DUYMAYAN KALMASIN! ŞİRKET VERİLERİNİ YURT DIŞINA AKTARMAK ÇOK DAHA KOLAY: BAĞLAYICI ŞİRKET KURALLARI GELDİ!

Kişisel verilerin yurt dışına aktarılması Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında uyum sürecinde olan şirketler bakımından en sıkıntılı konulardan bir tanesiydi. Nitekim KVKK kapsamında kişisel verilerin yurt dışına aktarılması 9. madde altında ilgili kişinin açık rızası ile veya yine aynı maddede öngörülen istisna hükümlerince mümkün olabiliyordu.

Hal böyle olunca, gerek güvenli ülkelerin açıklanmaması gerekse taahhüt mekanizmasının pratik bir yol olmaması özellikle çok uluslu şirketleri yurt dışına veri aktarımı bakımından zor durumda bırakıyordu.  Bu sebeple Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çok uluslu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere bir diğer istisnai yöntem olarak “Bağlayıcı Şirket Kuralları” getirildi.

GDPR kapsamında uygulaması oldukça yaygın olan “Bağlayıcı Şirket Kuralları”, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanabilir.

Kurul tarafından yapılan duyuruda, bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumu’na (“Kurum”) başvuruda bulunmaları gerektiği ifade ediliyor.

Kurul’un iznine tabi olacak bu başvuruları mercek altına almadan önce gelin yurt dışına veri transferinde ne gibi problemler yaşanıyordu kısaca hatırlayalım.

Türkiye’de kişisel verilerin yurt dışına aktarımı

Kanun’un 9. maddesinde yurt dışına veri aktarımı yapılması:

  • İlgilinin açık rızasının bulunması
  • Yeterli korumanın bulunduğu ülkelere veri aktarımında, Kanunda belirtilen hallerin varlığı
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması

halinde yapılabilmekteydi.

Ancak ne var ki, ülkemizde hala güvenli ülkelerin açıklanmamış olması özellikle pek çok Avrupa Birliği (“AB”) üyesi ülke ile aynı veri tabanları üzerinden organizasyon içerisinde olan çok uluslu grup şirketleri bakımından problem yaratmaktaydı. Örneğin Kanun kapsamında çalışanlarından gerekmedikçe rıza almaktan imtina eden şirketler, yalnızca insan kaynakları verileri kullanılan ortak yurt dışı veri tabanlı uygulamalar sebebiyle çalışanlarından rıza almak zorunda kalmaktaydı.

Hal böyle olunca, son iki yıldır sektörde herkesin gözü kulağı “Bağlayıcı Şirket Kuralları’nın” ülkemizde de işletilip işletilmeyeceği üzerineydi.

Kurum beklenen açıklamayı 10 Nisan 2020’de yaptı. Peki süreç nasıl işliyor. Öncelikli olarak aklınıza takılabilecek soruları aşağıda toparlamaya çalıştık.

Nedir bu Bağlayıcı Şirket Kuralları?

Kurum tarafından yayınlanan usul ve esaslara göre, Bağlayıcı Şirket Kuralları, bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.

Bağlayıcı Şirket Kurallarının mutlak suretle içermesi gereken temel başlıklar şu şekilde sıralanabilecektir:

  • Bağlayıcılık unsuru
  • Etkili uygulama
  • Kurum ile koordinasyon
  • Kişisel verilerin işlenmesi ve aktarılmasına ilişkin süreçler
  • Raporlama ve kayıt değişikliği mekanizmaları
  • Veri güvenliği
  • Hesap verilebilirlik
  • Yardımcı bilgi ve belgeler

Başvuruyu yapma yetkisi kime ait olacak?

Kurum tarafından yayınlanan usul ve esaslara göre, grubun Türkiye’de yerleşik merkezi var ise başvuruyu yapmaya bu teşebbüs yetkili olacak. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir Grup üyesinin kişisel verilerin korunması konusunda yetkilendirilmesi gerektiği belirtiliyor.

Başvuru için gerekli belgeler neler?

Başvuru için en temel belge elbette ki başvuru formu, bunun yanımda form ile birlikte “bağlayıcı şirket kuralları” metninin de Kurum’a iletilmesi gerekiyor. Bu kuralların hali hazırda pek çok çok uluslu şirket tarafından kaleme alındığını söyleyebiliriz. Bu aşamada Türkiye bakımından da çok fazla ayrıksı bir kural bulunmuyor. Ancak Kurum’un başvuru ile ilgili gerekli gördüğü diğer tüm bilgi ve belgeleri talep edebileceğini söylemekte fayda var. Dolayısıyla buradaki yetkinin geniş tutulduğunu rahatlıkla söyleyebiliriz.

Başvurular ne kadar sürede sonuçlandırılacak?

Başvurular Kurum’a elden veya posta yolu ile iletilebilecek. Resmi başvuru tarihinden itibaren de bir yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu sürenin altı aylık sürelerle uzatabileceği düzenlenmiştir.

Sonuç olarak

Uzunca bir süredir özel sektör tarafından beklenen Bağlayıcı Şirket Kuralları nihayet ülkemizde de yurt dışına veri aktarımı için bir hukuki yol olarak tanındı. Bununla birlikte zamanla başvuru süreçlerine ilişkin birtakım sorunlar ve aksamalar olabilmesi mümkün. Özellikle başvuruların değerlendirme süresinin sınırsız bir şekilde uzatılabilmesi özel sektör bakımından öngörülebilirliği düşürebilecek bir faktör olarak dikkate çarpıyor.

Karantinada Kişisel Verilerinizi Korumayı Unutmayın!

Blogumuz vasıtasıyla sizlere pek çok defa kişisel verilerin korunması alanındaki güncel gelişmeleri ve bunlara dair hukuki tartışmaları aktarıyor olduk. Bugün dünya genelinde olduğu gibi ülkemiz de küresel bir salgın ile karşı karşıya. Hal böyle olunca şu an bir kişisel verilerin korunması hukuku tartışmasının ne önemi var diye düşünebilirsiniz. Ancak resmin bütününe baktığımızda her geçen gün daha da artan bu salgına karşı şirketlerin önlemlerini artırdığını ve bu vesileyle de birtakım kişisel veri işleme senaryolarının oluştuğunu görüyoruz.

Bu yazımızla sizlere bu süreçte şirketlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) nezdinde karşılaşabileceği başlıca sorunlara değinmeyi amaç edindik.

COVID-19 kapsamında ne gibi veriler işliyoruz? Bunları işlememizde bir hukuki dayanağımız var mı?

Kuşkusuz COVID-19 bir sağlık sorunu ve bu kapsamda ilk akla gelen husus sağlık verileri, yani özel nitelikli verilerin işlenmesine dair özel hususlar. Elbette KVKK’nın 6. maddesinden söz ediyoruz ve pek çoğumuzun bildiği üzere bu madde en çok da sağlık verilerinin rızadan istisnai olarak işlenmesi noktasında şirketlerin elini kolunu bağlar vaziyette.


Bu bakımından temel kuralın her ne kadar küresel bir salgın ile karşı karşıya olunsa da bu verilerin ilgili kişinin rızası dahilinde işlenmesi olduğu unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve istisnai süreçler bulunmadığı sürece ilgili kişinin rızasını almalıdır.

Bu noktada hatırlatılması gereken en önemli konu, sürecin “sır saklama yükümlülüğü altında olan” işyeri hekimlerince yürütülmesidir. Böylelikle gerekli veri koruma önlemlerinin de alınmasıyla sağlık verileri bakımından rıza alma koşulu bertaraf edilebilecektir.

Bunun yanında alınan her verinin sağlık verisi olmadığına da değinmekte fayda var. Örneğin bir çalışanın son bir aydaki seyahat geçmişi özel nitelikli bir veri olarak kabul edilmeyecektir. Dolayısıyla bu veriler bakımından KVKK’nın 5.maddesinde yer alan daha geniş kapsamdaki istisnai hükümler söz konusu olabilecektir.

Her halükârda KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.

Son olarak değinilmesi gereken husus, GDPR’ın özellikle özel nitelikli veriler bakımından KVKK’ya göre oldukça kapsamlı bir istisna rejimi barındırıyor oluşudur. Bu yönüyle özellikle Türkiye’de faaliyet gösteren ancak küresel ayağı da bulunan şirketlerin KVKK’nın bu noktadaki ayrıksı pozisyonunu göz ardı etmemeleri önem arz etmektedir.

Bir çalışanımızın COVID-19’a yakalandığından emin olduk. Peki, bu durumu kimler ile paylaşmalıyız? Diğer çalışanımızı ve kamu otoritelerini ne ölçüde bilgilendirebiliriz?

COVID-19’un yayılma hızı ve yıkıcı etkileri göz önüne alındığında, yetkili otoritelere bildirimlerin hızlı bir şekilde yapılması ve tedbirlerin ivedilikle alınması gerektiği açıktır.

KVKK anlamında, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden verilerin Sağlık Bakanlığı ve ilgili otoritelerce işlenmesinin önünde bir engel bulunmamaktadır. Ancak, sağlık verilerinin işveren tarafından otoritelere aktarımı, KVKK’ya tabi olacaktır. Çalışanın enfekte olduğu bilgisi sağlık verisi olarak kabul edileceğinden, özel nitelikli kişisel verilere ilişkin hükümler göz önüne alınmalıdır. Çalışanın rızasını alma yoluna gidilmesi tercih edilebilir. Ancak özellikle içinde bulunduğumuz durumun potansiyel mali etkileri göz önüne alınırsa, enfekte olan çalışanın iş güvenliği anlamında kendini baskı altında hissetme riski bulunmaktadır. Bu doğrultuda çalışanın rızasına dayanarak gerçekleştirilen işleme ve aktarım faaliyetleri riskli gözükmektedir. Diğer yandan, teoride bu bildirimlerin iş yeri hekimleri tarafından yapılması gerekeceği söylenebilir. Ancak, mevcut durumda bu yöntemin uygulanabilirliği tartışmalı olacaktır. Geniş pencereden incelediğimizde hekimler her zaman işyerinde bulunmayabilir. Salgının yayılma hızı düşünülürse, çalışan işyerine gelmeden ya da hekimi ziyaret etmeden de hastalık bildirimi yapabilir.

Bu durumda, kamu sağlığının korunması adına hızlı aksiyon alabilmek için şirketler, insan kaynakları gibi çalışana doğrudan temas eden birimleri içerisinde sınırlı sayıda ekipler oluşturularak, gerekli bildirimleri bu ekipler üzerinden gerçekleştirmeyi tercih edebilirler. Bu noktada, genel veri işleme prensipleri göz önüne alınarak, çalışanın enfekte olduğuna dair bilginin mümkün olduğunca dar bir çevrede bilinmesi, ekiplerin az sayıda (bir veya iki kişi) çalışandan oluşturulması gerekmekte ve enfekte olan çalışanın gizliliğine üst seviyede dikkat edilmelidir.

Bir diğer yandan, enfekte olan çalışanın gizliliği göz önüne alınarak, çalışanın kimliğinin şirket içerisinde duyurulmaması gerekmektedir. Ancak yukarıda da açıkladığımız üzere, maalesef salgın çok ciddi bir hızla yayılmaktadır. Bu doğrultuda, iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanın sağlığının ve bağışıklığının korunması adına, şirket içerisinde COVID-19 enfekte bir çalışanın bulunduğunun isim belirtmeksizin duyurulması gerekebilir.

Şirket içerisinde yapılacak duyurularda şirket çalışanlarına COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

Pek çok şirket evden/uzaktan çalışma metodunu benimsemiş gözüküyor. Peki, uzaktan çalışan personeli takip edebilir miyiz?

Sosyal medya üzerinde ve Whatsapp gruplarında, şirketlerin evden çalışan personeli farklı şekillerde denetlediğine dair söylemlerle karşılaşmaktayız.

İşveren’in, çalışanlara teslim etmiş olduğu işlerin akıbetini takip etmek istemesi, yönetim hakkı kapsamında mümkündür. Ancak personelin çalışma takibini gerçekleştirirken, kişisel verilerin korunması kapsamındaki genel ilkelere riayet edilmesi çok önemlidir. Buradan doğabilecek olumsuz sonuçların yansıması yalnızca kişisel verilerin korunması alanında değil, iş hukuku açısından da işverenleri zor durumda bırakabilir.

Bu doğrultuda, çalışan cihazlarından konum takibi, web cam ve benzeri izleme teknolojileri aracılığıyla çalışanın kontrolü gibi ‘aşırı’ veri işleme faaliyetlerinden kaçınılmalı, çalışan ile günlük bazda gerçekleştirilecek telefon görüşmeleri gibi biraz daha düşük teknolojili ve eski usul metotların tercih edilmesi önerilmektedir.

Uzaktan çalışmanın doğurduğu riskleri veri güvenliği açısından ne şekilde minimize edebiliriz?

Pek çok şirket hali hazırda 21.yüzyılın gereklerine ve tehlikelerine ayak uydurmuş ve ofisteki çalışma cihazları ve sistemleri için veri güvenliğini üst düzeye taşımıştır. Ancak şirketlerin ister istemez evden çalışma metoduna eğilim gösterdiği bu dönemde, aynı güvenlik önlemlerinin evden/uzaktan çalışma için de uygulanması gerekmektedir.

COVID-19 salgınının bu kadar hızlı bir şekilde yayılmış olması sebebiyle, maalesef pek çok şirket her bir çalışana ayrı bir uzaktan çalışma cihazı tesis etme fırsatı bulamadı. Bu sebeple zaman zaman çalışanın şahsi cihazlarından ofis işlerini yürüttüğünü görmekteyiz.

Bu durumun doğurabileceği risklerin minimize edilmesi adına, başta şirket sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliği ve işlerliğinin sağlanması olmak üzere, her türlü iyi piyasa uygulaması izlenmeli ve şirketler bünyesinde uygulamaya alınmalıdır.

Ek olarak, iş hayatındaki veri gizliliği (hem kişisel veri hem de ticari anlamda gizli bilgiler babında) ihlallerinin çok büyük oranı, çalışanın doküman gönderirken ya da uzaktan çalışırken kişisel e-posta hesaplarını kullanması neticesinde gerçekleşmektedir. Herkesin uzaktan çalışma metoduna geçtiği bugünlerde, çalışanın bu uygulamanın olumsuz sonuçları konusunda dikkatle bilgilendirilmesi gerekmektedir.

Sonuç olarak,

COVID-19 küresel bir salgın olsa da hukuksal açıdan da şirketler bakımından ele alınması gereken yeni konuları beraberinde getiriyor. Bu süreçle mücadele ederken şirketlerin hukuk düzenin gerekliliklerini yerine getirmesi de hala önem arz ediyor.

Kişisel verilerin korunması alanı bu süreci en yakından ilgilendiren regüle alanlardan bir tanesi. Pek çok veri koruma otoritesi bu süreçte uyulması gereken kurallara ilişkin yönlendirici açıklamalar yaparken ülkemizde Kişisel Verilerin Korunması Kurumu halen sessizliğini korumakta. Bu konuda Kurum’dan bir açıklama yapılması durumda sizleri bilgilendirmeye devam ediyor olacağız.

Veri Sorumlularına Yeni Yıl Hediyesi!

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Türkiye’nin adli bilişim uzmanına sahip ilk hukuk ekibi BASEAK’ta…

Daha önce EY’ın Adli Teknoloji ve Keşif Hizmetleri (Forensic IT) departmanında Kıdemli Müdür olarak ve Sestek Ses ve İletişim Bilgisayar Teknolojileri’nde Ürün ve Teknoloji Danışmanlığı Takım Lideri olarak görev yapan Burak Aytekin; Kamu Politikaları, Regülasyon ve Rekabet ekibimize katıldı.

Aytekin, 12 yılı aşkın süredir elektronik keşif ve inceleme, veri analizi, siber güvenlik, kişisel verilerin korunması ve usulsüzlük incelemesi projelerinde ve yönetimlerinde yer almış bulunuyor. Rekabet hukuku, kişisel verilerin ve beyaz yakalı suçları dâhil olmak üzere çeşitli hukuk alanlarında gelişmiş adli BT araçlarını ve elektronik keşif yazılımlarını kullanma konusunda derin bir deneyime sahip olan Aytekin, aynı zamanda 2018 yılından beri Etik ve İtibar Derneği tarafından düzenlenen “Kurumsal Etik ve Uyum Yönetimi Sertifika Programı”nda ders veriyor. Aytekin, yazılım geliştirme konusundaki geçmişiyle bugüne kadar iki yazılım teknolojisi şirketi kurmuş olup müşteri taleplerine özel çözümler sunma konusunda pratik deneyime sahip.

Bu birikimi ile Kamu Politikaları, Regülasyon ve Rekabet ekibine çok önemli bir katkı sağlayacak ve ekibimize kapsamlı ve etkin soruşturma süreçleri ve uyum programları dâhil olmak üzere birçok konuda yardımcı olacak olan Burak Aytekin’e “Ekibimize hoş geldiniz!” demekten büyük mutluluk duyuyoruz!

California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Veri Koruma Hukuku’nun İhlali Tek Başına Rekabet Hukuku’nun İhlali Anlamına Gelir mi? : Düsseldorf Bölge Mahkemesi’ne Göre Hayır!

Hatırlanacağı üzere bu yılın başında Almanya Rekabet Otoritesi Bundeskartellamt, Facebook hakkındaki soruşturmasını neticelendirmişti. Soruşturma neticesinde Facebook’un rekabeti ihlal ettiği tespit edilmiş, herhangi bir para cezası uygulanmadan ihlale neden olan davranışlara son verilmesi yönünde bazı tedbirlerin uygulanmasına karar verilmişti.

Bundeskartellamt tarafından verilen kararda Facebook’un, kullanıcıların verilerini ölçüsüz bir şekilde topladığı ve başka internet siteleri üzerindeki eklentileri sayesinde kullanıcıların bilgisi olmaksızın veri toplayabildiği belirtilmişti. Bundeskartellamt Facebook’un bu davranışlarını Alman Rekabet Kanunu GWB’nin (Gesetz gegen Wettbewerbsbeschränkungen) hakim durumun kötüye kullanılmasını düzenleyen  hükmüne aykırılık olarak değerlendirmişti. Kararda Facebook’un bu davranışları AB Genel Veri Koruma Tüzüğü GDPR (General Data Protection Regulation) ekseninde de değerlendirilmişti.

Bundeskartellamt’ın Şubat ayında açıkladığı bu Facebook kararı pek çok eleştiriye hedef oldu. Eleştirilerin başında ise Facebook’un karara konu davranışlarının rekabet hukukundan ziyade veri koruma hukuku ile ilişkili olduğu, bu nedenle Bundeskartellamt’ın düzenleyici kurum olarak kendisine tanınan yetki alanının sınırlarını aştığı gelmekteydi. Facebook da hakkında verilmiş karara karşı aynı eleştiriyi getirmiş ve Bundeskartellamt’ın kararına karşı itiraz sürecini işleteceğini belirtmişti.

Geçtiğimiz günlerde Facebook’un itirazı ilk meyvesini verdi. Karara karşı itiraz mercii olan Düsseldorf Bölge Mahkemesi, Bundeskartellamt’ın Facebook hakkında verilmiş kararının yürütmesini durdurdu ve rekabet otoritesinin kararındaki tedbirlerin uygulanmamasına karar verdi. Düsseldorf Bölge Mahkemesi yürütmeyi durdurma kararında, Bundeskartellamt’ın kararında açık bir hukuka aykırılık olduğu konusunda ciddi şüphelerinin bulunduğunu belirtti ve “Facebook’un uygulamalarının veri koruma hukukuna aykırı oluşu doğrudan bir rekabet ihlaline işaret etmez” ifadeleriyle karara yönelik eleştirilerle benzer bir tavır sergiledi. Facebook’un davranışlarının yeni rakiplerin piyasaya girişine engel olduğuna yönelik herhangi bir değerlendirmenin Bundeskartellamt tarafından yeterince yapılmadığına dikkat çekilen yürütmeyi durdurma kararında, Google’ın nezdinde çok kapsamlı veriler barındırmasına karşın sosyal medya platformu Google+’ın piyasada tutunamayarak kapanması verinin tek başına rekabetçi avantaj sağlamayabileceği argümanına örnek olarak yer verildi.

Bundeskartellamt, Düsseldorf Bölge Mahkemesi’nin yürütmeyi durdurma kararının ciddi hukuki eksikliklerinin bulunduğunu belirterek kararın kaldırılması için temyiz merciine müracaat edeceğini açıkladı.

Avrupa’da Yaz Sert Geçiyor: Rekabette Veri Güvenliği Fırtınasına Dikkat!

Avrupa rekabet soruşturmalarında hâkim durumdaki şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise teknoloji devleri olacak gibi görünüyor.

Almanya’nın rekabet otoritesi Bundeskartellamt’ın Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça, rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında veri güvenliği kurallarının devreye girmesi tartışılıyor.

Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe geçtiğini belirtti.[1] Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek, düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin engel olamayacağını açıkça belirtmesi oldu.

Değişim rüzgârının öncüsü Bundeskartellamt başkanı Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken Genel Veri Koruma Yönetmeliği’ni (“GDPR”) dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici olduğunu belirtti.

Bu süreç nasıl başladı?

Bundeskartellamt 2019’un başlarında sonuçlandırdığı soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil ettiğine karar vermişti.[2] Facebook, kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta, daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından, kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak ileri sürülmemesi kuralına aykırılık söz konusuydu.

Başta veri koruma otoritelerinin yetki alanında görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi için toplamda 12 aylık bir süre tanıdı.

Fransa’dan işbirliği çağrısı

Fransız rekabet otoritesi Autorite de la Concurrence’in başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3] Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva, Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital platformları mercek altına aldığına işaret etti.

Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva, teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş birliğine ihtiyaç duyulduğunun altını çizdi.

Türkiye’de ne noktadayız?

Aslında rekabet kişisel verilerin korunması hukuku arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]

İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek. 


[1] Newman, Matthew. “Facebook, Microsoft antitrust cases show convergence with data-privacy rules, EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.

[2] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=4

[3] Yaiche, Arezki. “Data-Collection Abuses among Priorities of French Competition Authority.” MLex Global Antitrust, MLex, 9 July 2019, 14:05.

[4] https://www.kvkk.gov.tr/Icerik/5431/-Kurumumuz-ile-Rekabet-Kurumu-Arasinda-Isbirligi-Protokolu-Imzalandi