Brexit Sonrası Birleşik Krallık Veri Koruması: GDPR ve Birleşik Krallık GDPR'si

Brexit, Birleşik Krallık'ın veri koruma ortamını temelden değiştirdi. 1 Ocak 2021'den itibaren Birleşik Krallık, AB'nin yasal çerçevesinden ayrıldı ve AB GDPR'nin doğrudan uygulanması durduruldu. Birleşik Krallık, AB GDPR'sini iç hukukunda "Birleşik Krallık GDPR'si" olarak (Avrupa Birliği (Çekilme) Yasası 2018 kapsamında) korudu ve Veri Koruma Yasası 2018 (DPA 2018) ile desteklendi. Sonuç, AB GDPR'sine büyük ölçüde benzeyen ancak önemli farklılıkları olan bir çerçeve ve Birleşik Krallık ile AB arasında işletmelerin yakından izlemesi gereken kırılgan bir yeterlilik ilişkisidir.

Birleşik Krallık GDPR'si ile AB GDPR'si arasındaki kesin farkları anlamak ve her iki yargı bölgesinde faaliyet gösteren işletmeler için ikili uyumluluğu yönetmek, Birleşik Krallık merkezli işletmeler ve Birleşik Krallık ve AB'de faaliyet gösteren uluslararası şirketler için çok önemlidir.

Önemli Çıkarımlar

• Birleşik Krallık GDPR'si, AB GDPR'sinden türetilmiştir ancak artık ayrı bir iç kanundur - AB GDPR'si artık doğrudan Birleşik Krallık'ta geçerli değildir
• AB, Haziran 2021'de Birleşik Krallık'a yeterlilik kararları vererek AB→İngiltere veri akışlarına izin verdi - ancak bunlar bir sona erme hükmüne ve periyodik incelemeye tabidir
• Birleşik Krallık→AB veri akışları: Birleşik Krallık ayrıca Birleşik Krallık yasaları uyarınca AB ülkelerine yeterlilik tanıdı ve Birleşik Krallık GDPR kapsamında AB→İngiltere akışlarına izin verdi
• Temel farklar: Birleşik Krallık GDPR'sinde farklı SCC'ler, farklı transfer mekanizmaları, ICO (EDPB değil) denetimi ve Birleşik Krallık'a özgü gelişen konumlar bulunur
• 2025 tarihli Veri Koruma ve Dijital Bilgi (DPDI) Yasası, Birleşik Krallık GDPR'sinde reform yaptı — değişiklikler arasında gevşetilmiş meşru menfaatler, yeni tanınan meşru menfaatler ve basitleştirilmiş kayıt tutma yer alıyor
• ICO cezaları 17,5 milyon £'a veya küresel cironun %4'üne ulaşıyor - AB GDPR ile aynı yapı
• Hem Birleşik Krallık GDPR'sine hem de AB GDPR'sine tabi olan işletmeler, her iki çerçeveyi de bağımsız olarak karşılamalıdır

---

Brexit Sonrası Birleşik Krallık Veri Koruma Çerçevesi

Birleşik Krallık GDPR ve Veri Koruma Yasası 2018

Birleşik Krallık'ın veri koruma çerçevesi iki temel araçtan oluşur:

Birleşik Krallık GDPR: Birleşik Krallık yasalarında muhafaza edilen, DPA 2018 ve sonraki yasal belgelerle değiştirilen AB GDPR'si. Birleşik Krallık'a özgü bazı değişikliklerle birlikte AB GDPR'nin altı yasal temelini, veri sahibi haklarını, denetleyici/işleyici çerçevesini, DPIA gerekliliklerini ve DPO yükümlülüklerini korur.

Veri Koruma Yasası 2018: Birleşik Krallık GDPR'sini şu şekilde tamamlar:

• Birleşik Krallık'a özgü istisnaların uygulanması (örneğin kolluk kuvvetleri, ulusal güvenlik, gazetecilik için)
• ICO'nun yetkilerinin ve rolünün belirlenmesi
• Özel kategorilerdeki verilerin işlenmesi için ek koşulların sağlanması
• Kamu otoriteleri için DPO gerekliliklerinin belirlenmesi
• Ceza gerektiren suçlar ve yaptırımlara ilişkin çerçevenin oluşturulması

Veri Koruma ve Dijital Bilgi (DPDI) Yasası 2025: Birleşik Krallık GDPR'sini değiştiren, iş işleme için daha esnek hükümler getiren, meşru menfaat hükümlerini gevşeten, "tanınan meşru menfaatler" (dengeleme testini ortadan kaldıran yeni kategori), basitleştirilmiş DPIA gereklilikleri ve dijital kimlik hizmetleri için yeni bir düzenleyici çerçeve getiren önemli bir reform.

---

Temel Farklılıklar: Birleşik Krallık GDPR'si ve AB GDPR'si

---

Birleşik Krallık Yeterlilik Durumu ve AB→İngiltere Veri Aktarımları

Birleşik Krallık için AB Yeterlilik Kararları (Haziran 2021)

Avrupa Komisyonu, 28 Haziran 2021'de Birleşik Krallık'a iki yeterlilik kararı verdi:

1. AB GDPR uyarınca yeterlilik kararı: Kişisel verilerin AB/AEA'dan Birleşik Krallık'a ek aktarım mekanizmaları gerektirmeden serbest akışına izin verir
2. Yasal Uygulama Yönergesi kapsamında yeterlilik kararı: Kolluk kuvvetlerinin veri paylaşımına izin verir

Sonlandırma maddesi: Birleşik Krallık'a yönelik AB yeterlilik kararları dört yıllık bir sonlandırma maddesi içermektedir; yenilenmediği sürece bu kararların süresi 27 Haziran 2025'te sona ermektedir. Avrupa Komisyonu bir inceleme gerçekleştirdi ve yenileme niyetini belirtti ancak yenileme süreci ve buna eklenen koşullar siyasi ve hukuki gelişmelere tabidir.

AB → Birleşik Krallık yeterlilik ilişkisine yönelik riskler:

• Birleşik Krallık veri koruma yasasının GDPR'den ayrılması (DPDI Yasası ve gelecekteki reform yoluyla) Komisyonun incelemesini tetikleyebilir
• Birleşik Krallık hükümetinin gözetim mevzuatı ve toplu veri toplama uygulamaları AB'nin inceleme alanları olmuştur
• Veri koruma standartlarını önemli ölçüde azaltan herhangi bir Birleşik Krallık mahkeme kararı veya mevzuat değişikliği, Komisyonun yeterliliği askıya almasına yol açabilir

Pratik çıkarım: AB→İngiltere veri akışları için Birleşik Krallık'ın yeterliliğine güvenen işletmeler, yenileme muhtemel görünse bile yeterliliğin geri çekilmesi veya askıya alınması için bir acil durum planına (Birleşik Krallık IDTA'ları veya BCR'leri) sahip olmalıdır.

Birleşik Krallık→AB Veri Akışları

Birleşik Krallık GDPR'nin uluslararası aktarım hükümleri uyarınca Birleşik Krallık Dışişleri Bakanı, AB/AEA ülkeleri için yeterlilik düzenlemeleri sağlamıştır; bu, kişisel verilerin ek aktarım mekanizmaları olmadan Birleşik Krallık'tan AB/AEA ülkelerine aktarılabileceği anlamına gelir.

---

Uluslararası Veri Aktarım Anlaşmaları (IDTA'lar)

Birleşik Krallık'tan Birleşik Krallık yeterlilik kararları bulunmayan ülkelere yapılan transferler için Birleşik Krallık GDPR'si uygun önlemlerin alınmasını gerektirir. ICO, Mart 2022'de Uluslararası Veri Aktarım Anlaşmasını (IDTA) ve AB SCC'lerine IDTA Eki yayınlayarak Birleşik Krallık'taki aktarımlara ilişkin eski model hükümlerin yerini aldı.

Temel IDTA özellikleri:

• Dört AB SCC modülü senaryosunun (C2C, C2P, P2P, P2C) tamamını tek bir belgede kapsayan Birleşik Krallık'a özgü standart sözleşme maddeleri
• "Risk Değerlendirmesi" çerçevesi (AB SCC'nin zorunlu TIA'sı yerine)
• Birleşik Krallık'a özgü tanımlar ve denetleyici otorite referansları
• Değiştirilmemesi gereken zorunlu şartlar; isteğe bağlı maddeler mevcut

AB SCC'lerine IDTA Eki: İşletmelerin, AB SCC'lerini Birleşik Krallık amaçları için uyarlayan bir zeyilname ekleyerek Birleşik Krallık transferleri için temel olarak kullanmalarına olanak tanır. Bu, halihazırda AB SCC'lerini uygulamış olan ve Birleşik Krallık'taki transferleri ayrı belgeler olmadan karşılamak isteyen çok uluslu işletmelerin tercih ettiği yaklaşımdır.

AB SCC'lerinden geçiş: ICO, eski AB SCC sözleşmelerini Birleşik Krallık IDTA'larına güncellemek için son tarihi uzattı; 21 Eylül 2022'den önce AB SCC sözleşmelerine giren işletmelerin, bunları Birleşik Krallık IDTA'larıyla (ICO kılavuzuyla genişletilmiş) 21 Mart 2024'e kadar değiştirmesi gerekiyordu.

Uygun aktarım mekanizmasının seçilmesi:

---

ICO Uygulama Yetkileri ve Yaklaşımı

Bilgi Komiserliği Ofisi (ICO) Birleşik Krallık'ın bağımsız veri koruma denetleme makamıdır. Brexit sonrasında ICO artık EDPB'nin bir parçası değil ve her bakımdan bağımsız hareket ediyor.

ICO uygulama yetkileri:

• Kuruluşların bilgi sağlamasını gerektiren bilgilendirme duyuruları yayınlamak
• Değerlendirme bildirimlerinin yayınlanması (denetimler)
• Yaptırım bildirimleri yayınlayın (uyumluluk eylemleri gerektiren)
• Ceza bildirimlerini yayınlayın:
• Daha düşük kademe: 8,7 milyon £'a kadar veya küresel yıllık cironun %2'si (hangisi daha yüksekse) — daha hafif ihlaller için
• Üst kademe: 17,5 milyon £'a kadar veya küresel yıllık cironun %4'ü (hangisi daha yüksekse) — en ciddi ihlaller için
• Kasıtlı veri suçlarına ilişkin cezai kovuşturma (DPA 2018 Bölüm 3 ve suçlar kapsamında)

ICO uygulama yaklaşımı: ICO, tarihsel olarak risk temelli, orantılı bir yaklaşım benimsemiştir; cezalara geçmeden önce kınamalar ve resmi olmayan rehberlik yoluyla kuruluşlarla etkileşime geçmektedir. Ancak ICO önemli para cezaları verdi: British Airways'e 20 milyon £ (daha sonra temyiz üzerine 20 milyon £'a düşürüldü), Marriott International'a 18,4 milyon £ ve kamu yetkililerine birden fazla yedi rakamlı para cezası.

DPDI Sonrası Yasası: 2025 tarihli DPDI Yasası, ICO'nun çerçevesini değiştirerek, veri korumanın yanı sıra gelişen bir dijital ekonomiyi teşvik etmek için bir "temel hedef" getirdi ve sorumlu yapay zeka için yasal bir uygulama kuralları oluşturdu. Bu, DPDI öncesine göre biraz daha inovasyon yanlısı bir düzenleme yaklaşımına işaret ediyor.

---

İkili Uyumluluk: Birleşik Krallık GDPR ve AB GDPR

Hem Birleşik Krallık GDPR'sine hem de AB GDPR'sine (AB faaliyetlerine sahip Birleşik Krallık merkezli işletmeler için en yaygın durum) tabi olan işletmeler için ikili uyumluluğu yönetmek, dikkatli bir program tasarımı gerektirir.

İkili uyumluluk için yapılanma:

1. Ayrı tüzel kişilikler: Birleşik Krallık ve AB operasyonlarınız ayrı tüzel kişiliklerse, her birinin kendi denetleme yetkisi vardır (Birleşik Krallık için ICO, AB için ilgili ulusal DPA) ve ayrı uyumluluk programları sürdürmelidirler

2. Ortak politika tabanı: Birleşik Krallık GDPR ve AB GDPR, temel gereksinimlerinin ~%95'ini paylaşıyor. Her ikisinin de tüm gereksinimlerini kapsayan, Birleşik Krallık'a özgü ve AB'ye özgü katmanlarla tek ve kapsamlı bir gizlilik programı oluşturulabilir

3. Transfer mekanizmaları: Birleşik Krallık → AB transferleri Birleşik Krallık yeterlilik düzenlemelerini kullanır (şu anda herhangi bir mekanizmaya ihtiyaç yoktur). AB→İngiltere transferleri Birleşik Krallık için AB yeterlilik kararını kullanır (şu anda herhangi bir mekanizmaya ihtiyaç yoktur). Birleşik Krallık ile diğer ülkeler arasındaki dahili transferler Birleşik Krallık IDTA'larına ihtiyaç duyar. AB ile diğer ülkeler arasındaki iç transferler AB SCC'lerine ihtiyaç duyar

4. Baş denetim makamı: AB GDPR uyarınca, AB operasyonları, tek noktadan hizmet mekanizması aracılığıyla sınır ötesi AB işlemleri için bir baş denetim makamı atayabilir. Bu, Birleşik Krallık'ta geçerli değildir; ICO, Birleşik Krallık'ta kurulu tüm kuruluşları denetler

5. Gizlilik bildirimleri: Ayrı gizlilik bildirimleri bulundurun veya Birleşik Krallık ve AB yasal dayanaklarını, iletişim bilgilerini (DPO, Birleşik Krallık temsilcisi, AB temsilcisi) ve denetleyici makam referanslarını açıkça ayırın

6. DPO ataması: Her iki çerçeve kapsamında da gerekiyorsa, tek bir DPO her iki yargı bölgesine de hizmet edebilir. Birleşik Krallık gizlilik bildirimlerindeki DPO iletişim bilgileri Birleşik Krallık yükümlülüklerine atıfta bulunmalıdır; AB bildirimleri AB yükümlülüklerine atıfta bulunmalıdır

---

Birleşik Krallık'a Özel Veri Koruma Hususları

PECR (Gizlilik ve Elektronik İletişim Düzenlemeleri 2003)

Birleşik Krallık PECR çerezleri, elektronik pazarlamayı ve trafik/konum verilerini yönetir. Birleşik Krallık GDPR'sinden ayrıdır ve reform devam etmesine rağmen DPDI Yasası tarafından güncellenmemiştir. Temel PECR gereksinimleri:

• Çerez onayı: gerekli olmayan çerezler için açıkça bilgilendirilmiş onay gereklidir
• E-posta/SMS pazarlaması: bireyler için katılım izni gereklidir; Mevcut bir müşteri ilişkisinin ve aynı/benzer ürünlerin mevcut olduğu durumlarda devre dışı bırakma (yumuşak katılım) mümkündür
• Soğuk arama: Telefon Tercihi Hizmeti'ndeki (TPS) numaralara yasaktır; işletmeler Kurumsal TPS'ye kaydolabilir

Biyometrik Veriler (Birleşik Krallık GDPR kapsamında Özel Kategori)

Bireyleri benzersiz şekilde tanımlamak için işlenen biyometrik veriler, Birleşik Krallık GDPR kapsamında özel bir kategoridir. DPA 2018 Çizelge 1, açık rıza ve iş hukuku koşulları da dahil olmak üzere, özel kategorilerin işlenmesine ilişkin özel koşullar sağlar.

Birleşik Krallık Dışında Yerleşik Denetleyiciler için Birleşik Krallık Temsilcisi

Birleşik Krallık GDPR Madde 27 uyarınca, Birleşik Krallık'ta yerleşik olmayan ancak Birleşik Krallık GDPR'sine tabi olan kontrolörler ve işleyiciler (çünkü Birleşik Krallık bireylerine ürün/hizmet sundukları veya Birleşik Krallık bireylerinin davranışlarını izliyorlar) bir Birleşik Krallık temsilcisi atamak zorundadır. Bu, DPO'nun bağımsız bir rolüdür ve gerçek kişi veya tüzel kişi olabilir.

---

Birleşik Krallık Veri Koruma Uyumluluğu Kontrol Listesi

• Kuruluşunuz için Birleşik Krallık GDPR'sinin, AB GDPR'sinin veya her ikisinin de geçerli olup olmadığını belirleyin
• Birleşik Krallık dışında yerleşik olması ve Birleşik Krallık GDPR'sine tabi olması durumunda Birleşik Krallık temsilcisi atanır
• Gizlilik bildirimi Birleşik Krallık GDPR'sine, ICO'ya ve Birleşik Krallık'a özgü haklara atıfta bulunacak şekilde güncellendi
• Birleşik Krallık'tan yeterli olmayan ülkelere yapılan transferler için Birleşik Krallık IDTA veya IDTA Eki uygulandı
• AB→İngiltere transfer mekanizması gözden geçirildi (şu anda AB'nin Birleşik Krallık için yeterliliğine bağlı — değişiklikleri izleyin)
• Birleşik Krallık GDPR'si kapsamında gerekli olduğu durumlarda atanan DPO; iletişim bilgileri yayınlandı
• Tutulan işleme faaliyetlerinin kaydı (Birleşik Krallık GDPR Madde 30)
• Yüksek riskli işleme faaliyetleri için yürütülen DPIA'lar
• Meşru menfaatlerin yasal dayanak olduğu durumlarda belgelenen meşru menfaat değerlendirmeleri
• PECR uyumluluğu incelendi: çerez izni, elektronik pazarlamaya katılım mekanizmaları
• Birleşik Krallık GDPR yükümlülüklerine ilişkin personel eğitimi tamamlandı
• İhlal bildirim prosedürü: ICO'ya 72 saatlik bildirim, yüksek riskli ihlaller için bireysel bildirim
• Uygulanan veri sahibi hakları prosedürleri (Birleşik Krallık GDPR zaman çizelgesi: bir ay)
• Eski AB SCC sözleşmeleri gözden geçirildi ve gerektiğinde Birleşik Krallık IDTA'larına göre güncellendi

---

Sıkça Sorulan Sorular

AB GDPR, Brexit'ten sonra Birleşik Krallık'ta hâlâ geçerli mi?

Hayır. AB GDPR'si, 1 Ocak 2021'den itibaren Birleşik Krallık'ta doğrudan uygulanmaya son verdi. Ancak Birleşik Krallık, AB GDPR'sini, büyük ölçüde benzer ancak artık ayrı bir Birleşik Krallık tüzüğü olan "Birleşik Krallık GDPR" biçiminde iç hukuk olarak korudu. AB/AEA bireylerinin kişisel verilerini işliyorsanız veya AB merkezli bir kuruluşa sahipseniz AB GDPR, Brexit'ten bağımsız olarak işletmenizin bu yönleri için geçerli olmaya devam eder.

Birleşik Krallık ve AB operasyonları için ayrı DPO'lara ihtiyacım var mı?

Tek bir DPO, her iki çerçeve hakkında yeterli bilgiye sahip olması ve her iki yargı bölgesindeki veri sahipleri ve denetleyici makamlar tarafından erişilebilir olması koşuluyla, hem Birleşik Krallık hem de AB yükümlülüklerini yerine getirebilir. DPO'nun iletişim bilgileri her iki yargı bölgesi için de gizlilik bildirimlerinde yayınlanmalı ve DPO, AB yükümlülüklerine yönelik EDPB rehberliğinin yanı sıra Birleşik Krallık'a özgü ICO rehberliğinden haberdar olmalıdır.

AB, Birleşik Krallık'ın yeterliliğini geri çekerse ne olur?

AB → Birleşik Krallık veri akışları, alternatif bir aktarım mekanizması (tipik olarak AB SCC'leri) gerektirir. İşletmelerin AB→İngiltere transferleri için AB Standart Sözleşme Maddelerini imzalaması ve Transfer Etki Değerlendirmeleri yapması gerekecektir. Bu operasyonel açıdan önemli ancak beklenmedik durumları planlayan işletmeler için yönetilebilir olabilir. Pratikteki aksaklık, resmi aktarım belgeleri olmadan gayri resmi veri akışlarına (çalışan verileri, AB ve Birleşik Krallık kuruluşları arasında paylaşılan bulut altyapısı) dayanan işletmeler için en büyük olacaktır.

DPDI Yasası kapsamında "tanınan meşru menfaatler" nelerdir?

2025 tarihli DPDI Yasası, Birleşik Krallık GDPR kapsamında üç bölümlü meşru menfaat dengeleme testini gerektirmeyen yeni bir işleme amaçları kategorisi olan "tanınmış meşru menfaatleri" uygulamaya koydu. Tanınmış meşru menfaatler şunları içerir: verileri toplayan kuruluş tarafından doğrudan pazarlama yapılması; idari amaçlarla grup içi transferler; ağ ve bilgi güvenliği amaçları; Güvenlik/yasal uyumluluk için çalışanların izlenmesi ve yönetimi. İşletmeler, resmi bir dengeleme testini belgelemeden bunlara güvenebilir, bu da bu özel kullanım durumları için uyumluluğu basitleştirir.

Birleşik Krallık'taki veri koruması yurtdışında yaşayan Birleşik Krallık vatandaşları için nasıl geçerlidir?

Birleşik Krallık GDPR, Birleşik Krallık'taki bireyleri korur; Birleşik Krallık vatandaşlığına veya uyruğuna bağlı değildir. Birleşik Krallık'ta yaşayan bir AB vatandaşı Birleşik Krallık GDPR'si tarafından korunmaktadır. Fransa'da yaşayan bir Birleşik Krallık vatandaşı, Fransa'da uygulanan AB GDPR'si tarafından korunmaktadır. Yasalar, birincil uygulamalarında vatandaşlığa dayalı değil, bölgeseldir. Birleşik Krallık vatandaşlarının verileri, denetleyici/işleyici Birleşik Krallık'ta yerleşik olmadığı veya Birleşik Krallık bireylerini hedef almadığı sürece Birleşik Krallık dışında bulunduklarında Birleşik Krallık GDPR'sine tabi değildir.

Birleşik Krallık'taki çerezler Birleşik Krallık GDPR'sine mi yoksa PECR'ye mi tabidir?

Çerezler, doğrudan Birleşik Krallık GDPR'si tarafından değil, öncelikle Birleşik Krallık'taki Gizlilik ve Elektronik İletişim Düzenlemeleri 2003'e (PECR) tabidir. PECR, çerezler hakkında net bilgi ve gerekli olmayan çerezler için izin gerektirir. Birleşik Krallık GDPR, çerezler (çerezlerin kişisel verileri işlediği yer) aracılığıyla toplanan kişisel veriler için geçerlidir. Her iki çerçevenin de aynı anda karşılanması gerekir; PECR, çerez yerleşimini yönetir; Birleşik Krallık GDPR'si, toplanan kişisel verilerin daha sonraki işlenmesini yönetir.

---

Sonraki Adımlar

Birleşik Krallık'ın Brexit sonrası veri koruma ortamı, özellikle Birleşik Krallık ve AB yetki alanlarında aynı anda faaliyet gösteren işletmeler için pek çok işletmenin beklediğinden daha karmaşıktır. ICO rehberliğine, DPDI Yasası reformlarına ve AB yeterlilik ilişkisine ayak uydurmak sürekli dikkat gerektirir.

ECOSIRE, işletmelerin ikili Birleşik Krallık/AB uyumluluk programlarını tasarlamasına ve sürdürmesine, uygun uluslararası veri aktarım mekanizmalarını uygulamasına ve teknoloji platformlarında tasarım gereği gizlilik oluşturmasına yardımcı olur.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Birleşik Krallık veri koruma yasası, mevzuat ve ICO rehberliği yoluyla gelişiyor. Kuruluşunuza özel tavsiyeler için Birleşik Krallık'taki nitelikli hukuk müşavirine danışın.