AB dışında kurulan şirketler, AB Genel Veri Koruma Yönetmeliği'nin 27. maddesine göre bir AB temsilci atamak zorundadır, eğer:

• AB'deki bireylere mal ve hizmet sunuyorlar (örneğin, bir web sitesini AB dilinde sunmak, EUR cinsinden ödemeler sunmak) veya
• davranışlarını izliyorlar (örneğin, çerez profillemesi).

Avrupa Veri Koruma Kurulu'nun (EDPB) GDPR'nin yargısal kapsamı hakkındaki Rehber 3/2018 uyarınca, bu hem denetleyicileri hem de işlemcileri kapsar. Avrupa Birliği'nde kurulu olmayan işlemciler için GDPR'nin uygulanabilirliği,

Durum 1: Çevrimiçi Oyun: AB dışında bulunan bir çevrimiçi oyun şirketisiniz ve oyunlarınızı AB'deki veri konularına ücretsiz sunuyorsunuz. Oyunlarınızı kullanırken veri konularının coğrafi konum verilerini, web tarayıcı verilerini ve geçmişini analiz ediyor ve bu verilere dayalı reklamlar gösteriyorsunuz. Oyunlarınızı sunarak AB pazarını hedeflediğiniz ve kullanıcıların davranışlarını izlediğiniz için yasal olarak AB Genel Veri Koruma Yönetmeliği'ne uygun kalmak için AB üye devletinde fiziksel olarak kurulu bir GDPR Temsilcisi atamanız gerekmektedir. AB GDPR ihlalleri, otoriteler tarafından ciddi para cezalarına ve AB'deki iş faaliyetlerinden men edilmeye neden olabilir.

Durum 2: B2B SaaS: CRM yazılımı geliştiriyorsunuz ve bu yazılımı AB'ye hedefleyen veya AB'de bulunmayan şirketlere SaaS ürünü olarak sunuyorsunuz. İşletme müşterileriniz AB veri konularını hedeflediği ve CRM yazılımınızın verilerini işlediği ve depoladığı için AB üye devletinde fiziksel olarak kurulu bir GDPR Temsilcisi atamanız gerekmektedir. Muhtemelen AB'deki işletme müşterileriniz de sizden bir temsilci atamanızı ve bir veri işleme anlaşmasına girmenizi isteyecektir. İş müzakere aşamasında zaten GDPR uyumlu olmanız, işletme müşterilerinizle müzakere sürecinde güven oluşturmanıza yardımcı olabilir.

Art. 27 GDPR'ye göre, denetleyiciler veya işlemciler, AŞAĞIDAKİ tüm kriterlerin TÜMÜNÜ karşılıyorsa düzenlemenin dışında bırakılır:

• kişisel veriler yalnızca ara sıra işlenir, yani zaman zaman ve sistemli olmayan; VE
• veri işlemesi özel kişisel veri kategorilerinin veya suç mahkumiyetleri ve suçlarla ilgili kişisel verilerin geniş çaplı işlenmesini içermez; VE
• veri işleme, veri konularının haklarına ve özgürlüklerine bir risk oluşturma olasılığı düşüktür. Bu kriterlerin TÜMÜNÜ karşılamak zordur, özellikle yalnızca ara sıra veri işleme kriteri çoğu işletme için büyük bir engel olarak ortaya çıkar.

Şirketinizin AB müşterileri ile ticari ilişkiler kurma niyeti, bir iş faaliyetinde kendini göstermiş olmalıdır. AB'deki bir web sitesine erişilebilir olması, bir e-posta veya coğrafi adresin web sitesinde belirtilmesi veya uluslararası bir kod olmadan bir telefon numarasının belirtilmesi, başlı başına AB müşterilerine mal veya hizmet sunma niyetini kanıtlamak için yeterli kanıt sağlamaz. Avrupa Veri Koruma Kurulu, mal ve hizmetlerin sunulup sunulmadığını değerlendirirken dikkate alınması gereken faktörleri listelemiştir.GDPR'nin yargı kapsamına ilişkin kılavuz 3/2018'de yer alan bazı faktörler şunlardır:

• AB Üye Devletlerinin dillerini kullanmak veya AB Üye Devletlerinin para biriminde ödeme yapmak;
• Google veya Facebook reklamlarını AB pazarına hitap etmek için kullanmak veya AB müşterilerine yönelik diğer pazarlama faaliyetleri;
• AB referanslarını veya tanıklıkları belirtmek;
• belirli turistik faaliyetler gibi uluslararası nitelikteki faaliyetler;
• AB ülkelerinden ulaşılabilecek özel adresler veya telefon numaralarının belirtilmesi;
• AB üst düzey alanlarının kullanımı;
• hizmetin sunulduğu yere bir veya daha fazla başka AB Üye Devletinden seyahat talimatlarının açıklanması;
• malların AB Üye Devletlerine teslim edilmesinin teklif edilmesi;

Kısacası, şirketinizin AB'de çıkış faaliyeti varsa veya şirketiniz AB müşterilerinin şirketinizin ürününü bulmasını veya satın almasını sağlıyorsa, GDPR'nin uygulanması muhtemeldir.

Durum 1: Türkiye'de bulunan ve yönetilen bir web sitesi, kişiselleştirilmiş aile fotoğraf albümleri oluşturma, düzenleme, yazdırma ve gönderme hizmetleri sunmaktadır. Web sitesi İngilizce, Fransızca, Hollandaca ve Almanca olarak mevcuttur ve ödemeler euro veya sterlin cinsinden yapılabilir. Web sitesi, fotoğraf albümlerinin yalnızca posta yoluyla İngiltere, Fransa, Beneluks ve Almanya'ya teslim edilebileceğini belirtmektedir.

Durum 2: İsviçre Üniversitesi uluslararası ilişkilerde yaz dönemi kursları sunmaktadır ve bu teklifi özellikle Alman ve Avusturya üniversitelerinde tanıtmaktadır. Kursların katılımını maksimize etmek için İsviçre Üniversitesi'nin Avrupa Birliği'nde bulunan veri konularına bu hizmetleri sunma niyeti açıktır ve GDPR ilgili işlemlere uygulanacaktır.

AB'deki bireylerin kişisel verilerinin çevrimiçi olarak toplanması veya analiz edilmesi her zaman “izleme” olarak kabul edilmez. AB veri konularının davranışlarını izlemek, belirli bir amaç için veri toplama niyetini ima eder. Bu nedenle, İnternet'teki doğal kişilerin takibi, olası sonraki profil oluşturma tekniklerinin kullanımını içeren her türlü takip 'izleme' olarak kabul edilir. Yine de, EDPB, Rehberler 03/2018'de daha fazla rehberlik vermektedir. EDPB'ye göre, izleme sadece İnternet'te değil, aynı zamanda giyilebilir teknolojiler ve diğer akıllı cihazlar aracılığıyla da gerçekleşebilir. İzleme faaliyetleri şunları içerir:

• Davranışsal reklam
• Pazarlama amaçları için özellikle coğrafi konum belirleme faaliyetleri
• Çerezler veya parmak izi gibi diğer takip teknikleri kullanılarak çevrimiçi takip
• Kişiselleştirilmiş diyet ve sağlık analitiği hizmetleri çevrimiçi
• CCTV
• Pazar araştırmaları ve bireysel profillere dayalı diğer davranış çalışmaları
• Bir bireyin sağlık durumunun izlenmesi veya düzenli raporlanması

Örnek 1: Fransa'daki bir alışveriş merkezine perakende düzenleme konusunda tavsiyeler sunan ABD'de kurulu bir pazarlama şirketi, merkezdeki müşterilerin Wi-Fi takibi aracılığıyla toplanan hareketlerinin analizine dayanarak tavsiyelerde bulunmaktadır.

Örnek 2: Kanada'da kurulu bir uygulama geliştirici AB'de bir kuruluşa sahip değildir. Uygulamanın optimizasyonu ve bakımı için ABD'de kurulu bir işlemci kullanıyor, ancak aynı zamanda AB'deki veri konularının davranışlarını da izliyor. Geliştirici dolayısıyla GDPR'ye tabidir, 3(2)b. Madde gereğince.

GDPR, 'yerel kapsamını' AB dışındaki ülkelerde kayıtlı olan denetleyicilere ve işleyicilere genişletir. Sonuç olarak, bir işleyici veya denetleyicinin AB temsilcisini atama yükümlülüğünü yerine getirmediği durumda, 10 milyon Euro'ya kadar veya dünya çapındaki yıllık cironun %2'sine kadar yüksek cezalar uygulanabilir. Cezalar, bireysel talepler veya otoriteler tarafından uygulanabilir. Ayrıca, AB'deki ortaklarınız şirketinize veri transfer etmeyi durdurmak zorunda kalabilirler.

Temsilci, AB dışındaki işlemciler ve denetleyicilerle iletişimi kolaylaştırmak için yetkililer ve veri konuları için bir adres olarak hareket edecektir. Temsilcinin, atanmış olduğunu kanıtlamak için denetleyici veya işlemci tarafından yazılı olarak yetkilendirilmesi gerekmektedir. Ayrıca, temsilci, işleme faaliyetlerine ilişkin 30. Madde kayıtlarını tutmalı ve kaydı denetleme otoritesinin talebi üzerine sunmalıdır.

• İletişimi kolaylaştırmak için, Prighter Avrupa genelinde bir ağ ofisi kurdu ve hem otoritelerle hem de veri konularıyla iletişim için yüksek teknoloji çözümleri geliştirdi;
• Yazılı bir atama, onboarding sürecinin bir parçasıdır. Müşteriler, Vekâletnameyi doğrudan çevrimiçi olarak bir uçtan uca dijital süreçte imzalayabilirler; ve
• Müşterilere işleme faaliyetleri kayıtlarının taslağında, önceden doldurulmuş şablonlar sağlayarak ve kapsamlı destek ve rehberlik sunarak yardımcı oluyoruz.

Öncelikle, EDPB, yalnızca bir temsilcinin atanması gerektiğini ve bu temsilcinin ardından tüm diğer Üye Devletler için hizmet verebileceğini, sınır kapsamı hakkında 03/2018 Rehberi'nde açıklığa kavuşturuyor. Müşteri tabanının önemli bir kısmının belirli bir Üye Devlette olması durumunda, temsilcinin bu Üye Devlette kurulması en iyi uygulamadır. Her durumda, temsilci, nerede bulunursa bulunsun, tüm Üye Devletlerdeki veri konuları için kolayca erişilebilir olacaktır.

Prighter bu gereksinimlere nasıl yaklaşıyor?

• Prighter'ın tüm önemli AB Üye Devletlerinde ofisleri ve iş ortaklığı ofisleri bulunmaktadır, bu da sizi uyumlu tutar ve müşterileriniz için yerel ve kolayca erişilebilir bir temsilci sağlar, nerede olurlarsa olsunlar; ve
• Prighter bir posta kutusu değildir, her konumda gerçek gizlilik uzmanlarımız bulunmaktadır.

Amacımız, Avrupa dışındaki şirketlerin GDPR'ye uyum sağlamasına, hukuki uzmanlık ve teknoloji çözümlerinin bir kombinasyonu aracılığıyla olanak tanımaktır. Büyük bankalar, finansal hizmet sağlayıcıları, teknoloji şirketleri için atanan Veri Koruma Görevlisi olarakki rolümüzden kaynaklanan pratik bilgileri, Veri Konuları Talepleri (DSR) ve veri ihlalleri ile kolayca başa çıkabilen araçlarımızın geliştirilmesine ve işleme faaliyetlerinin kayıtlarının yönetimine entegre ediyoruz. Tüm gizlilikle ilgili konularda size destek oluyoruz, ancak en önemlisi, gizlilik konularını etkili, uyumlu ve profesyonel bir şekilde ele alarak müşteri güvenini artırmanıza ve işinizi büyütmenize olanak tanıyarak sizi destekliyoruz.

Hizmetimizin çekirdeği, 27. Madde GDPR'ye göre temsilidir. Bu gereklilik etrafında, uyumluluğunuzu artırmanıza ve müşterilerinizin ve ortaklarınızın güvenini kazanmanıza olanak tanıyan özellikler, hizmetler ve araçlar geliştirdik. Sunulan hizmetler hakkında daha fazla bilgi için ziyaret edin “GDPR-Temsil Hizmetleri”:

• GDPR Temsili:

AB GDPR Temsil Programına abone olarak, Prighter'ı AB GDPR Temsilciniz olarak atarsınız. Nitelikli avukatlar ve gizlilik uzmanlarından oluşan ekibimiz, veri konularından ve veri koruma denetleme otoritelerinden (SA) gelen taleplerle başa çıkmak için ilk savunma hattınız olacaktır.

• Güven Kazanın:

Markanız için özelleştirebileceğiniz bir Uyumluluk İkinci Sayfası sağlıyoruz, gizlilik ve güvenlikle ilgili sertifikalarınızı, gizlilik ve çerez politikalarınızı gösterebilir ve müşteri güvenini artırmanıza yardımcı olacak olan gizlilikle ilgili konuların dünyasına bir pencere açar. Uyumluluk İkinci Sayfa ayrıca, gizlilikle ilgili talepler için bir erişim noktası olarak hizmet verir ve ardından GDPR Gizlilik Yazılım araçlarınızla kolayca yönetebileceğiniz bir nokta olur.

• GDPR Gizlilik Yazılım Araçları:

Mevcut veya potansiyel müşterilerden gelen herhangi bir veri konusu talebinin (DSR) yaşam döngüsünü yönetmek için benzersiz ve uzmanlaşmış bir araç geliştirdik. Bu, size zaman, iç kaynaklar ve para kazandırır ve uyumluluk riskinizi önemli ölçüde azaltır. Denetim otoriteleri söz konusu olduğunda, tüm standart taleplerini (örneğin, işleme faaliyetlerine ilişkin kayıtların sunulmasına ilişkin talepler) kapsarız. Ayrıca, verilerinizin tehlikeye girdiği herhangi bir kritik durumda size hizmetlerimize erişim sağlayan bir veri ihlali aracı sunuyoruz.

Bu, yeniliğimizin devreye girdiği yerdir. Veri Konusu Talebi (VKI) yönetim aracını müşteri ve otoritelerden gelen tüm gizlilik taleplerini kanalize etmek, yapılandırmak ve filtrelemek için oluşturduk. Milyonlarca veri konusundan gelen talepleri kendi özgün yapay zeka teknolojimizin yardımıyla tek bir araçta işleyebilirsiniz. VKI'lerin resmi işlemlerinin tüm yönlerini kapsar ve destekleriz, veri konularıyla iletişim dahil. Veritabanınızda gerçekten ne yapılması gerektiği (örneğin, bir veri konusunu silmek), her zaman sizin kendi kararınızdır. VKI aracı, bir veri konusu talebinin yaşam döngüsünü yönetmek üzere tasarlanmıştır, tüm resmi yönleri doğru bir şekilde yönetmek ve size bir danışma çerçevesi sunmak için. Bu araç hakkında daha fazla bilgiyi burada bulabilirsiniz: PrighterDSR'ı ziyaret edin 

Veri koruma yetkilisi (DPO) atamanız gerekiyorsa şirketiniz aşağıdaki üç kriterden birini karşılıyorsa zorunlusunuz:

• işlem kamu otoritesi veya kuruluşu tarafından gerçekleştiriliyorsa (mahkemelerin yargısal kapasiteleri dışında);
• şirketinizin temel faaliyetleri, doğaları, kapsamları ve/veya amaçları gereği veri konularının büyük ölçekte düzenli ve sistemli olarak izlenmesini gerektiriyorsa; veya
• şirketinizin temel faaliyetleri, 9. Madde'ye göre özel veri kategorilerinin ve 10. Madde'de belirtilen suçlar ve suçlarla ilgili kişisel verilerin büyük ölçekte işlenmesinden oluşuyorsa.

Kriterlerin nasıl yorumlandığı hakkında daha fazla bilgi, Veri Koruma Yetkilileri hakkında 29. Madde Çalışma Grubu Rehberinde belirtilmiştir. Bir DPO atama gereksinimlerine kıyasla, bir GDPR temsilcisi, AB veri konularına mal ve hizmet sunma veya izleme durumunda gereklidir. Kısacası, bir DPO gereksiniminin kriterleri, belirli işlemlerle ilişkili daha yüksek bir riski yansıtırken, AB GDPR temsilcisi gereksinimleri, şirketinizin AB'deki bireylerin kişisel verilerini işlemesi fark edildiğinde tetiklenir.. In comparison to the requirements for appointing a DPO, a GDPR representative is needed in case of offering goods and services or monitoring EU data subjects. In a nutshell, the criteria for the requirement of a DPO reflect a higher risk involved with certain processing activities, whereas the requirements for an EU GDPR representative are triggered when your company’s processing of personal data of individuals located in the EU is noticeable.

Bir Veri Koruma Görevlisi (DPO), bir şirketteki kişisel verilerin korunmasıyla ilgili tüm konulara dahil olmalıdır. Bir DPO'nun rolü ayrıca şirketin GDPR uyumluluğunu izlemek, veri koruma etki değerlendirmelerine yardımcı olmak ve yönetimi gizlilikle ilgili tasarım ve gizlilikle ilgili varsayılan konularında ve diğer tüm gizlilikle ilgili konularda danışmanlık yapmaktır. Bu nedenle, bir DPO'nun şirkete yakın olması ve günlük işlere dahil olması gerekir. Mümkün olduğunda, DPO'nun şirketin merkezinin bulunduğu bölgede bulunması gerekmektedir. Buna karşılık, AB GDPR Temsilcisi, AB'de bir kuruluşun olmaması nedeniyle şirketi temsil ederken doğal olarak uzakta faaliyet göstermektedir. Temsilci, bu nedenle bir yan kuruluş, şube veya diğer kuruluş için bir yerine geçmedir.

Hayır, DPO ve GDPR temsilcisinin rolleri arasında çıkar çatışması vardır. EDPB,Yönergeler 03/2018 hakkında yaptığı açıklamada, yaptırım süreçlerinde çıkar ve yükümlülükler arasında olası bir çatışma olduğunu belirtmektedir. EDPB, bir temsilcinin rolünü, özellikle bir şirket için aynı zamanda veri işleyicisi rolüyle uyumlu bulmamaktadır, özellikle DPO'nun ve temsilcinin ilgili sorumluluklarına ve uyumluluğuna gelindiğinde.

Onboarding süreci basittir ve birkaç dakika içinde tamamlanabilir.

1. Şirketinize risk almadan tamamen ücretsiz 14 günlük deneme süresi veriyoruz.
2. Bir plan seçin. Mevcut planlar şirketinizin büyüklüğüne bağlıdır. Şirketin büyüklüğü, Eurostat kategorilerine göre tanımlanır ve çalışan sayısına göre ölçülür. Bu tanımda 'çalışanlar', yarı zamanlı çalışanlar ve serbest çalışanları içerir.
3. Şirketinizin detaylarını girin.
4. Kayıt olduktan sonra, Vekaletnameyi indirin. Vekaletname, denetim otoritelerinden gelen talepler durumunda Prighter'ın temsilciniz olarak atandığını kanıtlayan bir belgedir. Lütfen Vekaletnamenizi imzalayıp yüklemenizi rica ediyoruz.
5. Ekibimiz, şirketiniz ve Vekaletname hakkında sağlanan bilgileri kontrol edecek ve doğrulayacaktır. Bu genellikle birkaç saat içinde yapılır.
6. Vekaletname onaylandıktan sonra, şirketiniz Prighter'ı AB'nin tamamı için Art. 27 GDPR temsilciniz olarak başarılı bir şekilde atamış olur. Müşteri alanınıza giriş yapabilir ve ana sayfanıza ve gizlilik politikanıza nelerin dahil edilebileceği hakkında şablonlar ve bilgiler bulabilirsiniz.
7. Risk almadan 14 günlük deneme süreniz şimdi başlıyor.

Bir Veri Koruma Yetkilisi atanmasının aksine, temsilcinin bildirilmesine gerek yoktur. Bir veri koruma otoritesi bir şirket hakkında bir soruşturma yaparsa, gerekli bilgileri şirketin gizlilik politikasından alırlar. Ancak, Prighter'ı NIS temsilciniz olarak atadığınızı ilgili otoriteye bildirmeniz gerekeceğini lütfen unutmayın.

Her ayrı varlık, 27. Madde GDPR'ye göre temsil gerektirir. Bununla birlikte, Prighter grubunuzun temsilini yönetmek için grup paketine kaydolma seçeneği sunar. Bu seçenek, her bir bağlı kuruluşunuz için alt hesaplarla bir ana hesap aracılığıyla temsilin yönetilmesini sağlar. Grubun veri koruma yönetimi için merkezi bir nokta seçmeniz ve hem ana hesabı hem de alt hesapları tek merkezi bir oturum açma ile yönetmeniz gerekecektir. Kapsanan bağlı kuruluş sayısı, kaydolduğunuz pakete bağlıdır. "Küçük işletme" paketi, iki bağlı kuruluşu içerir, "orta ölçekli işletme" paketi en fazla beş bağlı kuruluşu içerir ve "büyük işletme" paketi sınırsız sayıda bağlı kuruluşu içerir. Dahil edilen tüm grup varlıklarının aynı endüstride faaliyet göstermesi, aynı ürün yelpazesini sunması ve aynı veya bağlantılı bir markaya sahip olması gerekmektedir.

Abonelik fiyatlandırması, resmi Eurostat kategorilerine göre şirketinizin büyüklüğüne ve kapsanacak varlık sayısına göre belirlenmektedir ve aylık 39 €'dan başlamaktadır. Tüm aboneliklerde 14 günlük deneme süresi sunuyoruz, böylece abone olmadan önce hizmetimizi tanıyabilirsiniz. Fiyatlandırmamız şeffaftır ve veri konularından talep başına ücret almadığımız için gizli maliyetler yoktur. Aylık, üç aylık veya yıllık ödemeler arasından seçim yapabilirsiniz. Şirketiniz üç aylık ödemeler için bir indirim alır ve yıllık ödemeler seçeneği için daha yüksek bir indirim alır. Ayrıca, kredi kartı veya banka havalesi ile ödeme yapma seçeneği arasından seçim yapabilirsiniz. Neredeyse tüm kredi kartlarını kabul ediyoruz. Banka havaleleri yıllık ödemeler için EUR, USD ve GBP olarak kabul edilmektedir. Lütfen başka sorularınız varsa destek ekibimizle iletişime geçin.