Okuma Süresi: 4 Dakika
İngiltere ve Galler Yüksek Mahkemesi, yakın tarihli Sanso Rondon v LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) kararında şu sonuca varmıştır:
‘Madde 3.2 denetleyicisi tarafından bir temsilcinin atanması, başlı başına, denetleyicinin GDPR ile ilişki kurduğunun, kapsam hükümlerini anladığının, veri ve veri sahiplerine erişimi konusunda getirdiği koşulları kabul ettiğinin önemli bir işaretidir. Başka bir deyişle, söz konusu pazarlığın tanınmasına işaret eder, kazanılacak fayda için omuzlanması gereken yükü belirtir. Madde 3.2 uygulamasının kabulü iyi niyetin bir işaretidir.’ (tam karar)
Davalının hukuk müşavirinin de belirttiği gibi, kötü adamlar 27. maddeye temsilci atamazlar. Ancak bir temsilci atama meselesi artık sadece uyum göstermek ve güven kazanma çabasını sergilemekle ilgili değildir. Hollanda Veri Koruma Kurumu (“DPA”) tarafından, Kanada menşeli web sitesine sahip şirkete verilen para cezası ışığında, bir temsilci atanmaması, bir şirket için varoluşsal bir tehdit haline gelir.
GDPR uygulanabilirliği konusunda farkındalık ve okuryazarlık eksikliğinin yanı sıra muafiyetlere ilişkin yanlış anlamalar da yaygındır. Her veri sahibinin ve her veri koruma yetkilisinin, özellikle GDPR Madde 27’ye göre bir temsilci atama yükümlülüğü ile ilgili olarak, bir bakışta uyumsuzluğu görebildiği gizlilik politikalarında kendini açıkça gösteren bir uyum boşluğuna neden olur (temsilci atama gerekliliği hakkında daha fazla bilgiye ulaşın).
Hollanda Veri Koruma Kurumu yarım milyon euronun üzerinde bir para cezası uyguladığı için, bir temsilci atanamaması muhtemelen Kanadalı Locatefamily.com web sitesine çok pahalıya mal oldu.