Avrupa Veri Koruma Tüzüğü (“GDPR”), ilk defa, Avrupa Birliği dışında bir veri sorumlusuna uygulandı. İngiltere Veri Koruma Kurumu (“ICO”), AB’de herhangi bir fiziki varlığı bulunmayan bir siyasi danışmanlık ve teknoloji şirketine muhtıra gönderdi. Muhtıraya dayanak olarak, şirketin AB ve Birleşik Krallık vatandaşlarının verilerini Brexit kampanyaları için kullanması gösterildi. Karar, Avrupa Veri Koruma Tüzüğü’nün AB dışında yerleşik şirketlere uygulanma ihtimalini gözler önüne serdi.
Kanada’da yerleşik bir şirket olan AggregateIQ Data Services Ltd’ye (“AIQ”) 6 Temmuz 2018 tarihli ilk muhtıra (“İlk Muhtıra”) ICO tarafından GDPR’ın 3(2)(b) maddesine dayanılarak gönderildi. Bahse konu madde, AB’deki gerçek kişilerin davranışlarının izlenmesi söz konusu olduğunda GDPR’ın ilgili kişi ve kurumlara uygulanmasını mümkün kılıyor. ICO, İlk Muhtıra kapsamında AIQ’dan; veri analizi, siyasi kampanya veya diğer herhangi bir reklam amacıyla Birleşik Krallık ve AB vatandaşlarına ilişkin Birleşik Krallık siyasi organizasyonlarından ya da başka kişilerden alınan bütün verilerin işlenmesine son verilmesini talep etti.
İlk Muhtıra’nın gönderilmesinden dört ay sonra ICO, Madde 3(2)(b)’ye yapılan atfı kaldırarak ve kapsamını yalnızca Birleşik Krallık vatandaşları ile sınırlayarak İlk Muhtıra’yı 24 Ekim 2018 tarihli ikinci bir muhtıra (“İkinci Muhtıra”) ile değiştirdi. AIQ’ya, İkinci Muhtıra’yı yerine getirmesi için 30 günlük süre tanındı. AIQ’nun İkinci Muhtıra’yı yerine getirmemesi durumunda 20 milyon Euro veya dünya çapındaki cirosunun %4’ü oranında ceza kesilmesi (hangisi daha yüksekse) imkân dahilindeydi.
Ancak, Birinci Muhtıra’ya itiraz eden AIQ, İkinci Muhtıra’da kapsamın daraltılması akabinde itirazını geri çekti.
6 Temmuz 2018 tarihli İlk Muhtıra’nın tam metnine bu linkten, 24 Ekim 2018 tarihli İkinci Muhtıra’nın tam metnine ise bu linkten ulaşabilirsiniz (Yalnızca İngilizce dilinde ulaşılabilir).