
DSPs must notify the relevant authorities when an incident occurs that significantly affects the provision of their services in the UK:

• Notification obligation: Report incidents without undue delay to the Information Commissioner’s Office (ICO).
• Content of the notification: Provide the ICO with sufficient information about the nature, impact, and remedial actions taken to assess the significance of the incident.
• Cooperation: Work with the ICO and the National Cyber Security Centre (NCSC) during investigations and incident management as required.

Appointment of a UK Representative
Under the UK NIS Regulations, organisations offering services in the UK but not established there must appoint a UK NIS representative to ensure compliance. This representative is responsible for:

• Acting as the point of contact for the ICO and other relevant UK authorities.
• Ensuring the DSP meets all obligations under the UK NIS Regulations.
• Being accessible to UK authorities in connection with any investigation or enforcement action.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise ve ilgili eşik değerleri aşıyorsa, hangi yasanın uygulanacağı Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca şirketinizin nerede kurulu olduğuna ve hizmetlerinizi nerede sunduğunuza bağlıdır:

• Şirketinizin merkez ofisi Birleşik Krallık’taysa: Birleşik Krallık NIS Yönetmelikleri 2018’e tabisiniz.
• Şirketinizin merkez ofisi Birleşik Krallık’ta değil ancak orada hizmet sunuyorsa: Birleşik Krallık NIS Yönetmelikleri 2018’e tabisiniz ve Birleşik Krallık’ta sizin adınıza hareket edecek bir temsilci atamanız gerekir.

Her iki durumda da şirketiniz uygun güvenlik önlemlerini uygulayarak ve tüm bildirim yükümlülüklerini yerine getirerek Birleşik Krallık NIS Yönetmeliklerine uymakla yükümlüdür.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise, merkez ofisi Birleşik Krallık’ta bulunmuyor ancak Birleşik Krallık içinde belirli dijital hizmetler sunuyorsa, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca bir Birleşik Krallık temsilcisi atamanız gerekir.

Yönetmeliklere göre:

• Temsilci Atama: Merkez ofisi Birleşik Krallık’ta olmayan ancak burada belirli dijital hizmetler sunan şirketler, Birleşik Krallık’ta yerleşik bir temsilci atamak zorundadır. Bu temsilci, şirketiniz adına hareket ederek Birleşik Krallık NIS Yönetmeliklerine uyumu sağlar.
• Brexit’in Etkisi: Brexit sonrasında, Avrupa Birliği (AB) Birleşik Krallık açısından artık “üçüncü ülke” olarak kabul edilmektedir. Bu nedenle, AB merkezli olup Birleşik Krallık’ta hizmet sunan ancak burada merkez ofisi bulunmayan şirketlerin bir Birleşik Krallık temsilcisi ataması gerekir.

Temsilcinin Rolü:

• Şirketiniz adına Birleşik Krallık NIS Yönetmeliklerine uyumdan sorumludur.
• İlgili Birleşik Krallık otoriteleri için iletişim noktası görevi görür.

Bir Birleşik Krallık temsilcisi atayarak, şirketiniz Birleşik Krallık NIS Yönetmeliklerine uyumu güvence altına alır ve Birleşik Krallık’taki ağ ve bilgi sistemlerinin güvenliğine ve dayanıklılığına katkıda bulunur.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise, merkez ofisi Birleşik Krallık’ta bulunmuyor ancak Birleşik Krallık içinde dijital hizmetler sunuyorsa, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca Birleşik Krallık’ta bir temsilci atamanız gerekir. Birleşik Krallık NIS temsilcisi atamak için gereken koşullar şunlardır:

• Yazılı Onay: Bilgi Komiserliği Ofisi’ne (ICO) kayıt işlemini tamamladıktan sonra Birleşik Krallık temsilcinizin atamasını yazılı olarak onaylamanız gerekir.
• Temsilcinin Uyum Yükümlülüğü: Temsilciniz, Birleşik Krallık yasalarına uygun şekilde hareket etmeli ve Birleşik Krallık NIS Yönetmelikleri kapsamındaki yasal yükümlülüklerinizi (örneğin olay bildirimi gibi) sizin adınıza yerine getirmelidir.
• Erişilebilirlik: Temsilci, ICO ve Ulusal Siber Güvenlik Merkezi (NCSC) tarafından kolaylıkla ulaşılabilir olmalıdır.

Birleşik Krallık temsilcinizi atarken ICO’ya şu bilgileri sağlamanız gerekir:

• Şirketinizin Merkez Ofisi: Merkez ofisinizin Birleşik Krallık dışında bulunup bulunmadığı.
• Diğer Temsilciler: Başka bir ülkede temsilci atayıp atamadığınız.
• Diğer Mevzuatlara Uyum: Başka bir ülkede benzer ağ ve bilgi sistemleri mevzuatına uyup uymadığınız.
• Sistemlerin Konumu: Birleşik Krallık dışında ağ ve bilgi sistemleri işletip işletmediğiniz.

Bu bilgileri sağlamak, ICO’nun şirketinizin yapısını anlamasına ve etkili iletişim kurulmasına yardımcı olur. Birleşik Krallık’ta bir temsilci atamak, şirketinizin Birleşik Krallık NIS Yönetmeliklerine uyumunu güvence altına alır ve ülkedeki kritik dijital hizmetlerin güvenliği ile dayanıklılığına katkıda bulunur.

Şirketinizin ne Avrupa Birliği’nde ne de Birleşik Krallık’ta bir merkezi bulunmuyorsa ancak her iki bölgede de kişilere hizmet sunuyorsa, hem AB’de hem de Birleşik Krallık’ta birer temsilci atamanız gerekir. Bu, bir yandan AB mevzuatına ve üye devletlerdeki uygulamalarına, diğer yandan Birleşik Krallık mevzuatına tam uyum sağlamak için zorunludur.

AB temsilcinizin, hizmet sunduğunuz üye devletlerden birinde yerleşik olması gerekir. Birleşik Krallık temsilciniz ise Birleşik Krallık’ta yerleşik olmalıdır.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamında, yükümlülüklerini yerine getirmeyen kuruluşlar ciddi para cezalarıyla karşılaşabilir. Uyumsuzluk durumunda şirketler 17 milyon sterline kadar para cezasına çarptırılabilir. Cezanın miktarı; ihlalin ciddiyetine, ihmalkarlığın derecesine ve ağ ile bilgi sistemlerinin güvenliği üzerindeki potansiyel etkiye bağlı olarak belirlenir.

Gerekli olduğu halde bir Birleşik Krallık NIS temsilcisi atamamak da ciddi bir ihlaldir. Birleşik Krallık’ta faaliyet gösteren ancak merkez ofisi ülkede bulunmayan kuruluşların, yönetmeliklere uyumu sağlamak için bir Birleşik Krallık NIS temsilcisi ataması zorunludur.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamında bir temsilci atanırken, Dijital Hizmet Sağlayıcısının (DSP) temsilciyi yazılı bir yetki belgesiyle açıkça görevlendirmesi gerekir. Bu temsilcinin Birleşik Krallık’ta yerleşik olması ve Bilgi Komiserliği Ofisi (ICO) ile Ulusal Siber Güvenlik Merkezi (NCSC) gibi ilgili otoriteler tarafından kolaylıkla erişilebilir bir yerel irtibat noktası olarak görev yapması gerekir.

Temsilci, DSP adına hareket eder ve Birleşik Krallık NIS Yönetmelikleri kapsamındaki tüm yasal yükümlülüklerden -olay bildirimi ve otoritelerle iletişim dahil olmak üzere- sorumludur. Birleşik Krallık yasalarına uygun hareket etmeli, uyumlulukla ilgili her türlü soruşturma veya talepte otoritelerle iş birliği yapmalıdır.

Birleşik Krallık’ta merkez ofisi bulunmayan Dijital Hizmet Sağlayıcıları, bir Birleşik Krallık NIS temsilcisi atayarak yasal yükümlülüklerini yerine getirir ve ülkedeki ağ ile bilgi sistemlerinin güvenliği ve dayanıklılığına katkıda bulunur.

Prighter, uçtan uca dijital bir onboarding süreci sunarak bu gerekliliklere tam uyum sağlar. Bu süreçte bir vekaletname (Power of Attorney) oluşturulur ve hem çevrimiçi hem de fiziksel olarak imzalanabilir. Prighter, Bilgi Komiserliği Ofisi (ICO) ve Ulusal Siber Güvenlik Merkezi (NCSC) gibi ilgili Birleşik Krallık otoriteleriyle özel iletişim kanalları sağlayarak, şirketiniz adına hareket eder. Bu kapsamda, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca olay bildirimleri ve otoritelerle iletişim dahil tüm yasal yükümlülüklerinizi yerine getirmenizi sağlar.