ÖZET
Teknolojinin hizli gelisimi, küresellesme ve dijital ekonominin birbirinin itici gücü olmasi ile birlikte kisisel veriler, hem özel sirketlerin hem de kamu kurumlarinin faaliyetlerini etkili sekilde sürdürebilmeleri için elzem hale gelmistir. Nitekim dünya ülkeleri, kisisel veri aktariminin ulusal güvenliklerine, siyasi varliklarina ve vatandaslarinin temel hak ve özgürlüklerine karsi bir tehdit olusturmamasi adina, söz konusu aktarim faaliyetleri bakimindan ilgili kisilere mahremiyetlerini güvence altina alacak haklar taniyan ve fakat ayni zamanda söz konusu veri akisinin ticari hayatin gerekliliklerini karsilayacak ölçüde pratik ve öngörülebilir sekilde gerçeklestirilmesine imkân taniyan hukuki düzenlemeler olusturmakta ve güncel ihtiyaçlar dogrultusunda söz konusu düzenlemeleri modernize etmektedirler. Bu dogrultuda, Genel Veri Koruma Tüzügü kapsaminda düzenlenen üçüncü ülkelere veri aktarimina iliskin mekanizmalar arasinda yer alan standart veri koruma maddelerinde yakin zamanda yapilan degisiklikler ile tüm dünya ülkeleri bakimindan yeni bir sayfa açilmistir. Bu makale kapsaminda öncelikle söz konusu standart veri koruma maddelerinin tarihsel gelisimine yer verilecek olup, takiben güncel gelismeler uyarinca yapilan birtakim önemli degisiklikler kisaca incelenecek ve son olarak ilgili mekanizmaya basvuracak sirketler bakimindan izlenmesi önerilen yol haritasi hakkinda bilgi verilecektir
Anahtar Kelimeler: Kisisel Veri, GDPR, Standart Veri Koruma Maddeleri, Schrems.
GIRIS
Avrupa Komisyonu ("Komisyon") tarafindan gerçek kisilerin temel haklarinin dijital çaga uygun sekilde güçlendirilmesi ve ticari isletmeler bakimindan kurallarin kolaylastirilarak Avrupa Birligi ("AB") dijital tek pazar stratejisine katki saglanmasi adina zorunlu bir adim olarak degerlendirilen1 ve 95/46/AT sayili Avrupa Birligi Veri Koruma Direktifi'ni2 ("Direktif") geçersiz kilan 2016/679 sayili Avrupa Birligi Genel Veri Koruma Tüzügü3 ("GDPR") 24 Mayis 2016 tarihinde yürürlüge girmistir. Içinde bulundugumuz dijital dönüsüm sürecinde ekonominin en degerli unsuru haline gelen kisisel veriler bakimindan ilgili kisilerin temel hak ve özgürlükleri ile veri temelli ekonomi arasinda dengenin saglanmasi da GDPR'nin hedefleri arasinda yer almaktadir. Nitekim, söz konusu dijital ekonomi bakimindan kaçinilmaz hale gelen üçüncü ülkelere kisisel veri aktarimina iliskin GDPR'de AB içi veri aktarimina kiyasla daha siki düzenlemelere yer verilmistir.
Bu kapsamda, GDPR'nin 5'inci bölümünde yer alan hükümler uyarinca hukuka uygun sekilde üçüncü bir ülkeye kisisel veri aktarimi yalnizca (i) Komisyon tarafindan verilerin aktarildigi uluslararasi bir organizasyonun veya üçüncü ülkenin ya da o ülkenin içindeki bir bölgenin yahut bir veya daha fazla sektörün yeterli düzeyde koruma saglamayi taahhüt ettigine iliskin bir karar4 verilmesi, (ii) böyle bir kararin mevcut olmamasi durumunda, ilgili kisilere icra edilebilir ilgili kisi haklarinin ve basvurulabilir yasal yollarin saglanmasi sartiyla veri aktaran veri sorumlusu yahut veri isleyen tarafindan yeterli bir güvence5 saglanmasi, (iii) anilan iki sartin da saglanamamasi durumda ise, üçüncü bir ülkeye aktarimin GDPR'nin 49'uncu madde hükümlerinde belirlenen istisnai hallerden biri kapsaminda degerlendirilmesi halinde gerçeklestirilebilmektedir.
Mevcut durumda, Komisyon tarafindan yeterli düzeyde koruma sagladigi kabul edilen ülke sayisi oldukça sinirli oldugundan, üçüncü ülkelere veri aktarimi bakimindan uygulamada siklikla GDPR'nin 46'nci maddesinde düzenlenen yeterli bir güvence tesis etme yoluna basvurulmaktadir. Söz konusu güvenceler arasinda yer alan standart veri koruma maddeleri (standard data protection clauses) ise, diger güvencelere kiyasla sundugu kolayliklar nedeniyle sirketler tarafindan en çok basvurulan mekanizmalardan biri olsa da veri güvenligini saglamada fiilen yetersiz kalmasi nedeniyle her daim elestirilere konu olmus ve bu kapsamda söz konusu elestirilerin isaret ettigi eksikliklere çözüm saglanmasi adina tadil edilmistir. Nitekim, Komisyon'un 4 Haziran 2021 tarihli uygulama karari6 (implementing decision) uyarinca standart veri koruma maddeleri modernize edilerek mevcut seklini almistir. Isbu makale kapsaminda standart veri koruma maddelerinin tarihsel gelisimine, modernize edilmis maddeler bakimindan öne çikan hususlara ve sirketler tarafindan izlenmesi önerilen yol haritasina yer verilmistir.
Footnotes
1 European Commission, "Questions and Answers – Data protection reform package", Mayis 2017, Erisim Tarihi: 23 Eylül 2021, https://ec.europa.eu/commission/presscorner/detail/en/MEMO_17_1441
2 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p. 31–50, Erisim Tarihi: 14 Eylül 2021, EUR-Lex - 31995L0046 - EN (europa.eu)
3 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119/1, Erisim Tarihi: 14 Eylül 2021, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
4 Komisyon tarafindan belirlenen yeterli koruma düzeyine sahip ülkelerin güncel listesine https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_enadresindenulasilabilecektir .
5 GDPR kapsaminda belirlenen güvence mekanizmalari, kamu kurum ve kuruluslari arasinda yasal baglayiciligi ve uygulanabilirligi olan bir vasita, baglayici sirket kurallari (binding corporate rules), Komisyon tarafindan belirlenen standart veri koruma maddeleri, denetleyici yetkili otoriteler tarafindan belirlenen ve Komisyon tarafindan onaylanan standart veri koruma maddeleri, GDPR madde 40 uyarinca onaylanmis davranis kurallari (code of conduct), GDPR madde 42 uyarinca onaylanmis sertifika mekanizmasi ile yetkili kisisel veri koruma otoritesi tarafindan özellikli amaç(lar) bakimindan onaylanan veri sorumlusu veya veri isleyen ile veri sorumlusu, veri isleyen, üçüncü bir ülkede bulunan veri alicisi veya uluslarasi kurulus arasindaki sözlesme hükümleri veya kamu kurumlari ve organlari arasindaki idari düzenlemelere eklenecek hükümler olarak belirlenmistir.
6 Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries Pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council [2021] OJ L199/31, Erisim Tarihi: 13 Eylül 2021, Publications Office (europa.eu)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
