GDPR Kimlere Uygulanır?
GDPR, AB'de yerleşik her kuruluşa ve AB dışında olup AB'deki kişilere mal veya hizmet sunan ya da onların davranışlarını izleyen kuruluşlara uygulanır. Soruyu şirketin yeri belirlemez. Belirleyici olan, verinin AB'deki kişilere ait olup olmadığı ve onunla ne yaptığınızdır (m. 3).
GDPR'ın yer bakımından kapsamı nedir?
GDPR'ın iki tetikleyicisi vardır, Madde 3'te düzenlenmiştir. Bunlardan birini karşılamak sizi kapsama sokar.
Birincisi yerleşiklik ölçütüdür. Kişisel veriyi AB'deki bir yerleşim yeri faaliyeti kapsamında işliyorsanız, işleme fiilen başka bir yerde gerçekleşse bile GDPR uygulanır (m. 3(1)). "Yerleşim yeri" istikrarlı her türlü düzenlemeyi kapsar; bir şube, bir bağlı şirket, hatta gerçek faaliyeti olan tek bir temsilci bile sayılabilir. Sunucuların nerede durduğu önemsizdir.
İkincisi, AB dışındaki kuruluşlar için hedefleme ölçütüdür (m. 3(2)). AB'deki kişilere mal veya hizmet sunuyorsanız ya da onların AB içindeki davranışlarını izliyorsanız kapsama girersiniz. Avrupa'da ofise, bağlı şirkete veya herhangi bir fiziksel varlığa ihtiyacınız yoktur.
GDPR, AB dışındaki şirketlere uygulanır mı?
Evet, ve AB dışındaki işletmelerin maruziyetini en çok hafife aldığı nokta tam da burasıdır. Türkiye'de, ABD'de veya başka bir yerdeki bir şirket, AB'deki kişileri bilinçli olarak hedeflediği anda GDPR kapsamına girer.
İki nokta belirleyicidir. Birincisi: AB'deki kişilere mal veya hizmet sunuyor musunuz? Web sitenizin yalnızca erişilebilir olması yetmez. Resital 23 niyete bakar: AB'de kullanılan bir dilde veya para biriminde hizmet vermek, AB'li müşterilerden söz etmek ya da AB'ye teslimat sunmak hedeflemeye işaret eder. İkincisi: davranış izliyor musunuz? Kullanıcıları web'de takip etmek, profilleme yapmak veya tercihlerini tahmin etmek için faaliyetlerini analiz etmek, Resital 24 uyarınca GDPR'ı tetikler.
Bir ayrımı baştan netleştirmek gerekir: GDPR, "AB vatandaşlarını" değil, AB'de bulunan kişileri korur. Belirleyici olan kişinin vatandaşlığı değil, verinin işlendiği sırada AB'de bulunmasıdır. Almanya'da yaşayan bir Türk vatandaşı da, AB'yi ziyaret eden bir Amerikalı turist de aynı korumadadır; buna karşılık AB dışındaki bir AB vatandaşı yalnızca bu sıfatla kapsama girmez. Pek çok rehber bunu "AB vatandaşları" diye yazar ve yanılır.
Karşıt iki örnek farkı netleştirir. Uluslararası ilişkiler alanındaki bir yaz programını özellikle Alman ve Avusturyalı üniversitelere reklamla duyuran İsviçreli bir üniversite, AB'deki kişileri hedeflediği için GDPR'ı tetikler. Buna karşılık yalnızca İngilizce yayın yapan, AB'ye özgü alan adı, dil, reklam veya ödeme yöntemi bulunmayan bir ABD haber uygulamasının, AB'yi ziyaret eden bir turistin verisini toplaması tek başına GDPR'ı tetiklemez; çünkü hedeflemeye işaret eden hiçbir unsur yoktur. Aradaki tek fark niyettir, ikisi de teknik olarak AB'den erişilebilir.
Yerel bir örnek: avro üzerinden fiyatlandıran, Almanya'ya teslimat yapan ve AB'li ziyaretçilere yeniden hedefleme reklamı gösteren bir Türk e-ticaret sitesi, AB'de hiç ofisi olmadan her iki gerekçeyle de kapsam içindedir.
GDPR bireylere uygulanır mı?
Tamamen kişisel faaliyet için hayır. GDPR, bir bireyin tamamen kişisel veya ev içi faaliyet kapsamında veri işlemesini, örneğin özel bir adres defterini veya kişisel sosyal medya kullanımını kapsamaz (m. 2(2)(c), Resital 18).
Bu istisna dardır. Faaliyetin ticari veya mesleki bir boyutu olduğu anda yeniden kapsama girer. Müşteri verisini kişisel bir hesapta paylaşmak Tüzükten kurtulmanızı sağlamaz.
GDPR çalışan verisine uygulanır mı?
Evet. Çalışan verisi de kişisel veridir ve iş ilişkisi GDPR korumasını ortadan kaldırmaz. Aksine; çalışan izleme, işe alım ve İK kayıtları en sıkı denetlenen işleme faaliyetleri arasındadır. Çünkü işveren ile çalışan arasındaki güç dengesizliği, rızayı güvenilir bir hukuki sebep olmaktan çıkarır.
GDPR'ın dışında kalan ne var?
Birkaç kategori Tüzüğün dışındadır. Anonim veri kişisel veri değildir, dolayısıyla anonimleştirme gerçek ve geri döndürülemez olduğu sürece tamamen kapsam dışıdır (Resital 26). Tamamen kişisel veya ev içi amaçlı işleme muaftır. Ulusal güvenlik gibi AB hukukunun kapsamı dışındaki faaliyetler ayrı çerçevelerle ele alınır. Kolluk faaliyetleri GDPR yerine ayrı bir direktifle düzenlenir.
Dikkat: tanımlayıcıların kodlarla değiştirildiği takma adlı (pseudonimize) veri hâlâ kişisel veridir. Muaf değildir, çünkü kişiyle bağ yeniden kurulabilir.
Veriyi ticari kanallardan geçirerek kapsamdan çıkabilir misiniz?
Hayır. AB Adalet Divanı, iki ekonomik aktör arasında ticari amaçla aktarılan kişisel verinin, daha sonra üçüncü ülke makamlarınca kamu güvenliği, savunma veya devlet güvenliği amacıyla işlenmesi olasılığının, bu aktarımı GDPR kapsamından çıkarmadığına karar vermiştir. Pratik anlamı şudur: veriyi önce bir ticari tarafa, oradan bir kamu otoritesine yönlendirerek koruma rejiminden sıyrılamazsınız. Kapsam, verinin hangi kanaldan geçtiğine göre değil, işlemenin niteliğine göre belirlenir. Bu, "veriyi şirketler arası bir aktarım olarak kurgularsak GDPR'dan çıkarız" kurgusunun neden işlemediğini gösterir.
Sık sorulan sorular
Web sitem Avrupa'dan erişilebiliyorsa GDPR uygulanır mı? Tek başına hayır. Yalnızca erişilebilir olmak hedefleme anlamına gelmez. Faaliyetlerinizi fiilen AB'deki kişilere yöneltmiş olmanız gerekir; dil, para birimi veya AB'ye özgü pazarlama gibi unsurlarla görünür olan (Resital 23).
GDPR B2B verisine uygulanır mı? Evet. İş kişileri de bireydir. Bir şirketteki kişinin adı, e-postası ve telefonu, tamamen ticari bir ortamda bile onun kişisel verisidir.
AB temsilcisi atamam gerekir mi? AB dışındaysanız ve m. 3(2) uyarınca kapsamdaysanız, kural olarak AB'de bir temsilci atamanız gerekir (m. 27); ara sıra yapılan, düşük riskli işleme için sınırlı istisnalar vardır.
2018'den önce topladığım veriye GDPR uygulanır mı? Evet. GDPR, 25 Mayıs 2018'den itibaren tüm işlemeye uygulanır; bu, daha önce toplanmış olup elinizde tutmaya ve kullanmaya devam ettiğiniz veriyi de kapsar.
