Posted on

Brexit Sonrasında Birleşik Krallık ‘Genel Veri Koruma Düzenlemeleri’*

Genel Veri Koruma Düzenlemeleri (General Data Protection Regulation-GDPR), bireylere ve onların kişisel verilerine haklar vermektedir. Bu da kuruluşların düzenleyici bir yük taşıdığı ve elinde bulundurdukları kişisel verilerin korunmasını sağlamak için yükümlülük ve sorumlulukları olduğu anlamına gelir.

Bireylere, verilerin nasıl ve neden tutulduğu konusunda daha şeffaf bilgi verilerek, verileri üzerindeki hakları bildirilmelidir. Ayrıca, kuruluşun bu verileri korumak için yeterli güvenliğe sahip olduğundan emin olunmalıdır.

Kuruluşlar ayrıca, söz konusu kişisel verilerin güvenliğine ilişkin herhangi bir ihlalin nasıl belirleneceği, değerlendirileceği ve bunlarla nasıl başa çıkılacağına ilişkin bir sürece sahip olmalı ve bunu sürdürmelidir.

Ocak 2020’den 1 Ocak 2020 [ki İngiltere’nin Avrupa Birliği’nden (AB) çıkış günüdür] tarihine kadar olan Brexit geçiş döneminde, GDPR, Mayıs 2018’de uygulanmasından bu yana olduğu gibi Birleşik Krallık kuruluşlarına da uygulanmıştır.

Diğer birçok AB yasasında olduğu gibi, GDPR’nin ilkeleri, şu anda Birleşik Krallık GDPR olarak da bilinen yasaya aktarılmıştır. Brexit Günü’nden itibaren, AB GDPR, İngiltere’deki kişisel verilere uygulanmayı bırakmış olup; İngiltere merkezli kuruluşlar tarafından işlenen AB kişisel verileri için geçerli olmaya devam etmektedir.

Bir AB/AEA Üye Devletinden kişisel verileri işleyen Birleşik Krallık kuruluşları, AB GDPR ilkelerine, Birleşik Krallık GDPR’sine ve 2018 Veri Koruma Yasası’na (Data Protection Act 2018) uymak zorundadır. Birleşik Krallık kişisel verilerini işleyen AB merkezli kuruluşlar da, hem Birleşik Krallık GDPR hem de AB GDPR’ye uymalıdırlar.

Diğer yandan, AB başka bir ülkeye Yeterlilik verirse, bu, kapsamlı araştırma ve değerlendirmenin ardından AB Komisyonunun belirli bir ülkenin veri koruma yasalarının ‘yeterli’ (adequate) olduğuna karar verdiği anlamına gelir. Bu nedenle, bir AB Devletine ve bir AB Devletinden kişisel veri gönderirken ek güvenlik önlemleri gerekli değildir. Yeterlilik (Adequacy) İngiltere’ye Haziran 2021’de verildi. Ancak, AB, Birleşik Krallık yasalarının, kendisini AB GDPR’den çok uzaklaştıran veri koruma ve gizlilik yasalarını yürürlüğe koyduğunu algılarsa bu Yeterliği geri çekilebilir.

Bilgi Komisyonu Ofisi (Information Commissioner’s Office-ICO), artık tüm Birleşik Krallık şirketleri için veri koruma konularına ilişkin Baş Denetim Otoritesi (Lead Supervisory Authority-LSA) değildir. Brexit’ten önce, bir şirket bir veri ihlali yaşarsa, ICO kontrolü ele alır ve şirketin diğer AB/AEB (European Economic Area/Avrupa Ekonomik Bölgesi) Üye Devletlerindeki denetleme makamlarıyla iletişime geçmesine gerek kalmazdı. AB/AEB veri öznelerinden gelen verileri işleyen ve bir AB/AEB Üye Devletinde bir ofisi veya başka bir üssü olmayan işletmeler bir temsilci atamalıdır.

GDPR kişisel temsilci gereksinimi, aşağıdakileri yapan kuruluşlar için geçerlidir:

  • AB’de ürün veya hizmet sağlar veya
  • AEB’de bulunan bireylerin davranışlarını izler.

Bir GDPR temsilcisi, bir şahıs veya şirket (bir avukat veya GDPR danışmanı gibi) olabilir. Kuruluşun bazı veri konularının bulunduğu bir Üye Devlette yerleşik olmalıdırlar. Randevu, ayrıntılı ilişki ile yazılı olarak yapılmalıdır:

  • Temsilci, kuruluşun kişisel verilerini işlediği bazı kişilerin bulunduğu bir AB veya AEA eyaletinde kurulmalıdır.
  • Atanan temsilci (birey veya şirket), herhangi bir AB vatandaşından veya herhangi bir veri koruma denetleme makamından veri korumasına ilişkin tüm soru ve endişeler için ana irtibat kişisi olmalıdır.
  • Temsilci, onlarla olan ilişkinin şartlarını belirleyen yazılı bir hizmet sözleşmesi aracılığıyla yetkilendirilmelidir.
  • AB GDPR uyumluluğu konularında kişinin adına hareket etmesi ve bu bağlamda herhangi bir denetim makamı veya veri sahibi ile ilgilenmesi için bir temsilci ataması gerekir.
  • Etkilenen AEB’de bulunan bireyleri bilgilendirmeli ve onlara temsilcinin ayrıntıları vermelidir. Bu, gizlilik bildirimine veya verileri toplandığında bireylere sağlanan ön bilgilerdeki bilgilere yer vererek yapılabilir.
  • Bu bilgiler aynı zamanda ilgili denetim makamları tarafından da kolayca erişilebilir olmalıdır (örneğin, web sitesinde ayrıntıları yayınlayarak)

Temsilci, bir şirketin AB’deki uyum yüzü olduğundan, pozisyonu dolduracak uygun kişi veya şirket seçiminde dikkatli olunmalıdır. Hangisinin doğru olduğuna karar verirken, en uygun yargı yetkisi göz önünde bulundurmalıdır.

Her bir AB ülkesinin GDPR süreçlerini yorumlaması ve çeşitli ülkeler arasındaki kültürel farklılıklar göz önüne alındığında, GDPR, müşterilerin bulunduğu bir üye ülkede yalnızca bir temsilcinin atanmasını gerektirir. Bu ekonomik olarak uygunsa, birkaç temsilci atama düşünülebilir.

Bir temsilci atanmadığında ve müşteriye yönelik gizlilik bildiriminde randevunun ayrıntıların sağlandığını varsayalım. Bu durumda 27. madde kapsamındaki görevlerin yerine getirilmediği anlaşılır. Bu, başka yerlerde başka olası uyumsuzluk olayları yaşanabileceğine dair bir uyarıdır. Oysa Madde 27’ye uyulursa ve temsilcinin ayrıntıları verilirse, bu GDPR uyumluluğunun ciddiye alındığını gösterir.

Haziran 2021’de Avrupa Komisyonu, uluslararası veri aktarımlarına izin vermek için güvenlik önlemleri içeren yeni bir Standart Sözleşme Maddeleri (Standard Contractual Clauses-SCCs) setini onaylamış, Birleşik Krallık Hükümeti SCC’leri onaylamamıştır.

Avrupa Birliği’ne veya yeterlilik verilen diğer ülkelere veri aktaran işletmelerin, GDPR’nin 46. Maddesine uymak için maddelerin önceki sürümünü kullanmaya devam etmeleri gerekiyordu. Yaygın istişarenin ardından, ICO, şablon uluslararası veri aktarım anlaşması (international data transfer agreement-IDTA) ve AB’nin SCC’lerine uluslararası veri aktarımı eki şablonunu oluşturdu. Bunlar birlikte yeni AB SCC’lerinin Birleşik Krallık versiyonunu oluşturur. Parlamento onayını takiben, IDTA ve Zeyilname 21 Mart 2022 tarihinde yürürlüğe girmiştir.

GDPR’yi ihlal eden kuruluşlar için (olayın niteliğine bağlı olarak) önemli para cezaları ve diğer cezalar olabilir. İdari ihlaller için, cezalar 8 milyon sterlin veya bir şirketin küresel cirosunun %2’si (hangisi daha yüksekse) olabilir ve daha önemli olaylar için 17 milyon sterlin veya küresel yıllık cironun %4’ü kadar para cezası olabilir. Bir veri ihlali, yalnızca büyük GDPR cezaları riskini içermekle kalmaz, aynı zamanda ICO soruşturmaları altındaki kuruluşlar, yüksek yasal maliyetlerle ve müşterilerden, potansiyel yatırımcılardan ve ticari ortaklardan gelen güven kaybıyla karşı karşıya kalır.

Veri koruma ve gizlilik uyumluluğu önlemleri devam eden taahhütlerdir. Yanlışlıkla bir Birleşik Krallık GDPR ihlali gerçekleştirmenin kesin bir yolu, neredeyse iki yıl önce uygulamaya konulan uyumluluk önlemlerine güvenmektir. İşletmenin, sahip olduğu verileri korumak ve Brexit sonrası şikayette bulunmak için aşağıdaki beş adımı atılabilir:

  1. Hangi uyum adımlarının atılması gerektiğini belirlemek için AB/AEB’ye ve AB’den gelen veri akışlarının haritalandırılması gerekir. Buna karşılık, bir ihlal meydana gelirse veya bir SAR (search and rescue/arama ve kurtarma) yapılırsa, etkilenen/gerekli verileri hızla izole edilebilmeyi sağlamak için Birleşik Krallık içindeki veri akışları düzenli olarak haritalanmalıdır.
  2. AB/AEA merkezli bir temsilci atanmasının gerekip gerekmediği kontrol edilmeli ve gerekirse bir temsilci koyulmalıdır.
  3. Bir AB denetleme makamının işletmenin veri işlemleri için ilgili bir LSA olup olmadığı belirlenmelidir.
  4. Mevcut sözleşmeler ve şablon şartları, ilgili veri aktarımı ifadeleri ve Birleşik Krallık ve AB GDPR’ye uygun referansları içerecek şekilde değiştirilmelidir.
  5. Veri aktarımlarının uyumlu olmasını sağlamak için yeni SCC’ler, IDTA ve SCC Eki uygulanmalıdır.

* Bu yazıda yer alan görüşler yazarına ait olup çalıştığı kurumu bağlamaz, yazarın çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Yazıdaki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler yazarına aittir.

İşbu yazı başlığında aşağıdaki kaynaklara bakılabilir:

  • Everything you need to know about GDPR post-Brexit, Lawbite, 07 October 2022, < https://www.lawbite.co.uk/resources/blog/gdpr-post-brexit > erişim tarihi 13 Ekim 2022 (ana kaynak)
  • General Data Protection Regulation, < https://gdpr-info.eu/ > erişim tarihi 13 Ekim 2022
  • The Data Protection Act, < https://www.gov.uk/data-protection#:~:text=The%20Data%20Protection%20Act%202018%20is%20the%20UK’s%20implementation%20of,used%20fairly%2C%20lawfully%20and%20transparently > erişim tarihi 13 Ekim 2022

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.