Polonya'da yerleşik bir şirketin çalışanı olan George, iş seyahati için gittiği Hindistan'da dizüstü bilgisayarından şirketinin sunucularındaki kişisel verilere erişim sağlamıştır. Bu durum, GDPR kapsamında bir 'kişisel veri aktarımı' sayılır mı? EDPB'nin rehberindeki mantığı açıklayınız.

Hayır, bu durum bir 'kişisel veri aktarımı' sayılmaz. EDPB'nin 05/2021 sayılı rehberinde verilen Örnek 3'e göre, bu tür bir uzaktan erişim aktarım teşkil etmez. Bunun temel nedeni, veriye erişen çalışanın (George), ayrı bir veri sorumlusu veya veri işleyen olmaması, aksine veri sorumlusu olan Polonyalı şirketin bir parçası, onun talimatı ve yetkisi altında hareket eden bir kişi olmasıdır. Veri, hukuken aynı veri sorumlusunun kontrolü altında kalmaya devam etmektedir; sadece coğrafi olarak farklı bir yerden erişim sağlanmıştır. Veri, farklı bir hukuki kişiliğe (başka bir sorumlu veya işleyen) ifşa edilmediği için, EDPB'nin belirlediği ikinci kriter ('başka bir veri sorumlusuna...erişilebilir hale getirme') karşılanmamıştır. Dolayısıyla GDPR 5. Bölüm'deki aktarım kuralları uygulanmaz, ancak veri sorumlusu olan Polonyalı şirket, verilerin güvenliğini her yerde sağlamakla yükümlüdür (GDPR Madde 32).