Yeni İsviçre Veri Koruma Yasasına hazır mısınız? İsviçre dışındaki kuruluşlar için etkileri
Gözden geçirilmiş İsviçre Federal Veri Koruma Yasası (“RevFADP”) 1 Eylül 2023 tarihinde yürürlüğe giriyor. Şaşırtıcı olmayan bir şekilde, 1992 versiyonuna yapılan bu güncelleme, İsviçre’nin veri koruma rejimini GDPR hükümleriyle daha uyumlu hale getirmektedir. Buna İsviçre’de iş yapan İsviçreli olmayan şirketler için İsviçre temsilcisi atama zorunluluğu gibi yeni ve daha sıkı yükümlülüklerin getirilmesi de dahildir. Ayrıca, veri sahibi haklarına bağlılığın yanı sıra veri ihlali raporlamasına ilişkin yeni gerekliliklere de daha fazla vurgu yapılmakta olup, her iki konuda da kuruluşların hazırlıklı olması gerekecektir. Burada, bu değişikliklerin İsviçre dışındaki şirketler için temel sonuçlarına bakıyoruz.
Bölgesel kapsamın genişletilmesi
RevFADP, dünya çapındaki şirketlerin İsviçreli bireylerin kişisel bilgilerinin korunmasından sorumlu olmalarını sağlamak için GDPR’den ilham alarak İsviçre veri koruma rejiminin bölgesel uygulama kapsamını önemli ölçüde genişletmektedir. Bununla birlikte, RevFADP’nin bölge dışı kapsamı, yeni İsviçre yasasının, bu tür faaliyetler yurtdışından başlatılmış olsa bile İsviçre’de etkisi olan durumlar için geçerli olması nedeniyle Avrupa’daki ilham kaynağından daha geniştir. Bu da, İsviçre denetim makamı olan FDPIC’nin, İsviçre sınırları dışında gerçekleşmiş olsa bile İsviçre’de etkisi olan herhangi bir faaliyetle ilgili olarak RevFADP’yi uygulama yetkisine sahip olduğu anlamına gelmektedir. Uygulamada bu, GDPR gibi, İsviçreli bireylere mal veya hizmet hedefleyen veya davranışlarını izleyen kuruluşların artık RevFADP gerekliliklerine uymak zorunda kalacağı anlamına gelmektedir. Buna ek olarak, kişisel verileri İsviçre’de bulunan sunucularda depolayan kuruluşların yeni İsviçre veri koruma mevzuatına tabi olacağı anlamına gelmektedir.
İsviçre’de temsilci atamak için yeni yükümlülük
RevFADP’nin ülke dışı kapsamına giren kuruluşlar için dikkat edilmesi gereken önemli bir değişiklik, İsviçre’de bir temsilci atamaya yönelik yeni gerekliliktir. Bu gereklilik, İsviçre’de kurumsal merkezi olmayan bir kuruluşun İsviçre’deki bireylerin kişisel verilerini işlemesi ve söz konusu işleme faaliyetlerinin aşağıdakilerle bağlantılı olması halinde tetiklenmektedir
- bu bireylere mal ve/veya hizmet sunulması (hedefleme kriteri) veya bu bireylerin davranışlarının izlenmesi (izleme kriteri)
- ve bu tür veri işlemenin
- büyük ölçekte
- düzenli olarak gerçekleştirilir
- ve veri sahibi için yüksek risk teşkil etmesi
Bir İsviçre temsilcisi atama gerekliliği şüphesiz GDPR’den esinlenmiş olsa da, yine bazı kayda değer farklılıklar vardır. Vurgulanması gereken iki büyük farklılık şunlardır
- Yerel bir kontrolör olarak kabul edilmek için gerekli olan organizasyon yapısı, yani GDPR kapsamındaki kuruluşun aksine RevFADP kapsamındaki şirket merkezi arasındaki fark
- veri işlemenin büyük ölçekli, düzenli ve yüksek risk teşkil eden nitelikte olması RevFADP kapsamında başvuru kriteri iken GDPR’de bu kriterler tersine çevrilerek muafiyet olarak formüle edilmiştir
GDPR kapsamındaki bir kuruluş, örneğin bir şube veya ofis gibi her türlü istikrarlı düzenlemedir, ancak bir tüzel kişiliğin kurulması zorunlu değildir. Buna karşılık, RevFADP’nin ifadesi kurumsal bir merkez gerektirmektedir, resmi olmayan İngilizce çevirisi bunu “kayıtlı bir ofis” olarak tercüme etmektedir.
Şu ana kadar İsviçre’de temsilci atama zorunluluğunun kapsamına girmemek için ne tür bir yapının gerekli olduğuna dair netlik sağlayacak bir yorum literatürü bulunmamaktadır. İfadenin kendisi, en azından ayrı bir tüzel kişilik veya kayıtlı bir ofis olarak bir tür kayıt olması gerektiğini göstermektedir, bu nedenle bu açıdan RevFADP kapsamında bir temsilci atama gerekliliği GDPR’den daha geniştir. İsviçre’de bir tüzel kişiliği olan şirketler de bağlı kuruluşlarını temsilci olarak atayabilir, ancak bunu yapmadan önce bağlı kuruluşların İsviçre’deki veri koruma konularıyla ilgilenme kabiliyetini göz önünde bulundurmalıdır.
Öte yandan, veri işlemeye ilişkin ek nitelikler, veri yoğun ve riskli iş modellerini hedef aldığı için kapsamı daraltmaktadır. Buna karşılık, GDPR kapsamında muafiyet olarak öngörülen aynı kriterler çok nadiren tetiklenmektedir.
İsviçre temsilciliği hakkında daha fazla bilgiyi burada bulabilirsiniz.
Temsilcinin rolü
İsviçre temsilcisinin rolü açıkça GDPR’den evrilmiştir. Temsilci, İsviçreli veri sahipleri ve İsviçre denetim makamı (FDPIC) için yerel ve erişilebilir bir irtibat noktası görevi görmektedir. Temsilci kamuya açık bir atama olarak tasarlanmıştır ve RevFADP, kontrolörlerin, haklarını temsilci aracılığıyla kullanmak isteyen veri sahiplerinin bunu kolayca yapabilmelerini sağlamak için atadıkları temsilcinin adını ve adresini yayınlamalarını gerektirir. RevFADP kapsamında bu bilginin GDPR kapsamında olduğu gibi kontrolörün gizlilik bildirimine dahil edilmesine yönelik açık bir gereklilik bulunmamakla birlikte, yine de bu tür bilgilerin dahil edilmesi için bariz bir yer olmaya devam etmektedir. Bir temsilci atanması gerekliliğinin dahil edilmesi, 1992 İsviçre yasalarına kıyasla RevFADP kapsamında belirlenen daha geniş veri sahibi haklarını yansıtmakta ve bireylerin kişisel bilgileri üzerinde kontrol sahibi olmalarını sağlamaya odaklanıldığını vurgulamaktadır. Temsilci, veri sahiplerine haklarını nasıl kullanabilecekleri konusunda bilgi sağlamak ve İsviçreli bireylerin bu haklarını korumak için bu tür taleplerin İsviçre dışındaki kontrolörlere iletilmesini sağlamak için hazır bulunmalıdır.
Bu nedenle, temsilcinin İsviçre’de kurulu bir şirket veya orada yaşayan bir birey olması gerekir. Posta kutusu çözümleri temsilci rolünü yerine getiremeyecektir ve bu nedenle İsviçre’de bir temsilci atama gerekliliğine uymak için uygun değildir.
Temsilci, İsviçreli olmayan kuruluşlar ile FDPIC arasındaki iletişimin kolaylaştırılmasını sağlamanın yanı sıra, kontrolörün işleme faaliyetlerine ilişkin kayıtlarını muhafaza etmekten de sorumlu olacak ve talep üzerine bunları denetim makamına sunması gerekecektir.
Veri ihlalleri için yeni hükümler
Yeni veri ihlali bildirim gereklilikleri, kontrolörlerin, ihlalin veri sahibinin kişiliğine veya temel haklarına yönelik yüksek bir riskle sonuçlanmasının muhtemel olduğu durumlarda, mümkün olan en kısa sürede FDPIC’i bir ihlalin meydana geldiği konusunda bilgilendirmek zorunda oldukları anlamına gelmektedir. FDPIC’nin herhangi bir yönlendirmesinin bulunmadığı bu aşamada, GDPR’nin bu tür bildirimlerin 72 saat içinde yapılmasını şart koştuğu şekilde, bu tür bildirimlerin “mümkün olan en kısa sürede” yapılmasına ilişkin herhangi bir zaman sınırı olup olmayacağı belirsizdir. Kontrolörlerin ayrıca, veri sahiplerinin korunması için gerekli olması halinde, örneğin söz konusu bildirimin veri sahiplerinin ihlalin kendileri üzerindeki etkisini sınırlandırmak için önlem almalarını sağlaması durumunda, ihlalden etkilenen veri sahiplerini bilgilendirmeleri gerekmektedir. İsviçreli olmayan kuruluşlar, gerektiğinde veri ihlallerinin bildirilmesi konusunda destek almak için İsviçre’deki temsilcilerine başvurabilirler.
Uyumsuzluk için para cezaları
GDPR’nin aksine, RevFADP uyumlu olmayan kuruluşlar için sivil cezalar oluşturmamaktadır. Bunun yerine, özel kontrolörler için hareket eden bireyler tarafından revize edilmiş İsviçre yasasının kasıtlı olarak ihlal edilmesi, 250.000 CHF’ye kadar para cezası şeklinde cezai yaptırımlarla sonuçlanabilir. Bu tür cezalar büyük olasılıkla C-Seviyesi yöneticilere ve bir kuruluşun veri koruma programından sorumlu olanlara (örneğin, DPO’lar) karşı uygulanacak ve aşağıdakiler için para cezalarını içerecektir:
- (i) kişisel verilerin toplandığı noktada (Madde 19), (ii) otomatik karar verme ile ilgili olarak (Madde 21) ve (iii) gizlilik bildirimi yükümlülüklerini ihlal ederek (Madde 25-27) kasıtlı olarak yanlış veya eksik bilgi vermek - bakınız Madde 60(1&2)
- FDPIC’e gerekli bilgileri vermemek de dahil olmak üzere, kasten yanlış bilgi vermek ve bir FDPIC soruşturmasında işbirliği yapmamak (Madde 49(3)) - bkz. Madde 60(2)
- Kişisel verilerin, sınır ötesi aktarımlara ilişkin hükümleri (Madde 16 ve 17) ihlal ederek İsviçre sınırları dışında kasten ifşa edilmesi ve veri işleyicilerinin atanmasına ilişkin Madde 9’un gerekliliklerinin kasten yerine getirilmemesi - Madde 61
- kişisel verilere ilişkin mesleki gizlilik yükümlülüğünün ihlali (Madde 62)
- DPIC’nin bir emrine kasıtlı olarak uymamak (Madde 63)
Bu tür başarısızlıklardan veya RevFADP’nin kasıtlı olarak ihlal edilmesinden sorumlu kişilerin makul bir şekilde belirlenemediği durumlarda, kuruluşun kendisine para cezası verilebilir. Ancak özel kontrolörler için bu tür cezalar 50.000 CHF’yi aşmayacaktır.
RevFADP’nin GDPR ile Karşılaştırılması
Aşağıdaki tablo, bu makalede bahsedilen konulara ilişkin olarak GDPR ile İsviçre RevFADP arasındaki farklara genel bir bakış sunmaktadır:
| GDPR | RevFADP | Önemli Farklılık | | --- | --- | --- | Maddi Kapsam | Madde 2 (1): kişisel verilerin işlenmesi | Madde 2 (1): kişisel verilerin işlenmesi | RevFADP, tanımlanabilir veriler söz konusu olduğunda daha pragmatik bir yaklaşıma sahiptir. Yalnızca bir kişinin verileri bir bireyle ilişkilendirmeye istekli olması ve makul çaba göstermesi halinde veriler tanımlanabilir olarak kabul edilir. T-557/20 sayılı davada Avrupa Genel Mahkemesi (EGC) de benzer bir yaklaşım benimsemiştir. | Madde 3 (2): AB’deki veri sahiplerini hedeflerken veya izlerken bir kuruluşu olmayan kontrolörler ve işleyiciler Madde 3 (1): İsviçre’de etkisi olan durumlar GDPR uygulanabilirliği bir kontrolör veya işleyici tarafından gerçekleştirilen eylemlere bağlarken, İsviçre etkisi doktrini pasif bir yaklaşım benimser ve İsviçre pazarında mal/hizmet satışı veya İsviçreli veri sahiplerinin davranışlarının izlenmesi ile ilgili olmayan durumları da kapsar. | | Temsil | | Madde 27: aşağıdaki durumlarda bir temsilci atayın:
- AB’de işyeri yoksa;
- AB veri sahiplerini hedefliyor veya izliyorsa. | Madde 14: aşağıdaki durumlarda bir temsilci atayın:
- İsviçre’de şirket merkezi olmaması;
- İsviçre’deki bireylerin hedeflenmesi veya izlenmesi;
- işlemenin büyük ölçekte, düzenli ve yüksek risk teşkil etmesi. | RevFADP kapsamında bir temsilci atama gerekliliğinin, GDPR kapsamındaki bir kuruluşun aksine kurumsal merkezi olmayan tüm kuruluşlar için geçerli olması, daha geniş bir uygulanabilirlikle sonuçlanırken, ek nitelikler kapsamı tekrar daraltmaktadır. | Veri İh lallerinin Bildirilmesi Madde 33(1): herhangi bir risk teşkil eden veri ihlallerinin 72 saat içerisinde bildirilmesi yükümlülüğü. | Madde 24(1): yüksek risk teşkil eden veri ihlallerini mümkün olan en kısa sürede bildirme yükümlülüğü. | RevFADP, “yüksek risk” eşiğinin altındaki tüm ihlalleri hariç tutmakta ve bildirimin zamanlaması konusunda daha esnek davranmaktadır. | Para Cezaları Madde 83(4,5): ihlalin türüne bağlı olarak şirketlere yönelik idari para cezaları ya 10 milyon €/%2 küresel ciro ya da 20 milyon €/%4 küresel ciro | Madde 60-63 250.000 CHF’ye kadar para cezası ile sorumlu kişinin cezai sorumluluğu. | GDPR fahiş para cezaları nedeniyle meşhur oldu, İsviçre RevFADP cezai sorumluluk nedeniyle C-seviyelerini korkutuyor. |
Özet
İsviçre’nin etrafı AB ile çevrili olduğundan İsviçre RevFADP’nin GDPR’den ilham alması şaşırtıcı değildir. Uyumluluğu kolaylaştırmak için AB ve İsviçre veri koruma rejimleri arasında daha fazla uyum sağlamak da son derece mantıklıdır. Bununla birlikte, şirketlerin farkında olması gereken bazı önemli farklılıklar vardır. İsviçreli olmayan kuruluşların 1 Eylül’e kadar bir temsilci atamayı düşünmeleri gerekmektedir.
İsviçre RevFADP hakkında daha fazla bilgi almak ve İsviçre’deki temsilciniz olarak saygın bir sağlayıcı atamak için Prighter ile buradan iletişime geçin.