KategoriKarar İncelemeleri

6698 sayılı Kişisel Verilerin Korunması Kanunu ile hayatımıza giren kişisel verilerin kullanılması, saklanması, silinmesi ve açık rıza, aydınlatma yükümlülüğü ve kapsamı tek tek her birimizi yakından ilgilendirmektedir. Zira her gün her an kişisel verilerimiz iznimiz olmadan yada üstü kapalı bir şekilde ve izin adın altında kanuna aykırı olarak alınmakta ve kullanılmaktadır. Bu kapsamda gündeme gelen ve uzun süre kamuoynu meşgul eden Whatsapp’ın Türkiye’deki kullanıcılarından talep ettiği uygulamayı kullanmaya devam etmenin karşılığında kişisel verileri yurt dışına aktarma konusunda açık rıza istemesi üzerine yeniden gündeme gelmiş ve Kurumun 03.09.2021 tarih ve 2021/891 sayılı resen inceleme başlatma kararı ile bu konu dikkatleri üzerine toplamıştır.

İngiltere ve Galler Yüksek Mahkemesi, yakın tarihli Sanso Rondon v LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) kararında şu sonuca varmıştır:

‘Madde 3.2 denetleyicisi tarafından bir temsilcinin atanması, başlı başına, denetleyicinin GDPR ile ilişki kurduğunun, kapsam hükümlerini anladığının, veri ve veri sahiplerine erişimi konusunda getirdiği koşulları kabul ettiğinin önemli bir işaretidir. Başka bir deyişle, söz konusu pazarlığın tanınmasına işaret eder, kazanılacak fayda için omuzlanması gereken yükü belirtir. Madde 3.2 uygulamasının kabulü iyi niyetin bir işaretidir.’ (tam karar)

Davalının hukuk müşavirinin de belirttiği gibi, kötü adamlar 27. maddeye temsilci atamazlar. Ancak bir temsilci atama meselesi artık sadece uyum göstermek ve güven kazanma çabasını sergilemekle ilgili değildir. Hollanda Veri Koruma Kurumu (“DPA”) tarafından, Kanada menşeli web sitesine sahip şirkete verilen para cezası ışığında, bir temsilci atanmaması, bir şirket için varoluşsal bir tehdit haline gelir.

GDPR uygulanabilirliği konusunda farkındalık ve okuryazarlık eksikliğinin yanı sıra muafiyetlere ilişkin yanlış anlamalar da yaygındır. Her veri sahibinin ve her veri koruma yetkilisinin, özellikle GDPR Madde 27’ye göre bir temsilci atama yükümlülüğü ile ilgili olarak, bir bakışta uyumsuzluğu görebildiği gizlilik politikalarında kendini açıkça gösteren bir uyum boşluğuna neden olur (temsilci atama gerekliliği hakkında daha fazla bilgiye ulaşın).

Hollanda Veri Koruma Kurumu yarım milyon euronun üzerinde bir para cezası uyguladığı için, bir temsilci atanamaması muhtemelen Kanadalı Locatefamily.com web sitesine çok pahalıya mal oldu.