25 May\u0131s 2018 itibari ile yürürlü\u011fe giren GDPR, ki\u015fisel verilere ve bunlar\u0131n korunmas\u0131na yönelik bak\u0131\u015f\u0131 de\u011fi\u015ftirmi\u015f ve uygulayaca\u011f\u0131 yüksek tazminat oranlar\u0131 ile gündeme gelmi\u015ftir. GDPR uygulama alan\u0131 olarak AB'de kurulmu\u015f \u015firketleri etkiler gibi gözükse de baz\u0131 durumlarda \u015firketlerin nerede kurulmu\u015f oldu\u011fu önem ta\u015f\u0131mamaktad\u0131r. AB ile ili\u015fkisi olmayan \u015firketler her ne kadar kendilerini güvenli ve GDPR'\u0131n dokunamayaca\u011f\u0131 bir konumda sansalar da ba\u015fta Amerika olmak üzere GDPR birçok \u015firketi etkilemeye ba\u015flam\u0131\u015ft\u0131r.<\/p>\n
GDPR'\u0131n uygulama alan\u0131 nas\u0131ld\u0131r?<\/strong><\/p>\n 1) Bir ki\u015fisel verinin i\u015flenmesi AB'de kurulmu\u015f bir kurulu\u015f taraf\u0131ndan gerçekle\u015ftiriliyor ise verinin i\u015flendi\u011fi yer fark etmeksizin i\u015flem GDPR'a tabi olacakt\u0131r.(GDPR madde 3\/1)<\/em><\/p>\n GDPR'a göre AB'de kurulmu\u015f bir \u015firketin kapsama girmesi için gerçek ve etkili bir biçimde AB'de faaliyet gösteriyor olmas\u0131 gerekmektedir. Kurulan \u015firketin bir \u015fube veya bayi olmas\u0131 fark etmez, bu yerde bir yetkilinin bulunmas\u0131 bile GDPR aç\u0131s\u0131ndan yeterli olabilmektedir. Veri korumaya yönelik olan eski kanun "Directive 95\/46" AB üye ülkelerinden bir di\u011ferinde banka hesab\u0131 olan AB \u015firketlerinin o ülkede bir kurulu\u015fu oldu\u011funu bile kabul etmektedir. Dolay\u0131\u015f\u0131 ile Weltimmo 'da bulunan Avrupa Adalet Mahkemesi "minimum bir kurulu\u015fun" bile GDPR kapsam\u0131 aç\u0131s\u0131ndan yeterli oldu\u011funu öngörmekte ancak bu "minimum kurulu\u015f" konusunda yeterli bir aç\u0131kl\u0131k bulunmamaktad\u0131r.<\/p>\n Bu durum kapsam\u0131nda ki\u015fisel veri i\u015flemelerinin AB'de gerçekle\u015fmesi gerekmemektedir. AB'de bulunan bir \u015firket AB d\u0131\u015f\u0131nda veri i\u015flese de GDPR'a uymak zorundad\u0131r.<\/p>\n 2) AB ülkesinde bulunan vatanda\u015flar\u0131n ki\u015fisel verileri AB'de ürün veya hizmet sunma nedeni ile i\u015fleniyorsa(verinin i\u015flenmesini gerçekle\u015ftirecek \u015firketin AB'de olmas\u0131na gerekmez) veya AB içerisinde bu vatanda\u015flar\u0131n davran\u0131\u015flar\u0131 ve hareketleri izleniyorsa i\u015flem GDPR'a tabi olacakt\u0131r.(GDPR madde 3\/2)<\/em><\/p>\n S\u0131n\u0131r d\u0131\u015f\u0131 etki ko\u015fulu belki de GDPR'\u0131n getirdi\u011fi en yeni bak\u0131\u015f aç\u0131klar\u0131ndan biri olabilir; çünkü kanun AB s\u0131n\u0131rlar\u0131 d\u0131\u015f\u0131ndaki veri i\u015flemelerine de kar\u0131\u015fabilmenin önünü açmaktad\u0131r, burada art\u0131k veriyi i\u015fleyenin nerede oldu\u011fu önemli de\u011fildir. Veri sahibi odakl\u0131 dü\u015fünülmektedir ve verisi i\u015flenecek ki\u015finin nerede oldu\u011fu ve ona nerelerde hizmet veya ürün sunulaca\u011f\u0131 önem ta\u015f\u0131maya ba\u015flam\u0131\u015ft\u0131r.<\/p>\n Ba\u015ftan itibaren AB ki\u015filerini hedeflemek ko\u015fulu<\/strong><\/p>\n GDPR ürün ve hizmet "sunulmas\u0131na" odaklanmaktad\u0131r, bu sunum sonucu faaliyete geçilip geçilmedi\u011fi önem ta\u015f\u0131maz. Dolay\u0131s\u0131 ile sadece Amerikan vatanda\u015flar\u0131na yönelik sunulan ürün ve hizmetler GDPR kapsam\u0131na dahil edilmeyecektir. Örne\u011fin Amerikal\u0131lara, Amerikan dolar\u0131 üzerinden sunulan yerel bir reklam GDPR'a tabi olmayacakt\u0131r. Burada dikkate al\u0131nmas\u0131 gereken husus piyasan\u0131n, pazar yerinin neresi oldu\u011fudur. E\u011fer Amerika'da ya\u015fayan bir ki\u015fi yerel bir bankadan borç al\u0131rsa bu borç tabi ki de GDPR kapsam\u0131na girmeyecektir çünkü burada pazar yeri Amerika'dad\u0131r, AB 'de de\u011fil.<\/p>\n Biraz daha karma\u015f\u0131k bir senaryoda: Amerika'da yerle\u015fik bir sat\u0131c\u0131, Amerika'da bulunan bir \u015firket ad\u0131na veri bar\u0131nd\u0131rma hizmeti verirse ve buradaki veriler ço\u011funlukla AB veri \u015fah\u0131slar\u0131na ili\u015fkin ki\u015fisel veriler olursa durum ne olacakt\u0131r? GDPR madde 3\/2, AB veri ki\u015filerine yönelik sunulan servisten bahsetmektedir, bu senaryoda AB ki\u015fileri hedeflenip herhangi bir servis sunarak sat\u0131\u015flar\u0131 artt\u0131rma, vb. gibi bir amaç görülemedi\u011finden dolay\u0131 GDPR uygulanmayacakt\u0131r.<\/p>\n Amerikal\u0131 \u015firketlerin hizmet sözle\u015fmelerinden sonra GDPR'a yakalanabilmesi<\/strong><\/p>\n Amerikal\u0131 A \u015firketi (veri i\u015fleyen\/processor) olarak ba\u015fka bir Amerikal\u0131 \u015firket olan B \u015firketine (veri kontrolörü\/controller) veri bar\u0131nd\u0131rma hizmeti sunmaktad\u0131r. \u0130lk bak\u0131\u015fta bu i\u015flem GDPR kapsam\u0131na girmemektedir. Ancak e\u011fer B \u015firketi bir grup \u015firket olarak, kendi grubundaki di\u011fer tüzel ki\u015filer ad\u0131na bu i\u015flemleri yap\u0131yorsa ve ki\u015fisel veri bu grup tüzel ki\u015fileri üzerinden A \u015firketine transfer ediliyorsa bu durumda bu i\u015flem GDPR kapsam\u0131na girebilecektir. Grup tüzel ki\u015filerinden herhangi birinin \u015firketi AB'de bulunuyorsa GDPR madde 3 devreye girmektedir. Dolay\u0131s\u0131 ile Amerikal\u0131 \u015firketler grup tüzel ki\u015filerin dahil oldu\u011fu hizmet anla\u015fmalar\u0131 imzalarken daha dikkatli olmal\u0131d\u0131r. Anla\u015fma dikkatlice incelendikten sonra Amerikal\u0131 veri i\u015fleyenin hizmet sözle\u015fmesine AB grup üyesi \u015firketin dahil oldu\u011fu görülürse GDPR'\u0131n uygulanmas\u0131 gerekecektir. Bu ihtimalde AB grup üyesi \u015firket di\u011fer grup üyeleri ile birlikte veri kontrolörü olarak kabul edilecek ve dolay\u0131s\u0131 ile hizmet sözle\u015fmesi as\u0131l taraflar Amerikal\u0131 olsa da GDPR'a tabi olacakt\u0131r.<\/p>\n Amerikal\u0131 veri i\u015fleyenlere yap\u0131lan s\u0131n\u0131r d\u0131\u015f\u0131 uygulama <\/strong><\/p>\n GDPR'daki s\u0131n\u0131r d\u0131\u015f\u0131 uygulama ko\u015fullar\u0131 veri i\u015fleyenleri nas\u0131l etkileyecektir? Baz\u0131 ihtimallerde deniza\u015f\u0131r\u0131 veri i\u015fleyenler de kapsama girebilmektedir. Örne\u011fin AB'de hizmet veren Amerikal\u0131 \u015firketin vermi\u015f oldu\u011fu bir bulut bili\u015fim servisi tabi ki de GDPR kapsam\u0131nda de\u011ferlendirilecektir. Ancak genellikle deniza\u015f\u0131r\u0131 veri i\u015fleyen sadece veri kontrolörünün talimatlar\u0131 ile hareket etmekte ve dolay\u0131s\u0131 ile AB 'deki ki\u015filer ile kendi istemine göre ilgilenmemektedir. Tabi ki bu durum yine de GDPR'\u0131n etki etmeyece\u011fi anlam\u0131na gelmemektedir. Veri i\u015fleyen; kendisi veya alt veri i\u015fleyenlerinin\/sub-processor AB'de olmas\u0131 ile GDPR'a yakalanacakt\u0131r. Veri i\u015fleyen ki\u015fisel veriyi veri kontrolörü veya i\u015fleyeninin AB'deki faaliyetleri ba\u011flam\u0131nda i\u015flemektedir. Bir ba\u015fka deyi\u015fle AB'deki herhangi bir kurum ile ilgili hizmet ko\u015fullar\u0131 deniza\u015f\u0131r\u0131 veri i\u015fleyeni GDPR kapsam\u0131nda etkileyecektir.<\/p>\n Bu ilerleyen örnek ise bir deniza\u015f\u0131r\u0131 veri i\u015fleyeninin sadece AB'nin d\u0131\u015f\u0131ndaki kurumlarla i\u015f yapmas\u0131na ra\u011fmen nas\u0131l GDPR'a yakalanabilece\u011fini göstermektedir: C \u015firketi veri kontrolörü veya i\u015fleyenine hizmet sa\u011flamaktad\u0131r, bu hizmet AB'deki ki\u015filere hizmet veya ürün sunulmas\u0131 veya bu ki\u015filerin izlenmesini içermektedir. Bu durumda C \u015firketi GDPR'a uyumlu olmak zorundad\u0131r.<\/p>\n Amerikan \u015firketlerine yönelik baz\u0131 tavsiyeler<\/strong><\/p>\n GDPR'\u0131n kendileri için uygulama alan\u0131 bulamamas\u0131n\u0131 sa\u011flama almak isteyen \u015firketlerin AB'deki kullan\u0131c\u0131lara ürün veya hizmet sunduklar\u0131 izlenimini yok etmeleri gerekmektedir. Bu \u015fu \u015fekillerde sa\u011flanabilir:<\/p>\n – \u015eirket kendi internet adresinden AB üye ülkelerine ait olan alan ad\u0131n\u0131(domain name) kullan\u0131yorsa ç\u0131karmal\u0131d\u0131r, örne\u011fin : "de","fr", vb.<\/p>\n – Pazarlama araçlar\u0131 veya internet sitelerinde AB kullan\u0131c\u0131lar\u0131na servis sunmamal\u0131d\u0131r.<\/p>\n – Bütün AB ülkelerinin ismini internet sitesi adres alan\u0131ndan veya benzeri aç\u0131lan menülerden ç\u0131karmal\u0131d\u0131r.<\/p>\n -AB üye ülkelerinin dillerini kullanmamal\u0131d\u0131r.<\/p>\n – AB ülkelerindeki ki\u015filerden pazarlama amac\u0131 ile bahsetmemelidir, ör: bu ürünü kullanan alman tüketicilerin ne kadar memnun kald\u0131\u011f\u0131, vb.<\/p>\n – AB internet a\u011f\u0131ndan ba\u011flanan kullan\u0131c\u0131lar\u0131n hizmet al\u0131m\u0131 için üye olmalar\u0131na izin vermemelidir.<\/p>\n – AB'ye yük göndermemeli veya avro ile ödeme almamal\u0131d\u0131r.<\/p>\n – \u015eirketin internet sitesinde AB'deki kullan\u0131c\u0131lara hiçbir \u015fekilde ürün veya hizmet sunulmad\u0131\u011f\u0131n\u0131 belirtmelidir.<\/p>\n – AB kullan\u0131c\u0131lar\u0131\/tüketicileri ile direkt bir sözle\u015fmesel ili\u015fkiye girmemelidir.<\/p>\n Sonuç<\/strong><\/p>\n <\/p>\n GDPR madde 3, özellikle AB'de i\u015f yapmak isteyen ama AB'de olmayan \u015firketlere ciddi tuzaklar haz\u0131rlam\u0131\u015ft\u0131r. Özellikle bu s\u0131n\u0131r d\u0131\u015f\u0131 uygulama ko\u015fullar\u0131n\u0131n devreye girdi\u011fi zamanlarda veri i\u015fleyen ve veri kontrolörü Amerika'da olsalar bile bir temsilci atamalar\u0131 gerekecektir(GDPR madde 27). Bu temsilcinin ilgili AB kullan\u0131c\u0131lar\u0131n\u0131n ya\u015fad\u0131\u011f\u0131 AB ülkesinde konumlanmas\u0131 gerekecektir. Bu durum birçok Amerikal\u0131 \u015firket için zahmetli bir süreç do\u011furacak; çünkü temsilci GDPR ihlallerindeki sorumlulu\u011fu üstlenmek zorundad\u0131r. Daha da önemlisi temsilci, veri koruma otoritelerinin verece\u011fi tazminatlar\u0131n yarataca\u011f\u0131 sonuçlara da katlanmal\u0131d\u0131r. Bu tazminatlar 20 milyon avroya veya \u015firketin y\u0131ll\u0131k %4'luk cirosundan hangisi daha yüksekse ona göre verilebilmektedir. Sonuç olarak \u015fu an için GDPR'dan kurtulmak için belli yöntemler uygulayabilecek Amerikal\u0131 \u015firketlerin eninde sonunda GDPR'a yakalanabilecekleri ihtimalleri ile \u015fimdiden herkesin girmeye ba\u015flad\u0131\u011f\u0131 uyum sürecine haz\u0131r olmalar\u0131 gerekmektedir.<\/p>\n","protected":false},"excerpt":{"rendered":" 25 May\u0131s 2018 itibari ile y\u00fcr\u00fcrl\u00fc\u011fe giren GDPR, ki\u015fisel verilere ve bunlar\u0131n korunmas\u0131na y\u00f6nelik bak\u0131\u015f\u0131 de\u011fi\u015ftirmi\u015f ve uygulayaca\u011f\u0131 y\u00fcksek tazminat oranlar\u0131 ile g\u00fcndeme gelmi\u015ftir.<\/p>\n","protected":false},"author":1,"featured_media":4604,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1163","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kisisel-veri","masonry-post","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/posts\/1163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/comments?post=1163"}],"version-history":[{"count":0,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/posts\/1163\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/media?parent=1163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/categories?post=1163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/herdemlaw.com\/en-us\/wp-json\/wp\/v2\/tags?post=1163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}