Hukuk Güncesi

Türkiye’den Avrupa Birliği Ülkelerine Bulut (Cloud) Hizmeti Satanlara GDPR Hükümleri Doğrudan Uygulanabilir Mi?

Türkiye’den AB Ülkelerindeki Müşterilere Bulut (Cloud) Hizmeti Vermek

GDPR’ın AB ülkelerinde doğrudan uygulanabiliyor olması AB dışında faaliyet gösteren veri işleyicileri/sorumluları bakımından bağlayıcı olmadığı anlamına gelmemektedir.

GDPR, Direktif şeklinde değil bir Tüzük şeklinde düzenlenmiş olduğundan üye ülkelerde doğrudan uygulanmakta, herhangi bir iç hukuk düzenlemesi yapılmasını gerektirmemektedir. Nitekim Tüzüğün 99. maddesinde de Tüzüğün tüm ülkelerde doğrudan uygulanacağı belirtilmiştir.

Hizmetin nerede verildiğine bakılmaksızın AB vatandaşlarına ve GDPR’nin uygulama alanındaki herkese ilişkin verilerin hukuki güvencesi GDPR ile sağlanmıştır. Tüzüğün 3. Maddesi aşağıdaki şekilde düzenlenmiş olup Türkiye’deki şirketler de Birlik içindeki veri sahiplerine veri işleme hizmeti vermesi halinde GDPR’a tabi olacaktır.

Madde 3

2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:

Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

GDPR’a Tabi Veri İşleyenler İçin Tüzük ile Birtakım Ek Yükümlülükler ve Düzenlemeler Getirilmiştir.

Direktifte ve 6698 sayılı yasada kişisel verilerin hukuka uygun olarak işlenmesinden veri sorumlusu sorumludur. Ancak GDPR ile getirilen düzenleme kapsamında, bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulmaktadır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından da bağlayıcı olduğu görülmektedir.

GDPR veri işleyenlerin sorumlulukları konusunda oldukça detaylı hükümler içermektedir. i) Veri İşleyen’in Birlik İçinde Temsilci Ataması Yükümlülüğü,  ii) Veri İşleyen’in Veri kontrolörünün önceden verdiği spesifik veya genel yazılı onay olmaksızın başka bir veri işleyen ile çalışamaması, alt taşeron kullanamaması iii) Veri İşleyen ile Veri Kontrolörü arasında işleme faaliyetinin konusu, süresi, işleme faaliyetinin mahiyeti ve amacı, kişisel verilerin türü ve veri sahiplerinin kategorileri ile kontrolörün yükümlülükleri ve haklarının ortaya konduğu bir sözleşme düzenlenmesi ve Sözleşmede Tüzükte belirtilen hükümlerin yer alması iv) Veri işleyen’in, tüm kategorilerdeki işleme faaliyetlerine ilişkin olarak elektronik format da dahil olmak üzere veri işleme kategorileri, üçüncü ülke aktarımı söz konusu ise uygun güvencelerin sağlandığının belgelendirilmesi, yazılı olarak belirli kayıtları tutması ve talep üzerine, kayıtları denetim makamına sağlaması yükümlülüğü v) Veri İşleyen’in, son teknoloji, uygulama maliyetleri ve işleme faaliyetinin mahiyeti, kapsamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlama yükümlülüğü olmak üzere, Veri İşleyen Tüzükte belirtilen uygun teknik ve idari tedbirleri uygulayacaktır.

Üçüncü Ülkeler veya Uluslararası Kuruluşlara Veri Aktarımları Hangi Koşulların Gerçekleşmesi ile Sağlanabilir?

Üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel verilerin aktarılması, Tüzükte belirtilen aşağıdaki koşullardan birinin sağlanması halinde gerçekleşir.

Bir yeterlilik kararına dayalı olarak yapılan aktarımlar : Komisyon spesifik bir ülke ya da kuruluş için yeterli koruma sağlandığına karar verir ise (bu karar 4 yılda bir gözden geçirilir) bu ülkeye ya da bölgeye daha sonraki aktarım için onay almaya gerek bulunmamaktadır.

Uygun güvencelere tabi olarak yapılan aktarımlar : Yeterlilik kararı olmamasına rağmen Veri İşleyen’in uygun güvenceler sağlamış olması halinde ve veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarılabilir. Uygun güvencelerin neler olabileceği Tüzükte açıklanmıştır.

Spesifik durumlara yönelik istisnalar : Yeterlilik kararı ve uygun güvenceler olmaması durumunda, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması açık rıza da (rızanın alınırken yeterli koruma olmayan ülkeye aktarım konusunda bilgilendirilmiş olması gerekmektedir) dahil olmak üzere Tüzükte sayılan istisnaların gerçekleşmesi halinde mümkün olacaktır.  

İdari Para Cezalarının Yanında Kişisel Verilerin İhlali Halinde Şikayet ve Tazminat Hakkı  

Kişisel verilerinin Tüzük’e aykırı bir şekilde işlenmesi veya tüzük kapsamında veri sahibinin haklarının ihlal edilmesi halinde Kurul 20.000.000-Euroya varan idari para cezası verebilmektedir. Bunun yanında Veri Sahibi Veri Kontrolüne veya Veri İşleyene bulunduğu üye devlet mahkemesinde veya Veri sahibinin mutad meskeninin bulunduğu ülkenin mahkemelerinde dava açabilir ve maddi veya manevi zararının giderilmesini veri kontrolörü veya Veri işleyenden talep edebilir.

Av. Nazan Şenol Dokudan

Görsel: Business vector created by freepik - www.freepik.com