YAYINLARIMIZ

Kişisel Verilerin İhlali Halinde Avrupa Birliği Yasaları Türk Şirketlerini Etkiler Mi ? / Kvkk Ve Gdpr Özelinde Kısa Bir Değerlendirme

Bu soruyu daha geniş ve detaylı sormamız lazım aslında ;  Kişisel verilerin ihlali halinde Avrupa Birliği yasaları AB sınırları içinde yerleşik durumda bulunmayan ancak orası ile ticaret yapan Türk şirketlerine bir yaptırım uygulayabilir mi ? Bu ihlal sebebiyle doğrudan veya dolaylı şekilde ceza verebilir mi ?  AB dışında olmamız durumu olumlu veya olumsuz şekilde etkiler mi ?  Veri ihlali yapan bir Türk şirketine ne yapabilirler, neler olabilir ?  Bu soruların  cevabını vermeden evvel KVKK ve GDPR kavramlarının çıkışına bakmamız açıklayıcı olacaktır :

Türkiye’nin de üyesi olduğu Avrupa Konseyi tarafından 1981 yılında “Kişisel Verilerin Otomatik Olarak İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” kabul edilmiştir. Türkiye bu Sözleşmeyi ilk imzalayan ülkelerdendir. Ancak kanun yayınlanmadığı için onay prosedürü askıda kalmıştır.  Akabinde ilgili mevzuat, Avrupa Birliği’nde Kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımına dair bireylerin korunması hakkındaki 95/ 46/ EC sayılı Avrupa Birliği Direktifi baz alınarak 07.04.2016 tarihinde Resmî Gazete ’de yayınlanarak yürürlüğe girmiş olup, yasada ilgililerin bu yasal düzene geçmeleri ve hazırlık için 2 yıllık uyum süresi belirlenmiştir. Uyum süresinin sonu 07.04.2018’dir. Şu an için veri işleyen ve muhafaza eden resmi veya özel kurumlar, tüm gerçek ve tüzel kişiler kısaca istisnasız tüm şirketler bu kanun kapsamındadırlar.

Avrupa Birliğinde Durum :

Avrupa Birliği parlamentosu da 4 yıllık bir hazırlık ve tartışma sürecinden sonra 14 Nisan 2016’da EU General Data Protection Regulation (GDPR) adı altındaki bu düzenlemeyi yürürlüğe sokmuş ve bu kanun tüm Avrupa Birliği ülkelerinde 25. 05. 2018 tarihinden itibaren çok ağır ihlali halinde çok ağır cezaları kapsar şekilde yürürlüğe girmiştir.

Avrupa Birliği Kişisel Verilerin Korunması Hakkında Genel Düzenleme olarak Türkçe’ ye çevirebileceğimiz bu mevzuat, tüm Avrupa Birliği ülkelerinde 95/46/ EC Kişisel Verilerin Korunması Direktifi ve düzenlemesi doğrultusunda Avrupa Birliği yasalarına dahil edilmiştir.  Bunun gereği olarak, kişisel veriler ve bu verilerin güvenliği çok sıkı bir şekilde hayata geçmiş, Avrupa Birliği merkezli şirketlerin, AB vatandaşlarının ve AB dışında olsa bile Avrupa Birliği ülkeleri ile iş ve alışveriş yapan tüm paydaşların uyması gereken bir mevzuat haline gelmiştir.  

Bağlı bulunduğu ülke AB üyesi olmasa bile, AB’de kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir.  Kısaca Avrupa Birliği dışında faaliyet göstermesine karşın, AB ile iş yapan, hizmet üreten, AB tüketicisini hedefleyen şirketler de GDPR’a tabidirler.

GDPR bugüne kadar görülen yasal düzenlemelerden farklı ve agresif bir düzenlemedir. Mevzuata aykırı davranmanın ve yükümlülükleri ihlalin oldukça ağır yaptırımları vardır.  GDPR hükümlerine detaylı bakıldığında pek çok ceza sözkonusu ancak bir tanesine burada yer vermemiz bile yeterli ; 

Örneğin, GDPR’ın 83. Maddesinde 5. bentte yer alan hüküm aynen şu şekildedir; “….Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20,000,000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher….”   İşin Türkçe’si, GPDR yükümlülüklerinin ihlali halinde 20 milyon EURO’ya kadar para cezası veya cezaya muhatap şirketin global düzeydeki önceki yıl cirosunun % 4’ü oranında ceza ödemek durumunda olduğu, üstelik bunlardan hangisi yüksekse o cezayı ödemek zorunda kalacağını belirtmektedir.

Şirketin küresel cirosu üzerinden % 4, yıllık ciro daha düşükse 20.000.000-EURO para cezası tarzındaki bir ceza, ülkemizdeki cezaların ötesinde çok yüksek tutarda bir cezadır. Ancak Avrupa Birliğinin kişisel veri kavramına bakışını ve kişilerin hak ve hürriyetlerine ve kişisel verilerine verdiği önemi  göstermesi açısından da önemli bir parametredir. 

Şu halde rahatlıkla söyleyebiliriz ki, AB ülkeleri iş yapan Türk firmalarının, orada yerleşik olmasalar bile çok ama çok dikkatli olmalarını gerektiren bir yasal düzenleme ile karşı karşıyayız.   Avrupa Birliği kaynaklı, Türkiye'de yatırım yapan yabancı sermayeli şirketler için hem KVKK hem de GDPR hükümlerine tam riayet şart ama AB ülkeleri ile ticaret yapan Türk şirketleri için de aynı durum geçerlidir. Herhangi bir kişisel verinin ihlali halinde görüldüğü üzere, karşılaşılma olasılığı olan ceza inanılmaz boyuttadır.   Bu noktada henüz kendi bünyesinde bir çalışmayı yapmamış olan Türk şirketlerinin, bir an evvel KVKK ve GDPR konusunu gündeme almaları, bu yasalar ile uyumlu hale gelmeleri  ve layıkıyla yapıldığında uzun süren bu uyum projesi  için bütçe ve zaman ayırıp gerekli çalışmaları yapmaya başlamaları gerekmektedir.    

  

 

Diğer Makaleler