1. Giriş

4 Haziran 2021 tarihinde Avrupa Komisyonu (“Komisyon”) tarafından Veri Sorumlusu – Veri  İşleyen arasındaki veri transferi ve yurt dışına veri transferine ilişkin standart sözleşme  maddeleri kabul edildi. Bu maddelerin Komisyon tarafından kabul edilmesinin başlıca sebebi;  Schrems II olarak anılan, Avrupa Birliği ("AB") dışına veri aktarımına imkan veren 2010/87  sayılı karar kapsamında Standart Sözleşme Maddeleri ("SCC")'nin geçerliliğinin davaya konu  olmasıydı.

Komisyon yeni yayınladığı SSC ile Avrupa Veri Koruma Tüzüğü ("GDPR") kapsamında;

(I) AB/Avrupa Ekomomik Alanı ("AEA") içerisinde aktarım:

Veri Sorumlusu-Veri İşleyen arasında

Veri Sorumlusu-Veri Sorumlusu arasında

(II) AB/Avrupa Ekomomik Alanı ("AEA") içerisinden 3. Ülkelere Aktarım:

Veri Sorumlusu /Veri İşleyen'in AB/AEA içinde

Veri Sorumlusu/Veri İşleyenlerin AB/AEA dışında olduğu aktarımlar düzenlenmiştir.

2. Getirdiği Yenilikler

i. GDPR doğrultusunda güncelleme;

ii. Ayrı gruplanmış maddeler yerine çok çeşitli veri transferi senaryolarını kapsayan tek başlangıç noktası yaratma,

iii. Modüler bir yaklaşımla ve ikiden fazla tarafın maddeleri birleştirme ve kullanmasına  imkan sağlayarak çok taraflı işleme faaliyetleri için daha fazla esneklik içermesi,

iv. Şirketlerin Schrems II kararına uymak için atması gereken farklı adımlara ve gerektiğinde şirketlerin alabileceği şifreleme gibi olası 'tamamlayıcı önlemlere' örnekler getirerek genel bir bakış içermesi

3. AB/AEA içerisinde gerçekleşen Aktarım kapsamında Standart Sözleşme Maddelerine ilişkin Değerlendirmei.

i. Veri Sorumlusu sadece ve özellikle yeterli garantileri sağlayan Veri İşleyenler kullanmalıdır.

ii. Veri İşleyen tarafından akdedilen SCC yazılı olarak elektronik form dahil olmak üzere hazır tutulmalıdır.

iii. Veri Sorumlusu ile Veri İşleyen zorunlu unsurları içeren ayrı bir sözleşme şeklinde bu  veri işleme faaliyetini gerçekleştirebilecekleri gibi Komisyon tarafından kabul edilen  SCC' nin tamamını veya bir kısmını akdetmeleri de mümkündür.

iv. İlgili Kişinin herhangi bir talebini Veri İşleyen, Veri Sorumlusuna derhal bildirecektir.

v. Veri İşleyen Veri Sorumlusunca yetkilendirilmemiş ise bu talebe cevap veremez. Veri  Sorumlusunun ilgili kişiye karşı yükümlülükleri ve ilgili kişinin haklarının tatbik  edilebilmesi için Veri İşleyen, Veri Sorumlusuna yardım edecektir ve Veri  Sorumlusunun talimatlarına (yazılı) riayet edip çeşitli yükümlülükleri bakımından  yardım edecektir. Bu yükümlülükler; veri işleme faaliyetleri kapsamında öngörülen  etkinin değerlendirilmesi, yetkili denetçiye danışma, kişisel verilen güncelliği ve  doğruluğunun sağlanmasıdır.

vi. SCC ayrıca veri işleme faaliyetinin konusunu ve süresini belirlemek için Veri Sorumlusu ve Veri İşleyenin niteliği, amacı, kişisel verilerin türü, ilgili kişi kategorileri ve Veri Sorumlusunun yükümlülükleri ve haklarını içermelidir. Veri işleme faaliyeti  Veri İşleyen tarafından belirli süre ve amaç doğrultusunda gerçekleştirilecektir.  vi. Veri İşleyen herhangi bir şekilde bir veri ihlali gerçekleştiğinde derhal Veri  Sorumlusuna haber verecektir.

vii. Veri Sorumlusu veri işleme faaliyeti kapsamında gerçekleşen ihlalde; gecikmeksizin  düzenleyici otoriteye ve ilgili kişiye bildirecektir. Veri Sorumlusunun bildiriminde  kişisel verinin niteliği, kategorisi, ihlalden etkilenen ilgili kişiler kategorilerinin  yaklaşık sayısı, yaklaşık etkilenen veri kaydının sayısı, veri ihlalinin olası sonuçları,  veri sorumlusu tarafından alınan veya alınması teklif edilen önlemler ve ilgili kişinin  hakları ile özgürlüklerinin yüksek risk altında olduğu durumlarda gecikmeksizin ilgili  kişi ile iletişime geçmek yer alacaktır.

viii. Veri İşleyen veri işleme faaliyeti kapsamında gerçekleşen ihlali derhal Veri  Sorumlusuna bildirecektir. Bu bildirimin içeriğinde ihlalin niteliği, etkilenen veri  kategorileri, yaklaşık ilgili kişi ve veri kayıt sayısı ile veri ihlaline ilişkin daha detaylı  bilginin bulunduğu bir irtibat kişisinin ayrıntıları ve muhtemel sonuçlar ile alınmış  olan önlemler veya alınması teklif edilmiş olan önlemler de belirtilmelidir.

ix. Özel faaliyetlerin yürütülmesine ilişkin ek olarak başkaca Veri İşleyen görev alacak ise bu Veri İşleyende aynı şekilde regülasyonlara tabi olup; önceden hazırlanmış Veri Sorumlusunun yazılı özel veya genel izninin varlığı gereklidir. Her koşulda; ilk Veri  İşleyen sonraki Veri İşleyenlerin güncel bir listesini tutacaktır. Özel izin kapsamında;  Veri İşleyen, Alt Veri İşleyenin sürece katılmadan önce Veri Sorumlusuna bu izni  verebilmesi için gerekli tüm bilgiyi sağlamalıdır. Genel izin kapsamında; Veri İşleyen  Veri Sorumlusundan Alt Veri İşleyen listesi kapsamında bir izin alır. Veri İşleyen bu  listede gerçekleştireceği değişikliklerde Veri Sorumlusunu yazılı olarak belirli bir süre  öncesinden bilgilendirir böylece Veri Sorumlusuna Alt Veri İşleyenlere ilişkin  değişikliklerde itiraz için yeterli süre tanınmış olur. Veri İşleyen bu itirazın  gerçekleştirilebilmesi için Veri Sorumlusunun ihtiyacı olabilecek tüm bilgileri sağlar.

x. Alt Veri İşleyen süreç boyunca Veri İşleyenin tabi olduğu yükümlülüklere tabi olur ve Veri İşleyen Alt Veri İşleyenin bu yükümlülüklere uyumunu sağlar. Alt Veri İşleyenlerce gerçekleştirilecek bir uluslararası veri transferinde veri işleyende Alt Veri  İşleyen de uluslararası veri aktarımına ilişkin düzenlemelere uyar. Veri Sorumlusunun  talebi halinde Veri İşleyen Alt Veri İşleyen ile akdettiği sözleşmenin bir nüshasını ve  eklerini Veri Sorumlusuna iletir. Veri İşleyen Veri Sorumlusuna karşı Alt Veri  İşleyenin hükümlere aykırı davranışından tamamen sorumludur.

xi. Veri İşleyen Alt Veri İşleyen ile lehtar maddesi kabul ederek; Veri İşleyenin fiilen ortadan kalkması, kanunen varlığının sona ermesi, iflas etmesi vs. hallerinde Veri Sorumlusu Alt Veri İşleyenin sözleşmesini feshetme ve kişisel bilgileri silme veya iade  etme talimatı verme hakkına sahip olacaktır.

xii. Sözleşmenin tarafı olmayan üçüncü kişi veri işleme faaliyetinin doğası gereği SCC  kapsamında sözleşmeye taraf olmasına engel bir durum bulunmamaktadır.

xiii. Herhangi bir 3. ülkeye veya uluslararası organizasyona veri aktarımı sadece Veri  Sorumlusu tarafından verilen yazılı talimat esas alınarak ya da GDPR veya AB üye  devletlerinin ulusal mevzuatı kapsamında Veri İşleyenin uyması gereken  regülasyonlar kapsamında gerçekleştirilebilir.

xiv. SCC kapsamında veri işleme faaliyeti periyodik olarak değerlendirmeye tabi  tutulmalıdır.

xv. Veri İşleyen asgari olarak belirli teknik ve idari önlemleri almalıdır. Bu kapsamda; uygun güvenlik seviyesinin temininde taraflar son teknolojiyi, uygulama maliyetlerini, işlemenin doğasını, kapsamını, bağlamını, amaçlarını ve ilgili kişiler için içerdiği  riskleri göz önünde bulunduracaklardır.

xvi. Veri İşleyen çalışanlarına kişisel verilere erişim yetkisini sınırlı olarak sadece  sözleşmenin uygulanması, yönetimi ve izlenmesi kapsamında verecek olup gizlilik  düzenlemeleri ile destekleyecektir.

xvii. Eğer veri işleme faaliyeti kapsamında özel nitelikli veri işlenecekse Veri İşleyen belirli  kısıtlamaları ve/veya ek güvenlik önlemleri alacaktır.

xviii. Denetim kapsamında; Veri Sorumlusunun talebiyle Veri İşleyen de denetime katkıda  bulunabilir. Veri Sorumlusu denetimi kendi gerçekleştirebileceği gibi bağımsız bir  denetçi tarafından da gerçekleştirilmesini sağlayabilir. Veri İşleyene yapılan makul  bildirim ile denetimler yerinde inceleme veya Veri İşleyenin tesislerinde fiziken  gerçekleştirilebilir. Düzenleyici otoritelerin talebi halinde taraflar bu denetimlere  ilişkin bilgileri ileteceklerdir.

xix. SCC kapsamında Veri İşleyenin yükümlülüklerine aykırı davrandığı durumda; Veri  Sorumlusu Veri İşleyenin yükümlüklerini yerine getirene kadar işleme faaliyetini  durdurabilir. Veri İşleyen bu yükümlülüklere uyamadığı durumda derhal Veri  Sorumlusunu bilgilendirmelidir.

xx. Veri Sorumlusu sözleşmeyi şu hallerde sonlandırabilir:

  • Veri İşleyen her ihtimalde sürecin durdurulmasını takiben 1 ay içinde yükümlülüklerini yerine getirmezse,
  • Veri İşleyenin önemli ve sürekli sözleşme ihlallerinde,
  • Veri İşleyence Mahkeme veya düzenleyici otorite kararlarına riayet edilmediği

Sözleşmenin sonlanmasını takiben Veri Sorumlusunun tercihine göre Veri İşleyen ya  tüm kişisel verileri siler ve Veri Sorumlusuna bu işlemin gerçekleştiğini belgeler veya  var olan tüm kişisel verileri Veri Sorumlusuna iade ederek tüm nüshalarını silebilir.

4. AB/AEA dışındaki Ülkelere gerçekleşen Aktarım kapsamında Standart Sözleşme Maddelerine ilişkin Değerlendirme

i. Veri Aktaranın Veri İşleyen veya Veri Sorumlusu olması farketmeksizin yükümlülükleri mevcuttur. Bu yükümlülükler; Veri Sorumlusunun ilgili kişiye verisinin üçüncü bir ülkeye aktarılırken uygun önlemleri alacağını belirtmesidir.

ii. Aktarım Veri Sorumlusu-Veri İşleyen ve/veya Veri İşleyen-Veri İşleyen olacak şekilde gerçekleşir.

iii. SCC'nin tarafı olmayan üçüncü bir kişi Veri Alıcısı veya Veri Aktaran olarak sözleşmeyi imzalayıp ilişkiye herhangi bir zamanda dahil olabilir.

iv. Veri Aktaran SCC kapsamında; Veri Alıcısına aktarımın gerçekleştiği sırada yeterli teknik ve idari tedbirlerin alındığını taahhüt eder.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.