Türkiye’de faaliyet gösteren birçok şirket, GDPR’ın yalnızca Avrupa Birliği’nde yerleşik firmalar için geçerli olduğu varsayımıyla hareket etmektedir. Ancak özellikle ihracat ve ithalat yapan Türk şirketleri açısından bu yaklaşım, güncel hukuki gerçeklikle örtüşmemektedir.

GDPR, klasik anlamda yerleşiklik kriterini aşmış; veri işleme faaliyetinin etkisini esas alan bir uygulama alanı benimsemiştir. Bu yaklaşımın merkezinde ise GDPR Madde 3 (Territorial Scope – Uygulama Alanı) yer almaktadır.

GDPR Madde 3 Ne Anlama Geliyor?

GDPR Madde 3 uyarınca bir şirketin GDPR kapsamına girmesi için AB içinde yerleşik olması şart değildir. Aşağıdaki hâllerden birinin varlığı, Türkiye’de yerleşik bir şirketin dahi GDPR yükümlülükleriyle karşı karşıya kalmasına yol açabilir:

• AB’de bulunan gerçek kişilere mal veya hizmet sunulması,
• AB’de bulunan kişilerin davranışlarının izlenmesi (çerezler, web analitiği, CRM sistemleri, dijital pazarlama faaliyetleri vb.).

Bu noktada dikkat edilmesi gereken husus şudur:
Ödeme alınması, sözleşmenin AB’de imzalanması veya fiziksel teslimat yapılması zorunlu değildir.

AB’ye yönelik dijital erişilebilirlik, çok dilli web siteleri, AB ülkelerine kargo seçenekleri, fiyatlandırma veya hedefli pazarlama faaliyetleri dahi GDPR’ın uygulanmasını tetikleyebilir.

İhracat ve İthalat Yapan Şirketler Açısından Özel Risk Alanları

İhracat ve ithalat yapan şirketler, çoğu zaman farkında olmadan GDPR kapsamına giren veri işleme faaliyetleri yürütmektedir. Bunlar arasında özellikle şunlar öne çıkar:

• AB’deki müşteri ve tedarikçilere ait iletişim ve sözleşme verileri,
• Lojistik ve teslimat süreçlerinde işlenen alıcı ve takip bilgileri,
• Satış sonrası destek, garanti ve müşteri ilişkileri yönetimi (CRM),
• Web siteleri üzerinden yürütülen teklif, başvuru ve pazarlama süreçleri.

Bu faaliyetlerin KVKK’ya uygun şekilde yürütülmesi, tek başına GDPR uyumu anlamına gelmez. Zira GDPR, gerek yükümlülüklerin kapsamı gerekse yaptırım rejimi bakımından çok daha geniş ve katı bir sistem öngörmektedir.

“KVKK’ya Uyumluyuz” Yaklaşımının Sınırları

KVKK ile GDPR aynı temel veri koruma ilkelerini paylaşmakla birlikte, uygulamada önemli farklılıklar barındırır. Özellikle:

• Açık rıza ve hukuki sebep rejimi,
• Aydınlatma yükümlülüğünün kapsamı ve dili,
• Veri ihlali bildirim süreleri,
• Sınır ötesi veri aktarımı mekanizmaları,
• İdari para cezalarının üst sınırları

bakımından GDPR, şirketler açısından daha yüksek bir uyum standardı getirmektedir.

Bu nedenle, yalnızca KVKK perspektifiyle hareket eden ihracatçı şirketler, GDPR kaynaklı hukuki ve ticari riskleri gözden kaçırabilmektedir.

Uluslararası Ticarette Yeni Standart: GDPR

Bugün GDPR, yalnızca bir veri koruma mevzuatı değil;
uluslararası ticarette güven ve uyum standardı hâline gelmiştir.

AB merkezli şirketler, Türk iş ortaklarından giderek artan şekilde:

• GDPR uyum beyanları,
• Veri işleme sözleşmeleri (DPA),
• Teknik ve idari tedbir dokümantasyonu,
• Gerekli hâllerde AB temsilcisi atanması

gibi taleplerde bulunmaktadır. Bu taleplere hazırlıksız yakalanan şirketler açısından risk, yalnızca idari yaptırımlar değil; ticari ilişkilerin sürdürülebilirliğinin zedelenmesidir.

Sonuç ve Hukuki Değerlendirme

Av. Dr. Çağrı Tuna’nın Görüşü

Uygulamada sıklıkla karşılaştığım temel sorun, GDPR’ın Türk şirketleri tarafından hâlâ “AB’ye özgü bir mevzuat” olarak algılanmasıdır. Oysa GDPR Madde 3, özellikle ihracat ve ithalat yapan şirketler bakımından doğrudan ve fiilî bir sorumluluk alanı yaratmaktadır.

KVKK uyumu, şirketler için önemli ve gerekli bir başlangıç noktasıdır. Ancak GDPR perspektifi eklenmeden, bu uyum eksik ve kırılgan kalmaktadır. Türk şirketlerinin faaliyet alanlarını, müşteri profillerini ve dijital temas noktalarını GDPR Madde 3 merceğinden yeniden değerlendirmeleri, hukuki riskleri yönetmenin yanı sıra ticari güvenilirliklerini korumaları açısından da kritik önemdedir.

Bu nedenle GDPR, ertelenebilir bir uyum başlığı değil;
uluslararası ticaret yapan her Türk şirketi için stratejik bir zorunluluktur.