Skip links

General Data Protection Regulation

GDPR’nin kapsamını düzenleyen ikinci maddesine göre; GDPR, kişisel verilerin tamamen ya da kısmen otomatik araçlarla yahut dosyalama sisteminin parçasını oluşturan veya bir dosyalama sisteminin parçası olması amaçlanan araçlarla işlenmesine uygulanır. İkinci maddenin devamında, GDPR’nin uygulama alanı bulmayacağı istisnai haller sayılmıştır. GDPR; birlik hukuku kapsamına girmeyen faaliyetlerde, üye devletler tarafından Avrupa Birliği Anlaşması’na uygun olarak dış güvenlik politikasına ilişkin hükümler uygulanırken, tamamen kişisel veya ev faaliyet esnasında bir gerçek kişi tarafından, kamu güvenliğine yönelik tehditlere karşı güvence sağlanması ve bu tehditlerin önemlisi de dahil olmak üzere suçların önlenmesi, soruşturulması, tespiti ve kovuşturulması ya da cezaların infaz edilmesi ile ilgili olarak yetkili makamlar tarafından kişisel verilerin işlenmesi durumlarında uygulanmaz. İkinci madde ile düzenlenen durumlar GDPR’nin maddi kapsamını belirlerken, GDPR’nin bölgesel kapsamı 3. Madde ile belirlenmiştir. Buna göre GDPR, işleme faaliyetinin Birlik içerisinde gerçekleşip gerçekleşmemesine bakılmaksızın Birlik içerisindeki bir kontrolör veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi halinde uygulanır. Devamla yine 3. maddeye göre GDPR işleme faaliyetlerinin; • Veri sahibine ödeme yapılıp yapılmadığına bakılmaksızın, Birlik içerisindeki veri sahibine mal veya hizmet sunulması veya • Veri sahibinin davranışları Birlik içerisinde gerçekleştiği ölçüde davranışlarının izlenmesi Hususlarından herhangi biriyle alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde olmayan bir kontrolör veya işleyici tarafından işlenmesinde de uygulanacaktır. Görüldüğü üzere GDPR; Avrupa Birliği tabanlı kontrolör ve işleyicilere uygulandığı gibi, Avrupa Birliği içerisinde yer alan veri sahibinden mal veya hizmet sunulması yahut veri sahibinin davranışların izlenmesi durumlarında, veri işleme işleminin nerede gerçekleştiğine bakılmaksızın, uygulanmaktadır. Diğer bir deyişle GDPR, genişletilmiş bir bölgesel kapsam benimsemiştir.32 Yine dikkat edilmesi gereken diğer bir nokta, her ne kadar GDPR’nin yalnızca Avrupa Birliği vatandaşlarına uygulandığı ile ilgili bazı yanlış algılar olsa da GDPR, Birlik içerisinde yaşayan ancak vatandaş olmayan göçmenler, çalışma ve turist vizesi ile Birlik sınırları içerisinde bulunanlar, yaşama izni olanlar gibi Birlik içerisinde yer alan tüm kişileri kapsamaktadır. Buna ek olarak kişisel verisi Avrupa Birliği sınırları içerisinde depolanan yahut işlenen kişiler, Avrupa Birliği vatandaşı olmasalar veya Avrupa Birliği sınırları içerisinde yaşamasalar dahi GDPR’nin korumasından faydalanabileceklerdir. Zira Birlik içerisinde yer alan kurum ve kuruluşlar, yürüttükleri veri işleme faaliyetleri bakımından veri sahibinin nerede olduğuna bakılmaksızın GDPR ile bağlılardır.