Brexit ve Birleşik Krallık Gizlilik Temsilciliği
1. Ticaret ve İşbirliği Anlaşması
Birleşik Krallık AB’den ayrıldıktan sonra, Çekilme Anlaşması, Birleşik Krallık ile AB arasında gelecekteki ilişkinin müzakere edilmesi için bir geçiş dönemi öngörmüştür. Geçiş döneminin sona ermesinden hemen önce, 31 Aralık 2020’de, her iki taraf da veri koruma konusunda oldukça az ayrıntı içeren bir Ticaret ve İşbirliği Anlaşmasına (“TCA”) vardı. Bununla birlikte, neyse ki sert Brexit’in en büyük endişesi olan AB’den Birleşik Krallık’a veri akışını ele almaktadır (daha fazla ayrıntı için bkz. aşağıda 5. AB-İngiltere veri transferi). Bunun dışında, veri korumaya ilişkin önemli hükümler, özellikle de geçiş döneminin sona ermesinden sonra bir AB veya Birleşik Krallık temsilcisi atama ihtiyacına yönelik herhangi bir değişiklik bulunmamaktadır. Bu nedenle, AB ve/veya Birleşik Krallık’ta bir kuruluşu, şubesi veya başka bir kuruluşu olmayan, mal ve hizmet sunan veya veri sahiplerini izleyen işletmelerin, ulaştıkları pazarlarda bir temsilci atamaları gerekmektedir.
Referanslar: ICO SSS
2. 1 Ocak 2021’den itibaren durum
1 Ocak 2021’e kadar, Madde 27 kapsamında bir temsilci atama yükümlülüğü. GDPR yalnızca AB dışında yerleşik işletmeleri (Birleşik Krallık dahil) etkilemiştir. Bu nedenle, bu yükümlülük AB ve Birleşik Krallık’ta yerleşik işletmeler için çok belirgin değildi. Birleşik Krallık’ın AB’den ayrılmasıyla birlikte, bu “gizli” temsilci atama yükümlülüğü, yalnızca Birleşik Krallık’ta yerleşik işletmeler için değil, aynı zamanda AB içinde yerleşik işletmeler için de çok önemli hale gelebilir.
Geçiş döneminin sona ermesiyle birlikte, “Birleşik Krallık GDPR”, 2018 Veri Koruma Yasası’nın değiştirilmiş bir versiyonu ile birlikte Birleşik Krallık’ta yürürlüğe girmiştir. AB GDPR’ye eşdeğer olan yeni Birleşik Krallık veri koruma çerçevesi, Birleşik Krallık dışında yerleşik olan ancak Birleşik Krallık pazarına ulaşan işletmelerin Birleşik Krallık içinde bir temsilci atamasını zorunlu kılıyor. Dolayısıyla, dışarıdan bakan bir kişinin bakış açısına göre, artık işletmeleri bir temsilci atamaya zorlayabilecek iki yasal hüküm bulunmaktadır: bir tarafta AB dışında yerleşik işletmeler için geçerli olan AB GDPR, diğer tarafta ise Birleşik Krallık dışında yerleşik işletmeler için geçerli olan Birleşik Krallık GDPR. Bu nedenle ICO, AB ve/veya Birleşik Krallık’ta bir temsilci atama zorunluluğu konusunda işletmeleri çok önceden bilgilendirmiştir.
Referanslar: Birleşik Krallık GDPR Değişikliği, 2018 Veri Koruma Yasası, Veri Koruma Çıkış Yönetmeliği, ICO : GDPR hala geçerli olacak mı?, ICO SSS
3. Temsil
Birleşik Krallık dışındaki şirketlerin Birleşik Krallık temsilcisi ataması gerekir mi?
Birleşik Krallık hükümeti, 1 Ocak 2021’den itibaren, ister AB’de ister üçüncü bir ülkede olsun, Birleşik Krallık dışında bulunan şirketlerin, Madde 27 UK-GDPR uyarınca bir Birleşik Krallık temsilcisi ataması gerekeceğini belirtti. 27 UK-GDPR uyarınca, eğer
- Birleşik Krallık’taki bireylere mal veya hizmet sunmaları; veya
- SaaS çözümümüzü Birleşik Krallık temsilciliği için uyarladık ve size LegalTech hizmetlerimizi Birleşik Krallık ofisimizden sunabiliriz.
Kaynaklar: Birleşik Krallık GDPR Değişikliği, ICO: AB temsilcisi gerekliliği,ICO SSS
Birleşik Krallık şirketlerinin bir AB temsilcisi ataması gerekir mi?
Genel olarak, AB’de kuruluşu bulunmayan şirketlerin bir GDPR 27. Madde temsilcisine ihtiyacı vardır. 27 GDPR temsilcisine aşağıdaki durumlarda ihtiyaç duyarlar
- EEA’daki bireylere mal veya hizmet sunuyorsa
- Geçiş döneminin sona ermesinden sonra Birleşik Krallık artık bir Üye Devlet olmadığından, Birleşik Krallık’taki bir kuruluş artık bir AB kuruluşu olarak sayılmamaktadır. AB perspektifinden bakıldığında, Birleşik Krallık üçüncü bir ülke olarak kabul edilmektedir. Dolayısıyla bu genel kural, yukarıdaki kriterleri yerine getiren Birleşik Krallık şirketlerinin bir AB temsilcisi atamasını zorunlu kılmaktadır. Bir hukuk bürosu olarak size tüm AB üye ülkelerinde temsil için bir SaaS çözümü sunuyoruz.
Kaynaklar: ICO: AB temsilcisi gerekliliği, ICO SSS
4. Veri akışı
AB’den Birleşik Krallık’a veri akışı
TCA, “köprüleme dönemi” olarak adlandırılan en fazla altı aylık bir süre boyunca verilerin AB’den (ve AEA’dan) Birleşik Krallık’a serbestçe akmasına izin vermektedir. Bu sürenin sonunda, Avrupa Komisyonu’nun bir yeterlilik kararının kabul edilmesine karar vermesi beklenmektedir. O zamana kadar Avrupa Komisyonu tarafından herhangi bir karar alınmamışsa, köprüleme dönemi ne olursa olsun sona erecek ve Birleşik Krallık, AB’den gelen kişisel verilerin yasal olarak işlenmesini sağlamak için alternatif mekanizmalar sağlamak zorunda kalacaktır. 28 Aralık 2020’de yaptığı bir açıklamada ICO, kişisel verileri Birleşik Krallık’a aktaran AB veya AEA kuruluşlarıyla çalışan Birleşik Krallık işletmelerinin, Nisan 2021’in sonundan önce AB-İngiltere veri akışı için alternatif aktarım mekanizmasını uygulamaya koymalarını tavsiye etmektedir. Birleşik Krallık hükümeti de Birleşik Krallık’taki işletmelere mantıklı bir önlem olarak alternatif aktarım mekanizmalarını uygulamaya koymalarını tavsiye etmektedir. Bu konuda en uygun olanı Standart Sözleşme Maddeleri (SCC’ler) olacaktır. ICO, SCC’ler oluşturmak için rehberlik ve interaktif araçlar sağlamaktadır. Avrupa Komisyonu altı aylık sürenin sonuna kadar bir yeterlilik kararı kabul etmezse, Birleşik Krallık AB GDPR transfer kısıtlamalarına uymak zorunda kalacaktır. Genel olarak, bir yeterlilik kararı, uygun bir koruma önlemi veya bir istisna kapsamında olması halinde veri aktarımı mümkündür. Yeterlilik kararı yoksa, AEA göndericisi, uygun koruma tedbirlerini uygulamaya koyması halinde Birleşik Krallık’a aktarım yapabilir. Yeterlilik kararı ve uygun koruma önlemleri yoksa, AEA göndericisi, AB GDPR istisnalarından birinin geçerli olması halinde verileri Birleşik Krallık’a aktarabilecektir. Ancak ICO, EDPB kılavuzuna göre, bu istisnaların kısıtlayıcı bir şekilde yorumlanması gerektiğini ve esas olarak ara sıra gerçekleşen ve tekrarlanmayan aktarımlarla ilgili olduğunu İngiltere’deki işletmelere bildirmektedir.
Kaynaklar: AB Komisyonu’nun Birleşik Krallık’ın yeterliliğinin onaylanmasına ilişkin duyurusuna cevaben ICO açıklaması, AB Komisyonu: Küçük işletmeler ve kuruluşlar için Brexit geçiş döneminin sona ermesinden sonra veri koruması
Birleşik Krallık’tan AB’ye veri akışı
Birleşik Krallık hükümeti, Birleşik Krallık’tan AB/AEA’ya, Cebelitarık’a ve AB tarafından yeterli görülen diğer ülkelere veri akışı için şu anda herhangi bir değişiklik olmadığını belirtmektedir. Dolayısıyla Birleşik Krallık’tan AB’ye veri aktarımına izin verilmektedir, ancak Birleşik Krallık’taki işletmelerin belgelerini ve gizlilik bildirimlerini bu aktarımları kapsayacak şekilde güncellemeleri gerekmektedir. Hükümet bu konuyu gözden geçirmeye devam edeceğini belirtmiştir.
Kaynaklar: Gov.uk: “İşletmenizde veya diğer kuruluşlarda kişisel verilerin kullanılması”
5. Eski Veriler
Madde 71(1) Çekilme anlaşmasının 71(1) maddesi, Avrupa Komisyonu tarafından herhangi bir yeterlilik kararı alınmaması durumunda “eski veriler” için hükümler içermektedir. Eski veriler, Birleşik Krallık dışındaki bireylerin verilerinden oluşmaktadır:
- Geçiş döneminin sona ermesinden önce elde edilen ve AB GDPR kapsamında işlenen; veya
- Eski veriler AB GDPR’ye (“dondurulmuş GDPR” olarak da adlandırılır) tabi olmaya devam edecektir. Bu nedenle ICO, işletmelere geçiş dönemi sona ermeden önce hangi verilerin toplandığını tespit etmelerini tavsiye etmektedir. Birleşik Krallık veri koruma kanunu şu anda dondurulmuş GDPR ile uyumlu olduğundan, uygulamada işletmelerin Çekilme Anlaşmasına uymak için herhangi bir değişiklik yapmaları gerekmeyebilir. Ancak Birleşik Krallık hükümeti, işletmelerin eski verileri tanımlamak ve izlemek için kişisel veri stoklarını almalarını vurgulamaktadır. Avrupa Komisyonu tarafından bir yeterlilik kararı verilirse, bu hükümler geçerliliğini yitirecektir. Kaynaklar: Gov.uk Guidance: İşletmenizde veya diğer kuruluşlarda kişisel verilerin kullanılması, AB Komisyonu: ICO: Uluslararası veri transferleri