AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi

Mayıs 2018 Ecem Süsoy Uygun
% 0

Giriş

2016 yılında Avrupa Birliği (“AB”) Parlamentosu tarafından onaylanan ve yürürlüğe giren Genel Veri Koruma Tüzüğü (“Tüzük”)[1] 25 Mayıs 2018 tarihinden itibaren uygulamaya girdi. Tüzük; kişisel verileri işlenen gerçek kişilerin korunmasına ve kişisel verilerin serbest dolaşımına ilişkin kurallar öngörmektedir. Tüzük ile kişisel verileri işlenen kişilerin (“ilgili kişiler”) mahremiyetinin mutlak bir şekilde korunması ve Avrupa genelinde verilerin korunmasına ilişkin kanunların yeniden düzenlenmesi amaçlanmaktadır. Ayrıca, faaliyetleri Tüzük’ün kapsamına giren uluslararası şirketler ile Türk şirketlerinin de Tüzük’e uyum sağlamakla yükümlü oldukları önemle vurgulanmalıdır.

Tüzük’ün Kapsamı

Maddi Kapsam

Tüzük’ün 2. maddesi uyarınca, Tüzük; kişisel verilerin; (i) AB hukukunun kapsamı dışında kalan bir faaliyet halinde, (ii) AB’ye üye devletlerin (“Üye Devletler”), AB Anlaşması’nın V. Başlığı’nın 2. Bölümü kapsamına giren faaliyetleri gerçekleştirmesi halinde, (iii) bir gerçek kişi tarafından salt kişisel veya ailevi faaliyetler sırasında, (iv) yetkili makamlar tarafından kamu güvenliğine yönelik tehditlerin önlenmesi ve bunların önlenmesi de dahil olmak üzere cezai suçların önlenmesi, soruşturulması, tespit edilmesi veya kovuşturulması ya da cezaların uygulanması amacıyla işlenmesi hallerinde uygulama alanı bulmaz.

Bölgesel Kapsam

Tüzük’ün bölgesel kapsamı oldukça geniştir. Tüzük; işlemenin AB dahilinde gerçekleşip gerçekleşmediğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun veya veri işleyenin AB dahilindeki işletmesinin faaliyetleri çerçevesinde işlenmesi halinde uygulanır. Ayrıca, Tüzük, AB dahilinde bulunan ilgili kişilerin kişisel verilerinin AB dahilinde işletmesi bulunmayan veri sorumlusu veya veri işleyen tarafından işlenmesi halinde, işleme faaliyetlerinin; ücret karşılığında gerçekleşip gerçekleşmediğine bakılmaksızın ilgili kişilere mal veya hizmet sunulmasına veya AB dahilindeki ilgili kişilerin davranışlarının izlenmesine ilişkin olması halinde uygulanır. Böylece, faaliyetleri Tüzük’ün kapsamına giren uluslararası şirketler ile Türk şirketleri Tüzük hükümlerine uyum sağlamakla yükümlüdürler.

Kişisel Verilerin İşlenmesine İlişkin İlkeler

Tüzük, kişisel verilerin nasıl işleneceğine dair ilkeleri ortaya koymaktadır. Tüzük’ün 5. maddesi uyarınca kişisel veriler: (i) hukuka ve hakkaniyete uygun, şeffaf bir şekilde işlenmeli; (ii) belirli, açık ve meşru amaçlarla toplanmalı ve bu amaçlarla bağdaşmayan bir şekilde işlenmemeli; Tüzük’ün 89(1). maddesi uyarınca, kamu yararı amacıyla arşivleme, bilimsel veya tarihsel araştırma amacıyla veya daha fazla istatistiksel amaçla işleme, ilk amaçlarla uyumsuz surette işleme olarak kabul edilmeyecektir; (iii) ilgili olarak yeterli, ilişkili ve işlendiği amaçlarla bağlantılı olarak gerekli olduğu ölçüde işlenmeli; (iv) doğru ve gerektiğinde güncel tutulmalı; hatalı olan kişisel verilerin, işlenecekleri amaçlar dikkate alınarak, gecikmeksizin silinmesini veya düzeltilmesini sağlamak için her türlü makul adım atılmalıdır. Veri sorumlusu, yukarıda belirtilen ilkelere uymakla yükümlü kılınmıştır.

Veri Sorumlusu ve Veri İşleyenler

Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkaları ile birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi veya başkaca bir kamu kuruluşudur. Başka bir deyişle, kişisel verilerin ‘neden’ ve ‘nasıl’ işlendiğini belirleyen kuruluş veri sorumlusu olarak adlandırılır. Veri sorumlusu, işlemenin Tüzük’e uygun şekilde gerçekleştirilmesini sağlamak ve bunu ortaya koyabilmek amacıyla uygun teknik ve organizasyonel önlemleri almakla yükümlüdür.

Veri İşleyen

Veri işleyen, veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, veya başkaca bir kamu kuruluşudur. Veri işleyenler, kişisel verileri yalnızca veri sorumlusunun talimatı üzerine işleyebilirler. Veri işleyen, veri sorumlusunun önceden yazılı izni olmadan başka bir veri işleyen ile etkileşimde bulunup başka bir veri işleyen kullanamaz. Veri işleyenin gerçekleştireceği işlemeler, AB veya Üye Devlet kanunları kapsamında bir sözleşme veya başkaca bir hukuki işleme tabi olmalıdır. Ayrıca, veri işleyen, veri sorumlusu ile birlikte, riskle orantılı bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamakla yükümlüdür. Kişisel veri güvenliğinin ihlali halinde, veri işleyen, ihlalden haberdar olur olmaz gecikmeksizin gerçekleşen ihlali veri sorumlusuna bildirmekle görevlidir.

AB’de Kurulu İşletmesi Olmayan Veri Sorumlularının veya Veri İşleyenlerin Temsilcileri

Tüzük’ün 3(2) maddesinin[2] uygulandığı hallerde, AB"de yerleşik olmayan veri sorumlusu veya veri işleyen, AB"de bir temsilci atamakla yükümlüdür. Atanan temsilcinin işletmesi, kişisel verileri işlenen ilgili kişilerin bulunduğu Üye Devletlerden birinde bulunmalıdır. Örneğin, bir şirket AB"de yer alan ilgili kişilere mal veya hizmetler sunuyorsa veya AB içindeki davranışlarını izliyorsa, Tüzük uyarınca ilgili şirketin AB"de bir temsilci tayin etmesi gerekir.

Uygunluk Kararına Dayanan Aktarımlar

AB dışındaki bir ülkenin veya uluslararası bir kuruluşun, kişisel verilerin aktarımı için yeterli seviyede koruma sağlayıp sağlamadığına ilişkin kararı Avrupa Komisyonu (“Komisyon”) verir. Tüzük’ün 45(3). maddesi uyarınca, Komisyon, koruma seviyesinin yeterliliğini değerlendirdikten sonra, bir uygulama tasarrufu yoluyla, üçüncü bir ülkenin, üçüncü ülkede yer alan bir bölgenin veya ilgili üçüncü ülke içinde bir veya daha fazla belirli sektörün ya da ilgili uluslararası kuruluşun Tüzük’ün 45(2). maddesinin anlamında yeterli seviyede koruma sağladığına karar verir. Yeterli koruma seviyesine sahip olan veya artık yeterli korumayı sağlayamayan üçüncü ülkelerin, üçüncü ülkelerdeki bölgelerin veya sektörlerin ya da uluslararası kuruluşların bir listesi AB Resmi Gazetesi’nde ve aynı zamanda resmi web sitesinde yayınlanır. Komisyon, şimdiye kadar Andorra, Arjantin, Kanada (ticari kuruluşlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Jersey, Yeni Zelanda, İsviçre, Uruguay ve ABD’yi (Gizlilik Kalkanı çerçevesiyle sınırlı) yeterli koruma sağlayan ülkeler olarak belirlemiştir.[3]

Tüzük’ün 45(3). maddesi çerçevesinde bir kararın bulunmaması halinde ve ancak veri sorumlusu veya veri işleyen uygun önlemler aldıysa ve ilgili kişilerin haklarının icra edilebilir olması ve ilgili kişiler için etkin yasal çarelerin bulunması şartıyla veri sorumlusu veya veri işleyen kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarabilir.

Uygulanacak İdari Cezalar

Tüzük’ün ihlal edilmesi halinde ödenmesi gerekecek idari para cezaları hayli yüksek belirlenmiştir. Her bir denetim makamı, Tüzük’ün 83. maddesi kapsamındaki kademeli sistemi dikkate alındığında madde 83’ün 4, 5 ve 6. fıkralarında belirtilen Tüzük’ün ihlali halinde hükmedilecek idari para cezalarının etkin, orantılı ve caydırıcı olmasını gözetmekle yükümlüdür.

Tüzük’ün 83. maddesinin 5. fıkrasında belirtilen belirli ihlaller, 20 milyon Euro"ya kadar çıkabilen ya da bir teşebbüsün varlığı halinde, teşebbüsün bir önceki mali yılda dünya çapındaki toplam yıllık cirosunun % 4"üne kadar idari cezaya tabidir. Böylece, Tüzük’ün 83. maddesinin 5. fıkrasında belirtilen hallerin ihlal edilmesi durumunda en yüksek idari para cezasına hükmedildiğini söylemek mümkündür. Söz konusu haller şunlardır; (i) kişisel verilerin işlenmesine ilişkin prensipler, işlemenin hukuka uygunluğu, rızanın şartları, özel nitelikli kişisel verilerin işlenmesi; (ii) Tüzük’ün 12 ila 22. maddeleri uyarınca kişisel verileri işlenen ilgili kişilerin hakları; (iii) Tüzük’ün 44 ila 49. maddeleri uyarınca kişisel verilerin üçüncü ülkede bulunan bir alıcıya veya uluslararası kuruluşa aktarımları; (iv) Tüzük’ün IX. Bölümü uyarınca Üye Devlet hukukunda öngörülen yükümlülükler; (v) Tüzük’ün 58(2). maddesi uyarınca denetim makamı tarafından işleme faaliyetine geçici veya kesin sınırlama getirilmesi ya da veri akışının askıya alınması kararına aykırı davranılması veya bir emre uyulmaması veya 58(1). maddeye aykırı olarak erişim sağlanmaması hali. Bunun yanı sıra, Tüzük’ün 83. maddesinin 4. fıkrasında düzenlenen diğer ihlal hallerine bağlanan idari para cezası ise 10 milyon Euro’ya kadar çıkabilen ya da bir teşebbüsün varlığı halinde, teşebbüsün bir önceki mali yılda dünya çapındaki toplam yıllık cirosunun % 2’sine kadar varan miktar olarak düzenlemiştir.

Sonuç

Kişisel verileri koruma konusunda önemli değişiklikler getiren ve uzun süredir beklenen Tüzük artık uygulamadadır. Tüzük ile kişisel verileri işlenen ilgili kişilerin mahremiyetinin mutlak bir şekilde korunması ve Avrupa genelinde verilerin korunmasına ilişkin kanunların yeniden düzenlenmesi amaçlanmaktadır. Ayrıca, Tüzük’ün ihlal edilmesi halinde uygulanacak idari para cezalarının son derece yüksek olması veri sorumluları ve veri işleyenlerin Tüzük hükümlerine uyum sağlamalarının önemini gözler önüne serer. Son olarak, önemle belirtmek gerekir ki artık; faaliyetleri Tüzük’ün kapsamına giren uluslararası şirketler ile Türk şirketler Tüzük’e uyum sağlamakla yükümlüdürler.

[1] Tüzük için bkz. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 (Erişim tarihi: 28.05.2018).

[2] Bkz. Tüzük’ün 3(2). maddesi.

[3] Bkz. https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (Erişim tarihi: 01.06.2018).

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Yapay Zekâ Yasası Avrupa Parlamentosu Tarafından Kabul Edildi
Hukuk Postası
Yapay Zekâ Yasası Avrupa Parlamentosu Tarafından Kabul Edildi

Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...

Kişisel Verilerin Korunması 31.07.2023
Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi
Hukuk Postası
Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi

Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...

Kişisel Verilerin Korunması 31.05.2023
ChatGPT: Hak İhlalleri ile Teknolojik Gelişmeler Arasında Gri Alan
Hukuk Postası
ChatGPT: Hak İhlalleri ile Teknolojik Gelişmeler Arasında Gri Alan

ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...

Kişisel Verilerin Korunması 30.04.2023
KVKK ve GDPR Uyarınca Ortak Veri Sorumlusu
Hukuk Postası
KVKK ve GDPR Uyarınca Ortak Veri Sorumlusu

6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...

Kişisel Verilerin Korunması 31.03.2023
AB Finansal Hizmetler Sektörü Aktörleri için Dijital Operasyonel Dayanıklılık Yasası Yürürlüğe Girdi
Hukuk Postası
AB Finansal Hizmetler Sektörü Aktörleri için Dijital Operasyonel Dayanıklılık Yasası Yürürlüğe Girdi

Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...

Kişisel Verilerin Korunması 31.01.2023
Kişisel Verilerin Korunması Kapsamında Akıllı Saatler
Hukuk Postası
Kişisel Verilerin Korunması Kapsamında Akıllı Saatler

Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...

Kişisel Verilerin Korunması 31.01.2023
Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesi
Hukuk Postası
Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesi

Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...

Kişisel Verilerin Korunması 30.11.2022
Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?
Hukuk Postası
Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?

Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...

Kişisel Verilerin Korunması 31.10.2022
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı
Hukuk Postası
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı

Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...

Kişisel Verilerin Korunması 30.09.2022
GDPR ve Toplu Davalar
Hukuk Postası
GDPR ve Toplu Davalar

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...

Kişisel Verilerin Korunması 31.08.2022
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
İlaç Sektöründen Gelen KVK Kılavuzu
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.