Skip to Content

No: 4

Tarih: 25/01/2017

Konu:

GDPR Hangi firmaları etkileyecek ve GDPR nezdinde veri aktarımı nasıl gerçekleştirilecek


Avrupa Birliği Kişisel Verilerin Korunması Regülasyonu'nu ("GDPR")  2016 Mayıs ayında kabul edildi ve 2018 yılı Mayıs ayına kadar uyum süresi tanıdı. Bu uyum süreci Türkiye'de faaliyetini gösteren yabancı firmalar ve yurtdışı ile entegrasyonu olan firmaların kafasında bir takım soru işaretleri oluşturdu.

İşbu sirküler hangi firmaların GDPR uyumu kapsamında olduğu ve GDPR kapsamında veri aktarımının ne şekilde gerçekleşeceğine ilişkin olarak hazırlanmıştır.

GDPR' nin Türkiye'de faaliyet gösteren hangi firmalar için uygulanacağı, regülasyonun "Bölgesel Kapsam" (Territorial Scope) başlıklı 3. maddesinde belirlenmiştir.

 Buna göre GDPR, ilgili madde uyarınca üç (3) halde uygulanabilecektir;

  • Avrupa Birliği ("AB") sınırları içerisinde bir şirketin operasyonları amacı ile işlediği tüm kişisel veriler için işlemin şirketin merkezinin AB'de olup olmadığına bakılmaksızın uygulanacaktır. İlgili maddenin 1. fıkrası uyarınca veri işleme faaliyetinin AB sınırları içerisinde yapılması şartı aranmaksızın AB merkezli bir şirket adına ya da bizzat şirket tarafından yapılıyor ise de GDPR'ye tabi kılınmıştır.
  • İşbu yönetmelik Avrupa Birliği içerisindeki ilgili kişilerin kişisel verilerini;

(a)    Birlik içerisindeki ilgili kişilere bir ödeme yapılmasının zaruri olduğuna bakılmaksızın mal ve hizmet sunulması; veya

(b)   Birlik içerisindeki davranışların gözetilmesi maksadıyla işleyen Avrupa Birliği içerisinde kurulu olmayan veri sorumlusu veya veri işleyene uygulanacaktır.

  • İşbu yönetmelik Avrupa Birliği içerisinde kurulmayan fakat Devletler Genel Hukuku'na binaen Üye Devlet Hukukunun uygulandığı bir yerde kurulmuş olan ve kişisel verileri işleyen Veri Sorumlusu'na uygulanacaktır.

Konu dünyanın çeşitli ülkelerinde iştirakleri vasıtasıyla faaliyet gösteren çokuluslu şirketler açısından ele alındığında, AB merkezli şirketlerin AB'deki merkezleri adına AB içi veya dışına veri aktarımı yapmadan önce bir takım şartları yerine getirilmesi gerekmektedir.

AB'ye üye olmayan diğer ülkelere -şirketler topluluğu içerisinde gerçekleştirilen veri aktarımı da dâhil olmak üzere – yapılacak olan kişisel veri aktarımı GDPR'nin 44 ile 49. maddeleri arasında detaylıca düzenlenmiştir. Buna göre, AB merkezli çokuluslu bir şirketin, AB tarafından güvenli ülke olarak tanınmayan ülkede bulunan bir iştirakine veri aktarımı yapacağı kanunda sayılan koşulları sağladığından ve GDPR tarafından öngörülen yeterli korumayı sağladığından emin olması beklenmektedir.

44 ile 49. maddelerde belirtilen AB dışına veri aktarımında uyulması gereken şartlara aykırılık halinde, şirketler GDPR'nin 83. maddesinin 5. fıkrasında sayılan idari para cezalarına çarptırılma tehlikesiyle karşı karşıya kalacaktır. İlgili madde de düzenlendiği üzere, üçüncü ülkelere veri aktarımı şartlarını ihlal halinde şirkete kesilecek ceza tutarı belirlenirken 20.000.000,00-EUR veya önceki mali yılın toplam global cirosunun %4'ü ne isabet eden tutar arasından yüksek olan dikkate alınacaktır.

AB, GDPR konusundaki hassasiyetini ve ciddiyetini ortaya koymak için bu kapsamda tüm yasa ve düzenlemeleri tekrardan değerlendirmekte ve yenilemektedir.

Bu kapsamda, GDPR ile uyumlu çerezler ve gizliliğe ilişkin taslak regülasyonda 12 Ocak 2017 tarihinde paylaşılmış olup, ilgili taslak regülasyona ilişkin detaylı bilgiyi bir sonraki sirkülerimizde bulabilirsiniz.

 

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu


 

Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.'ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.

 Baskıya yolla

Başa Dön

İletişim:

Mehmet Küçükkaya
mehmet.kucukkaya@tr.ey.com
(212) 315 30 00

 

Necla Birol
necla.birol@tr.ey.com
(212) 315 30 00