Moda Markalarının Markaların GDPR İle İmtihanı - I LAW FASHION
Yukarı

Moda Markalarının Markaların GDPR İle İmtihanı

95/46 sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’ni yürürlükten kaldıran GDPR (General Data Protection Regulation – Avrupa Birliği Genel Veri Koruma Tüzüğü Bölgesel Uygulama (Territorial Scope) başlıklı 3. maddesi ile Tüzük’ün uygulanacağı yer konusunda bazı kurallar ortaya koymuştur.  Tüzük’ün 3. Maddesi şu şekildedir: 

“1. Bu Tüzük, işleme faaliyetinin Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusunun veya veri işleyenin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesine uygulanır.

2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan ilgili kişilerin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya veri işleyen tarafından işlenmesine uygulanır:

(a) İlgili kişiye bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu ilgili kişilere mal ya da hizmetlerin sunulması veya

(b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.

3. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir veri sorumlusu tarafından kişisel verilerin işlenmesine uygulanır.“

Konunun daha iyi anlaşılabilmesi için bazı kavramların açıklanması gerekmektedir:

Kişisel Veri (Personal Data): Tüzük m.4/1 uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. Kişinin; adı, kimlik numarası, lokasyon verisi, çevrimiçi kayıtları, sağlık verileri, parmak izi, cinsel hayatına ilişkin bilgileri, dini, etnik kökeni vs. bu kapsamda kişisel veriye örnek olarak sayılabilir.

Veri Sorumlusu (Controller): Tüzük m.4/7 uyarınca veri sorumlusu, “kişisel verilerin işlenme amaçlarını ve vasıtalarını tek başına yahut başkaları ile birlikte belirleyen gerçek veya tüzel kişi, kamu kurum, kuruluşu yahut da herhangi bir organdır”.

Tüzük’ten de anlaşılacağı üzere verinin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi bu andan itibaren veri sorumlusu sıfatını kazanmaktadır. Örneğin, ikinci el kıyafetlerin satıldığı bir mobil aplikasyon böyledir. Zira ilgili satış sözleşmesinin kurulabilmesi ve satın alınan malların teslimi için birçok veri işleme faaliyetinin gerçekleştirilmesi gerekmektedir. Üyelik işlemleri için ad, soyad, e-posta, telefon gibi bilgilerin alınması, ödeme işlemleri için kredi kartı veya banka kartı bilgilerinin alınması, teslimat için adresin sisteme girilmesi, adresin doğruluğunun teyidi için lokasyon verisinin aktif hale getirilmesi şeklinde çok kısa süre içerisinde yapılan bu gibi bilgi paylaşımlarına ilişkin işleme amaçlarını ve vasıtalarını belirlemek firmayı veri sorumlusu haline getirir.

Veri İşleyen (Processor): Tüzük m.4/8 uyarınca veri işleyen, “veri sorumlusu adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kurum kuruluşu veya diğer herhangi bir organdır”. Örneğin, bir gözlük markasının, işlemiş olduğu kişisel verilere ilişkin bilgileri tutmak için bir bulut hizmeti sağlayıcısı ile sözleşme yapmış olabilir. Bu ihtimalde bulut hizmetini sağlayan şirket veri işleyendir.

Bölgesel Uygulamaya İlişkin Kriterle

  • İşletme Kriteri

İşletme kriteri uyarınca, veri sorumlusu veya veri işleyenin işletmesinin AB içerisinde yer alması durumunda, işleme faaliyetinin AB dahilinde yapılıp yapılmadığına bakılmayacak, Tüzük uygulama alanı bulacaktır. Bir diğer deyişle veri sorumlusunun veya veri işleyenin AB içerisinde bir işletmesinin bulunması gerekmekte ve veri işleme sürecinin bu işletmenin faaliyetleri kapsamında gerçekleştirilmesi gerekmektedir.

İşletmenin merkezi her zaman AB sınırları içerisinde olmayabilir.  İşletme, Avrupa’daki süreçlerin takibi ve denetlenmesi için AB dahilinde bir ofis veya şube açma yoluna gidebilir. Bu ihtimalde, AB içerisinde şube veya ofis açma yoluna giden şirket de AB işletmesi sayılacak ve Tüzük’e tabi olacaktır. Örneğin, reklamcılık ve satış dahil tüm operasyonel faaliyetlerini Güney Afrika’daki merkezinden yürütülen bir mücevher şirketinin Almanya’daki süreçleri denetlemek amacıyla şube açması durumunda Tüzük’ün uygulanıp uygulanmayacağı tartışılabilir. İlgili ekonomik faaliyetin doğası ve hizmetlerin sağlanmasının Birlik nezdinde düzenli ve istikrarlı biçimde oluşu göz önünde bulundurulduğunda, Almanya’daki şubenin Tüzük anlamında bir işletme olduğu kabul edilebilecektir. Önemli olan faaliyetler arasındaki birbiri ile sıkı ilişki içerisindeki bağlantıdır.

İfade etmek gerekir ki, hangi ülkede kurulu olduğuna bakılmaksızın ilgili web sitesine AB içerisinde bulunan bir ülkeden ulaşabilmek, ilgili veri sorumlusunun Tüzük’e tabi olması açısından tek başına bir ölçüt olarak değerlendirilemez.

İşletme kriteri uyarınca m.3/1’in uygulanabilmesi açısından, öncelikle veri sorumlusu veya veri işleyenin Tüzük’teki anlamıyla tespit edilmesi ve işletmenin AB’de yer alması gerekmektedir. Tüzük’ün uygulanabilmesi açısından devamlılık arz eden, istikrarlı bir işletmenin bulunması gerekmektedir. AB içerisinde bulunan bu işletmenin faaliyetleri ile Avrupa coğrafi sınırları dışarısında gerçekleşen veri işleme faaliyetleri arasında ayrılmaz bir bağlantı aranacaktır.

İnternet üzerinden sunulan hizmetler açısından istikrar kavramının üzerinde durulması gerekmektedir. Zira dijital dönüşümün bu denli etkin yaşandığı 21. yüzyılda insan gücüne ve işin yapıldığı tesislere bağlılık azalmıştır. İlgili şartlar sağlanıyorsa, bir tek kişinin yönettiği bir e-ticaret sitesinin bile bu kapsamda değerlendirilebileceği Kılavuz’da belirtilmektedir.  Bu yorumun dayanağı ise Avrupa Birliği Adalet Divanı’nın Weltimmo Kararı’dır. Yine belirtmek gerekir ki, AB dışında faaliyet gösteren bir veri sorumlusunun Avrupa’da bulunan bir veri işleyen ile çalışması Tüzük’ün uygulanması açısından başlı başlına bir gerekçe oluşturmaz. Aradaki sözleşmesel ilişki, işletmenin varlığı anlamına gelmeyecektir. Ancak arama motorlarında durum bundan farklı olacaktır. Divan, Google – İspanya davasında bu hususu tartışmıştır[8]. Karar, Google İspanya’nın yürüttüğü tanıtım ve satış faaliyetlerinin Direktif kapsamında değerlendirilebileceği ve İspanya hukukunun uygulanabileceği yönündedir. Divan, İspanya’daki faaliyetlerin Amerika’daki arama motorunun faaliyetlerini kazançlı hale getiriyor olmasını bir gerekçe olarak göstermiş ve arama motorunun faaliyetlerini işletme faaliyeti kapsamında değerlendirmiştir.

Google – İspanya kararının bir uzantısı olarak da Kılavuz, işletme kriteri değerlendirilirken gelir kazandırma unsurunun göz önünde bulundurulması gerektiğini ifade etmiştir. Hong Kong’da kurulu bir lüks giyim mağazasının, faaliyetleri çerçevesinde müşterilerinin kişisel verilerini işlediğini varsayalım. Veri işleme faaliyetleri Hong Kong’daki şirketin bizzat kendisi tarafından gerçekleştirilmektedir. Söz konusu marka, Berlin’de yeni bir şube açıp şubenin faaliyetleri çerçevesinde Hong Kong’a sıklıkla iş seyahati yapan ve Avrupa Birliği’nde bulunan müşterilerine pazarlama ve tanıtım yapmaktadır. Bu örnek kapsamında, veri sorumlusu Hong Kong’taki markadır, Berlin’deki şube ise Tüzük kapsamında işletme olarak nitelendirilecektir.

  • Hedefleme Kriteri

Hedefleme kriteri, veri sorumlusu veya veri işleyenin Birlik dahilinde fiili bir işletmesinin, merkezinin yahut ikametgahının bulunmaması durumlarında, Tüzük’ün uygulanabilirliğinin tespiti için başvurulan bir ölçüttür. Zira Tüzük hükümleri, veri sorumlusu veya veri işleyen üzerinde bu kriter uyarınca sonuç doğurabilecektir.

aa. İlgili Kişinin AB’de Bulunması

Tüzük m.3’ün uygulama alanı bulacağı bir diğer ihtimal hedefleme kriterinin sağlanmasıdır. Hedeflemenin yapılıp yapılmadığı tespit edilirken bakılacak ölçütlerden biri ilgili kişinin AB’de bulunmasıdır. Belirtilmelidir ki, vatandaşlık, ikametgah yahut da yasal statü ilgili kişinin tespiti açısından önem taşımaz.

İlgili kişinin AB’de bulunması şartı, mal veya hizmetin sunulduğu veya ilgili kişinin davranışlarının izlendiği ana göre değerlendirilmelidir. Mal veya hizmetin ne kadar süre ile sunulduğu yahut izlemenin hangi zaman dilimi aralığında yapıldığı bu anlamda önem arz etmemektedir.

Çeşitli spor giyim markaları için harita uygulaması geliştiren ABD menşeili bir girişimin olduğunu ve söz konusu bu girişimin AB’de herhangi bir işletmeye sahip olmadığını varsayalım. İlgili harita uygulaması, kullanıcıların lokasyon verilerini, ziyaret edilen şehirlerdeki spor giyim markalarına ilişkin mağazalara yönlendirebilmek için işlemektedir. Kullanıcılar New York’u, San Francisco’yu, Toronto’yu, Londra’yı, Roma’yı ya da Paris’i ziyaret ettiklerinde uygulama onlar için erişime açıktır. Durumdan da anlaşılacağı üzere ABD’li girişim, AB’de bulunan kişilere bir hizmet sunmaktadır. AB’de bulunan ilgili kişilerin verilerinin işlendiği bu tür durumlarda Tüzük m.3/2 uygulama alanı bulacaktır.

bb. İlgili Kişilere Mal veya Hizmet Sunulması

İlgili kişilere mal veya hizmet sunulması durumunda da, AB de herhangi bir işletme bulunmasa dahi Tüzük m.3 uygulama alanı bulacaktır.

Her ne kadar madde metninde belirtilmemiş olsa da hedefleme amacının ve niyetinin belirlenmesi gerekmektedir. Kılavuz’da da bu yönde görüş bildirilmiştir. AB’nin mal veya hizmet götürme amacı, dış dünyaya birtakım somut vakıalarla yansımış olmalıdır. Buna ilişkin olarak da Tüzük’ün Giriş bölümünde belirli hususlarda bu niyetin olmadığı ifade edilmiştir. Örneğin, AB’de bulunmayan bir klasik giyim markasının internet sitesinde kendi iletişim bilgilerine yer vermesi veya kendi dilini kullanıyor olması, bu niyetin var olmadığı anlaşılır.

Hedeflemenin yapılıp yapılmadığı belirlenirken aşağıdaki kriterler kümülatif olarak değerlendirilmeli ve buna göre bir sonuca varılmalıdır (Pammer v Reederei Karl Schlüter GmbH  ve Hotel Alpenhof v Heller) :

  • AB’ye yönelik pazarlama ve reklam faaliyetleri,
  • Arama motoruna AB’deki kişilerin erişimini kolaylaştırmak için ödeme yapılması (patent evidence),
  • Faaliyetin uluslararası niteliği,
  • AB’den ulaşılabilir telefon numarası ve adres tahsis edilmesi,
  • Alan adı kullanımı (.de veya .eu),
  • Seyahat yönlendirmesi yapılması,
  • AB müşterilerinden oluşan uluslararası müşteri portföyüne yer verilmesi,
  • AB dillerinin veya para birimlerinin kullanılması,
  • AB’ye ürün teslimatının yapılması.

Belirtmeliyiz ki, bu kriterlerin tamamının belirli bir seviyede dış dünyaya yansıdığının anlaşılması gerekmektedir.

İnternet üzerinden veya diğer ağ/teknolojilerle yapılan davranış izlemeleri de hedefleme kapsamında değerlendirilebilecektir. Akıllı telefonlar, cihazlar yahut giyilebilir teknolojiler de kanaatimizce bu kapsamdadır. Zira ilgili teknolojik ürünler aracılığıyla birçok kişisel veri işlenebilmektedir. Davranışsal izleme sonucunda elde edilen verilerin hangi amaçla işlendiği, Tüzük m.3’ün uygulanması açısından önemlidir. İlgili kişilerin kişisel verileri, davranışsal analiz, karar verme süreçlerinin analizi, davranış/tercih tahminleme veya profilleme teknikleri kapsamında işlenmekteyse hedeflemenin yapıldığı kabul edilmelidir. Bu kapsamda; davranışsal reklamcılık, CCTV, çevrimiçi davranış izleme ve raporlama aktiviteleri, çerezler, profiller üzerinden pazar araştırması yapılması veya davranışsal çalışmalar yapılması örnek olarak sayılabilir.

Av. Ali Cem Bilgili

Av. Ali Cem Bilgili

AEC Partners Danışmanlık şirketinde Partner

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

İçeriği beğendiniz mi?

tr_TRTR

Moda

Hukuku

Eğitimleri

Başlıyor.

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on whatsapp

Sign up for our Newsletter

iPhone

Lorem ipsum dolor sit amet

MacBook

Sed do eiusmod tempor incididunt

iPad

Tempor incididunt ut labore et dolore