Bu yazımızda GDPR ile ilgili bir kararı inceleyeceğiz.
Hollanda Veri Koruma Kurumunun 645.000 Euro değerinde para cezası uygulamasına ilişkin inceleme.
Andreas MaetzlerClara Sator: 16 Haziran, 2021
1. Karar
İngiltere ve Galler Yüksek Mahkemesi, yakın tarihli Sanso Rondon v LexisNexis Risk Solutions UK Ltd [2021] EWHC 1427 (QB) kararında şu sonuca varmıştır:
‘Madde 3.2 denetleyicisi tarafından bir temsilcinin atanması, başlı başına, denetleyicinin GDPR ile ilişki kurduğunun, kapsam hükümlerini anladığının, veri ve veri sahiplerine erişimi konusunda getirdiği koşulları kabul ettiğinin önemli bir işaretidir. Başka bir deyişle, söz konusu pazarlığın tanınmasına işaret eder, kazanılacak fayda için omuzlanması gereken yükü belirtir. Madde 3.2 uygulamasının kabulü iyi niyetin bir işaretidir.’ (tam karar)
Davalının hukuk müşavirinin de belirttiği gibi, kötü adamlar 27. maddeye temsilci atamazlar. Ancak bir temsilci atama meselesi artık sadece uyum göstermek ve güven kazanma çabasını sergilemekle ilgili değildir. Hollanda Veri Koruma Kurumu (“DPA”) tarafından, Kanada menşeli web sitesine sahip şirkete verilen para cezası ışığında, bir temsilci atanmaması, bir şirket için varoluşsal bir tehdit haline gelir.
GDPR uygulanabilirliği konusunda farkındalık ve okuryazarlık eksikliğinin yanı sıra muafiyetlere ilişkin yanlış anlamalar da yaygındır. Her veri sahibinin ve her veri koruma yetkilisinin, özellikle GDPR Madde 27’ye göre bir temsilci atama yükümlülüğü ile ilgili olarak, bir bakışta uyumsuzluğu görebildiği gizlilik politikalarında kendini açıkça gösteren bir uyum boşluğuna neden olur (temsilci atama gerekliliği hakkında daha fazla bilgiye ulaşın).
Hollanda Veri Koruma Kurumu yarım milyon euronun üzerinde bir para cezası uyguladığı için, bir temsilci atanamaması muhtemelen Kanadalı Locatefamily.com web sitesine çok pahalıya mal oldu.
2. Dava Hakkında
Locatefamily.com, kullanıcıların, aile üyelerinin, eski sınıf arkadaşlarının veya iletişimini kaybettikleri arkadaşlarının iletişim bilgilerini bulmalarını sağlayan bir platformdur. Bu nedenle web sitesi, dünyanın her yerinde bulunan kişilerin adları, adresleri ve hatta bazen telefon numaraları gibi kişisel verileri kullanır. Çoğu zaman bireyler, kişisel verilerinin kullanıldığının ve yayınlandığının farkında bile olmazlar.
Son birkaç yıl içinde Hollanda Veri Koruma Kurumu, Locatefamily.com’un kişisel verilerinin web sitesinden silinmesine yönelik taleplere uygun şekilde yanıt vermediğini iddia eden Avrupalı veri sahiplerinden çok sayıda şikayet aldı. Hollandalı Veri Koruma Kurumu bu şikayetleri araştırdı ve diğer Üye Devletlerdeki birkaç veri koruma makamının benzer mesajlar aldığını tespit etti. Şikayetlerin sayısı kontrolden çıkınca, şirketin ne Avrupa Birliği’nde yerleşik, ne de onun içinde kurumları olmadığı için GDPR Madde 27’yi ihlal ettiği iddiasıyla ilgili bir soruşturma başlatılmaya karar verildi. İncelemede, bir zorunlu Madde 27 temsilci atanmadığı görülmüş, çok kısa ve eksik olan gizlilik politikalarında bir temsilci bulunamadı.
3. Bir AB-GDPR Temsilcisi Bulundurulmaması
GDPR Madde 27, Avrupa Birliği dışındaki şirketleri, Avrupa içinde bir kuruluş bulundurmadan, Avrupalı bireylere mal veya hizmet sunmak, bireylerin davranışlarını izlemek durumlarında, bir Avrupa temsilcisi atamakla yükümlü kılar.
Bu gerekliliğin nedeni, veri koruma yetkililerinin ve bireylerin mahremiyetleri ile ilgili soruları için yerel bir irtibat kişisine sahip olması ve kişisel verilerinin silinmesini talep etme hakkı gibi GDPR kapsamındaki konular ile temsilciye başvurabilmeleridir.
Görünüşe göre bu davadaki bir tartışma noktası da, Locatefamily.com’un hizmetlerini AB vatandaşlarına sunup, sunmadığı konusuydu. Şirketin inandığının aksine, Hollandalı Veri Koruma Kurumu, Locatefamily.com’un hizmetlerini, Avrupa Birliği’ndeki bireylere sunduğunu düşündü, çünkü şirketin web sitesi bu bireylere ulaşmak için tasarlanmıştı. Yukarıda bahsedilenlerin ardından, bağlı oldukları şirketin AB içinde kuruluşu olmadığından, Locatefamily.com’un bir temsilci bulundurmasını gerektirir. Hollandalı Kurumun başkan yardımcısı Monique Verdier, “Veri sahiplerinin bilgilerini kaldırmanın kolay bir yolu olmalıydı. Bu, kısmen Locatefamily.com’un AB’de bir temsilcisi olmadığı için burada mümkün değildi. Bu yüzden web sitesine para cezası verdik.’’
Şirketin bu şartı yerine getirmedeki eylemsizliği, 525,000,00 EURO para cezasına çarptırılmasına neden oldu. Ek olarak, Veri Koruma Kurumu, Locatefamily.com’u 18 Mart 2021’e kadar bir Avrupa temsilcisi atamaya yönelik bir yükümlülük getirdi. Aksi takdirde, bir temsilci atamaya devam etmedikleri her iki hafta başına 20.000,00 EURO para cezası uygulayacaktı (maksimum 120,000,00 EURO’ya kadar ceza uygulanabiliyor). Bununla birlikte, bu ceza çok daha yüksek olabilirdi: GDPR, denetleyici makamların 10.000.000,00 euro veya şirketin yıllık cirosunun %2’sine kadar (hangisi daha yüksekse) para cezası uygulamasına izin verir. Yani, burada olabileceğinden düşük meblağda bir ceza uygulandığı söylenebilir.
4. Çözüm
Veri koruma makamlarının, Madde 27 temsilcisi atanmamasına yönelik para cezası vermeye başlamasının, sadece gecikmelerle bağlantılı olduğu düşünülebilir. Bununla birlikte, AB üyesi olmayan ve Avrupa’da bir kuruluşu bulunmayan, İngiltere dışındaki şirketlerin büyük çoğunluğu, ya yükümlülükten haberdar olmadıkları ya da gerekliliği bildikleri ve potansiyel olarak yıkıcı riski kabul ettikleri için henüz bir temsilci atamamıştır.
Bu dava, denetim makamlarının uyumsuzluk durumlarını cezalandırmaya ve bir temsilci atama yükümlülüğünü yerine getirmeye istekli olduğu anlamına gelir. Bu davanın soruşturmasına sadece Hollanda Veri Koruma Kurumu değil, diğer dokuz veri koruma makamı da katıldı, bu da 27. Maddeye uyumun Avrupa Birliği’ndeki denetim makamları için önemli olduğunu gösteriyor. Ayrıca, AB ve Birleşik Krallık dışında bulunan şirketler, yalnızca ulusal veri koruma yetkililerinin, bir şirketin uyumluluğunu sorgulayabileceğini düşünmemelidir. GDPR Avrupa Birliği’nde 447 milyon veri öznesine ve Birleşik Krallık’ta 66 milyon veri öznesine hak tanır. Veri özneleri, bireysel olarak kendi gizlilik hakları hakkında şikayetçi olup, uygulama talep edebilir.
Son olarak, bu durumda olduğu gibi uyumsuzluk için para cezası vermek, veri koruma makamlarının bilinen bir yetkisidir, ancak AB veya Birleşik Krallık dışındaki bir şirket için varoluşsal bir tehdit olabilecek tek yetkisi değildir. Diğerlerinin yanı sıra, veri koruma makamları, üçüncü ülkedeki alıcılara, veri akışının askıya alınması veya işleme yasakları gibi sınırlamalar getirme yetkisine sahiptir ve her ikisi de şirketlerin olağan işine devam etmesini engelleyebilir niteliktedir.
Bu nedenle şirketler ve danışmanları, GDPR uygulanabilirliği ve bir temsilci atama zorunluluğu konusundaki anlayışlarını sorgulamalı ve son literatürü dikkate alarak, duruşlarını yeniden değerlendirmelidir (daha fazla bilgi). Brexit, Birleşik Krallık’a ulaşan, AB şirketlerini ve AB’deki bireyleri hedefleyen veya izleyen Birleşik Krallık şirketlerini temsilci bulundurmak zorunda bırakır. Herhangi bir şüphe durumunda, hizmete (buradan) kolayca ulaşılabilir. İngiltere ve Galler Yüksek Mahkemesi’ne göre, bir temsilci atanması, iyi niyet işareti olarak kabul edilir.
Kişisel Verilerin Korunması Kanununun Avukatlık Mesleğine Etkileri makalemize buradan ulaşabilirsiniz.
Kişisel Verileri Yok Etmeme Suçu makalemize buradan ulaşabilirsiniz.