Şirketime FADP uygulanıyor mu?

FADP, özel veri sorumluları ve federal kurumlar tarafından kişisel verilerin işlenmesine uygulanır. GDPR’a benzer şekilde, FADP’nin de ülke dışı uygulama kapsamı vardır; yani İsviçre dışında bulunan şirketlere de uygulanabilir. Ancak FADP’nin ülke dışı kapsamı GDPR’dan daha geniştir, çünkü yurt dışından başlatılmış olsa bile İsviçre’de etkisi bulunan tüm durumları kapsar. Bu yaklaşım “etki doktrini” olarak bilinir. Etki doktrinine göre yalnızca İsviçre vatandaşlarına ilişkin veri işleme faaliyetleri değil, İsviçre’de bulunan sunucular üzerinde gerçekleştirilen tüm veri işleme işlemleri de -bu işlemler yurt dışından yürütülse bile- FADP kapsamına girer.

GDPR (Madde 27) kapsamında temsilci atama yükümlülüğü ile FADP’nin 14. maddesi kapsamındaki yükümlülük arasında önemli bir fark vardır. GDPR, AB’de bir kuruluşu bulunmayan şirketlerin temsilci atamasını zorunlu kılarken, FADP bu gerekliliği İsviçre’de şirket merkezi (corporate seat) bulunmayan kuruluşlar için öngörür.

Bu ne anlama gelir?
İsviçre’de bir şubesi veya başka bir türden faaliyeti bulunan ancak şirket merkezi İsviçre’de olmayan kuruluşlar da aşağıdaki koşulları taşıdıklarında bir İsviçre temsilcisi atamak zorundadır:

• İsviçre’deki bireylere mal veya hizmet sunuyorlarsa (hedefleme kriteri) veya bu bireylerin davranışlarını izliyorlarsa (izleme kriteri); ve
• Veri işleme faaliyetleri düzenli, büyük ölçekli ve veri sahipleri açısından yüksek risk oluşturuyorsa.

FADP’nin 14. maddesindeki hedefleme kriterinin ifadesi, GDPR’ın 3(2). maddesindeki ifadeyle neredeyse aynıdır. Bu nedenle, İsviçre makamlarından henüz bir rehber yayımlanmamış olsa da, Avrupa Veri Koruma Kurulu’nun (EDPB) rehberinde belirtilen faaliyet türlerinin İsviçre yasası kapsamında da hedefleme kriterini tetikleyeceği varsayılabilir. İsviçre makamlarının ilerleyen dönemde kendi rehberlerini yayımlamaları beklenmektedir.

Bu süre zarfında, İsviçre’deki bireylere “mal veya hizmet sunumu” olarak değerlendirilebilecek bazı göstergeler şunlardır:

• İsviçre’de kullanılan dilleri kullanmak ve ödemeleri İsviçre Frangı (CHF) cinsinden kabul etmek,
• İsviçreli bireylere yönelik reklamlar veya pazarlama araçları kullanmak,
• İsviçre’den erişilebilecek adres veya telefon numaraları belirtmek,
• İsviçre’ye özgü üst düzey alan adlarını (.ch vb.) kullanmak,
• Malların İsviçre’ye teslimini teklif etmek.

İsviçre makamlarının izleme kriterinin yorumuna ilişkin bir rehber yayımlayana kadar, GDPR’a ilişkin rehberlerde belirtilen aşağıdaki faaliyetlerin temsilci atama gerekliliğini tetiklemesi muhtemel kabul edilmektedir:

• Davranışsal reklamcılık,
• Coğrafi konum (geo-localisation) faaliyetleri,
• Çerezler veya diğer izleme teknolojileriyle çevrimiçi takip,
• Bireysel profillere dayalı pazar araştırmaları ve diğer davranışsal analizler.

FADP, ciddi ihlaller için ağır yaptırımlar öngörmektedir. Ancak GDPR’dan farklı olarak, bu cezalar doğrudan şirketlere değil, ihlalde bulunan kuruluşun arkasındaki sorumlu gerçek kişilere yöneliktir. İdari para cezaları yerine FADP, ihlalleri cezai sorumluluk kapsamında değerlendirir. Cezalar 250.000 İsviçre Frangı’na (CHF) kadar ulaşabilir.