Turkey: Google Analytics Kararlari Çerçevesinde Kişisel Verilerin Aktarimina İlişkin Güncel Gelişmeler

Anahtar Kelimeler: Kişisel Veri, GDPR, Schrems, Google Analytics, Gizlilik Kalkanı, Standart Veri Koruma Maddeleri.

GIRIŞ

Avrupa Birliği ("AB")'nden Amerika Birleşik Devletleri ("ABD")'ne gerçekleştirilen kişisel veri aktarımlarında veri alıcısı tarafın ABD gözetim yasalarına tabi bir şirket olması halinde, aktarılan kişisel veriler için 2016/679 sayılı AB Genel Veri Koruma Tüzüğü¹ ("GDPR") hükümlerinde öngörülen standartlara denk bir korumanın ABD'de sağlanamadığı hususunda var olan endişelerin oldukça eskiye dayandığı ve bu endişelerin varlığını halen sürdürdüğü geniş çevrelerce bilinmektedir. Nitekim geçtiğimiz günlerde, Avusturya Veri Koruma Otoritesi² ("DSB"), Avrupa Veri Koruma Denetçisi³ ("EDPS") ve Fransız Veri Koruma Otoritesi⁴ ("CNIL") tarafından Google Analytics hizmetini kullanan AB şirketlerinin/kuruluşlarının GDPR'de belirlenen veri aktarım yöntemlerinden standart veri koruma maddelerine (standard data protection clauses) dayanarak Google LLC'ye ("Google") gerçekleştirdikleri veri aktarımlarının, Google'ın aldığı ek tedbirlerin yeterli olmaması gerekçesiyle hukuka aykırı olduğuna hükmedilmiştir. Anılan kararlarda ayrıca AB-ABD arasındaki veri aktarımlarında alınması gereken ek teknik ve idari tedbirler bakımından önemli değerlendirmelere yer verilmiştir. İşbu makale kapsamında öncelikle kısaca GDPR hükümleri çerçevesindeki üçüncü ülkelere veri aktarım yöntemlerine ve bu kapsamda AB-ABD arasındaki veri aktarımları bakımından alınan güncel kararlara ve gelişmelere, takiben Google Analytics hizmetinin genel çerçevesi ile Google Analytics kullanımı kapsamındaki veri aktarımına ilişkin yetkili otoritelerin güncel kararlarına ve son olarak ise kişisel verilerin ABD'ye aktarımı hususunda AB'nin yaklaşımına ve beklenen gelişmelere yer verilmiştir.

1. GDPR HÜKÜMLERİ ÇERÇEVESİNDE ÜÇÜNCÜ ÜLKELERE VERİ AKTARIMI

GDPR'nin 5'inci bölümünde yer alan hükümler uyarınca hukuka uygun şekilde üçüncü bir ülkeye kişisel veri aktarımı yalnızca (i) Avrupa Komisyonu⁵ ("Komisyon") tarafından verilerin aktarıldığı uluslararası bir organizasyonun veya üçüncü ülkenin ya da o ülkenin içindeki bir bölgenin yahut bir veya daha fazla sektörün yeterli düzeyde koruma sağlamayı taahhüt ettiğine ilişkin bir yeterlilik kararı verilmesi⁶ , (ii) böyle bir kararın mevcut olmaması durumunda, ilgili kişilere icra edilebilir ilgili kişi haklarının ve başvurulabilir yasal yolların sağlanması şartıyla veri aktaran veri sorumlusu yahut veri işleyen tarafından yeterli bir güvence sağlanması⁷ , (iii) anılan iki şartın da sağlanamaması durumda ise, GDPR'nin 49'uncu madde hükümlerinde belirlenen istisnai hallerden birinin somut olayda mevcut olması halinde gerçekleştirilebilmektedir.

Mevcut durumda, Komisyon tarafından yeterli düzeyde koruma sağladığı kabul edilen ülke sayısı oldukça sınırlı olduğundan, üçüncü ülkelere veri aktarımı bakımından uygulamada sıklıkla GDPR'nin 46'ncı maddesinde düzenlenen yeterli bir güvence tesis etme yoluna başvurulmaktadır. Söz konusu güvenceler arasında yer alan standart veri koruma maddeleri ise, diğer güvencelere kıyasla sunduğu kolaylıklar nedeniyle şirketler tarafından en çok başvurulan mekanizmalardan biri olsa da veri güvenliğini sağlamada fiilen yetersiz kalması nedeniyle her daim eleştirilere konu olmaktadır.

2. AB İLE ABD ARASINDAKİ KİŞİSEL VERİ AKTARIMINA İLİŞKİN GELİŞMELER

AB'den ABD'ye veri aktarımları şirketler tarafından genellikle Avrupa Birliği Adalet Divanı'nın ("ABAD") Schrems I⁸ kararına kadar Komisyon tarafından alınan güvenli liman (safe harbour) yeterlilik kararına⁹ istinaden gerçekleştirilmekteydi. Takiben Komisyon tarafından ABABD arasındaki veri aktarımlarına dayanak teşkil edecek gizlilik kalkanı (privacy shield) yeterlilik kararı¹⁰ alınmış olsa da, söz konusu karar GDPR ve AB Temel Haklar Şartı (EU Charter of Fundamental Rights) ile eşdeğer bir koruma mekanizmasının ABD'de mevcut olmadığı, dolayısıyla gerekli güvenlik düzeyinin tesisinde yetersiz kalındığı ve ABD otoritelerinin yabancıların kişisel verilerine erişim yetkilerinin yeterince sınırlandırılmamış olması nedeniyle ilgili kişilerin GDPR'de öngörülen haklarına orantısız şekilde müdahale edildiği gerekçeleriyle ABAD tarafından 16 Temmuz 2020 tarihinde alınan Schrems II¹¹ kararı ile geçersiz kılınmıştır. Bununla birlikte Schrems II kararı ile gizlilik kalkanı geçersiz kılınmış olsa da transatlantik aktarımların, standart veri koruma maddelerine dayanılarak da hukuka uygun şekilde gerçekleştirilebileceği ancak bunun için aktarımın gerçekleştirileceği üçüncü ülkelerde AB mevzuatında öngörülen seviyede bir koruma sağlanması adına aktarım taraflarınca gerekli ek güvenlik tedbirlerinin alınması gerektiği açıklamalarına yer verilmiştir.

3. NONE OF YOUR BUSINESS TARAFINDAN AB-ABD ARASINDAKİ VERİ AKTARIMLARINA İLİŞKİN YAPILAN ŞİKAYETLER

Schrems II kararını takiben, dijital hakların etkin bir şekilde uygulanmasını hedefleyen ve kâr amacı gütmeyen Avusturya merkezli bir kuruluşolan None of Your Business ("NOYB") tarafından Google Analytics ve Facebook Connect uygulamalarını kullanmaya halen devam eden şirketler hakkında 17 Ağustos 2020 tarihinde Avrupa Ekonomik Alanı'ndaki 30 veri koruma otoritesine toplam 101 farklı şikayet başvurusunda bulunulmuştur.¹² Söz konusu şikayetler kapsamında, gizlilik kalkanı yeterlilik kararının iptal edilmesi sonrasında, şirketlerin AB'de bulunan ilgili kişilerin kişisel verilerini ABD'nin gözetim yasalarına tabi olan Google gibi firmalara standart veri koruma maddelerine dayanarak aktarmalarının, aktarılan verilere ABD'li otoritelerin geniş erişim yetkileri olması nedeniyle, hukuka uygun olmadığı yönünde iddialar ileri sürülmüştür. Bu başvuruların üzerine, Avrupa Veri Koruma Kurulu¹³ ("EDPB") ise 4 Eylül 2020 tarihinde NOYB tarafından iletilen şikayetlere ilişkin özel bir "görev komitesi" kurduğunu ve söz konusu şikayetlere konu hususların komite üyeleri arasında yakın bir iş birliği içerisinde koordineli olarak değerlendirilmesinin amaçlandığını açıklamıştır.¹⁴ Anılan gelişmelerin ardından Komisyon, 4 Haziran 2021 tarihinde ABAD'ın Schrems II kararında yaptığı değerlendirmeleri de göz önünde bulundurarak AB'den üçüncü ülkelere aktarılan kişisel verilerin bu ülkelerde de etkili bir şekilde korunabilmesi adına güncellediği standart veri koruma maddelerini¹⁵ kamuoyunun bilgisine sunmuştur.¹⁶

4. GOOGLE ANALYTICS UYGULAMASINA GENEL BAKIŞ

NOYB tarafından Google Analytics uygulaması kapsamında gerçekleştirilen veri aktarımlarına ilişkin yapılan şikayetlere istinaden AB yetkili otoriteleri tarafından verilen kararlara konu Google Analytics, uygulama/internet sitesi işleticisi müşterilerinin, mobil uygulamalarını ve/veya internet sitelerini ziyaret eden kullanıcıların bu siteleri/uygulamaları nasıl kullandıklarını takip etmelerini sağlayan ve müşterilerine kullanıcılarının davranışlarına ilişkin analizler ve raporlar hazırlayan bir servistir. Google Analytics, bu hizmeti sunarken müşterilerinin internet sitelerini/ mobil uygulamalarını ziyaret eden her bir kullanıcıyı ve oturumlarını ayırt etmek için kullanıcıların cihazlarına yerleştirilen çerezlere bir istemci kimliği kaydetmekte ve söz konusu çerezler aracılığıyla kullanıcıların hareketlerini izlemektedir.¹⁷ Bu kapsamda Google Analytics tarafından varsayılan şekilde toplanan verilere kullanıcıların (i) yaş aralıkları, (ii) aktivitelerinin hangi şehir ve ülkede gerçekleştiği, (iii) internet sitesine nereden yöneldikleri, (iv) cinsiyet bilgileri, (v) ilgi alanları ve (vi) cihazlarında hangi dilin seçilmiş olduğu bilgileri örnek gösterilmektedir.¹⁸ Bununla birlikte, Google Analytics'in kullanımı halinde, müşterilerin internet siteleri/uygulamaları için yapılan trafik ölçümlerine ve analizlerine ilişkin tüm verilerin ABD merkezli çok uluslu bir şirket olan Google sunucularından geçerek ABD'ye ulaştığı bilinmektedir.¹⁹

5. AVUSTURYA VERİ KORUMA OTORİTESİNİN GOOGLE ANALYTICS KARA

NOYB tarafından AB veri koruma otorite

lerine ve denetçilerine iletilen 101 benzer şikayetten ilki, DSB tarafından 22 Aralık 2021 tarihinde verilen karar ile sonuçlandırılmıştır.²⁰ İlgili şikayet kapsamında; Google'ın Foreign Intelligence Service Act²¹ ("FISA") yasasına tabi olduğu, bu yasa hükümleri uyarınca Avusturyalı internet sitesi (Netdokter.at) işleticisi tarafından Google'a aktarılan kişisel verilere ilişkin olarak ABD yetkili otoriteleri tarafından iletilecek erişim talepleri çerçevesinde Google'ın kendisine aktarılan verileri ifşa etmeye zorlanabileceği, anılan gerekçeler doğrultusunda aktarıma konu kişisel veriler bakımından ABD'de yeterli korumanın sağlanamadığının görüldüğü ve bu nedenle AB-ABD arasındaki aktarımın hukuka uygun olmadığı iddiaları ileri sürülmüştür.²²

Google ve Avusturyalı şirket ise bu iddialara karşı Google'a aktarılan IP adresinin, diğer kullanıcı tanımlayıcılarının ve tarayıcı parametrelerinin kişisel veri olarak nitelendirilemeyeceği, kişisel veri olarak kabul edilse dahi Google tarafından (i) ABD otoritelerinin veri erişim taleplerine ilişkin şeffaflık raporları oluşturulması, (ii) ilgili kişilerin bu erişim talepleri hakkında bilgilendirilmesi, (iii) Google'ın söz konusu talepleri içerik ve kapsam bakımından inceledikten sonra yerine getirmesi, (iv) veri merkezlerinde kriptografi (encryption) yönteminin kullanılması, (v) verilerin rumuzlanması (pseudonymization of data) ve (vi) IP adreslerinin anonimleştirilmesi gibi kişisel verilerin korunması adına ek teknik ve idari tedbirlerin alındığı yönünde savunmada bulunmuşlardır.

DSB tarafından yapılan inceleme kapsamında (i) çevrim içi tanımlayıcı formatında olan kimlik numaraları diğer tanımlayıcılarla birleştirildiğinde bireyler birbirinden ayırt edilebilir olduğu için bu kimlik numaralarının kişisel veri niteliğini haiz olacağı, (ii) bir verinin kişisel veri olup olmadığı değerlendirilirken bireyin kimliğini belirlemek için gereken tüm bilgilerin aynı kişi/kişiler nezdinde bulundurulmasından ziyade, veriyi elinde bulunduran kişinin/ kişilerin makul bir çabayla bireylerin kimliğini tespit edip edemeyeceğinin/edemeyeceklerinin dikkate alınması gerektiği, (iii) FISA'ya tabi ABD şirketlerinin kendilerine aktarılan verileri, talep edildiğinde ABD yetkili otoriteleri ile paylaşma yükümlülükleri olduğu ve bu yükümlülüklerin kapsamına şifrelenmiş verilerin "kripto anahtarlarının teslimi" de dahil olabileceğinden, kişisel verilerin şifrelenmesinin dahi somut olay nezdinde yeterli bir önlem olarak nitelendirilemeyeceği, (iv) IP adresleri ve diğer kullanıcı tanımlayıcıları, bireyleri ayırt etmek ve adreslemek için kullanıldığından, GDPR'nin 28'inci resitalinde açıklanan rumuzlama kapsamında sayılamayacağı ve (v) Google'ın, Analytics hizmetinin kurulumu bakımından internet sitesi işleticisine veri mahremiyetinin sağlanması adına çeşitli kurulum opsiyonları (örn. kullanıcıların IP adreslerinin anonimleştirilmesi) sunmasına karşın somut olayda Avusturyalı internet sitesi işleticisinin anonimleştirme aracını aktive etmemesi nedeniyle bu özelliğin sunulmuş olmasının uyuşmazlığın çözümü bakımından uygulanabilir olmadığı yönünde değerlendirmelerde bulunulmuştur. Bu doğrultuda Google tarafından alınan teknik ve idari tedbirlerin, ABD gözetim yasaları uyarınca kendilerine geniş erişim ve izleme yetkileri tanınan ABD istihbarat servisleri tarafından Google'a iletilecek veri erişim talepleri kapsamında doğabilecek hak ihlâllerini engelleyememesi sebebiyle yeterli olmadığı sonucuna varılmıştır. Bununla birlikte DSB tarafından yapılan değerlendirme kapsamında, veri aktarımlarına ilişkin kuralların somut olaydaki ABD veri alıcısı Google için değil yalnızca veri aktaran AB kuruluşu için uygulanabilir olduğu kabul edilmiş olup bahse konu aktarım işleminde veri alıcısı hukuki statüsünü haiz Google'a yönelik iddialar reddedilmiştir. Bununla birlikte ilgili otorite, GDPR'nin kişisel verilerin işlenmesine ilişkin 5'inci ve 29'uncu maddeleri ve veri işleyen başlıklı 28'inci maddesi çerçevesinde meydana gelmesi olası ihlâller bakımından Google'ın faaliyetlerini ayrıca araştıracağını belirtmiştir

Son olarak, ilgili kararda her ne kadar veri aktaran internet sitesi işleticisinin GDPR hükümlerine aykırı hareket ettiği belirtilmiş olsa da henüz söz konusu internet sitesi işleticisine DSB tarafından herhangi bir ceza yaptırımı uygulandığına dair bir bilgi bulunmamaktadır.²³

6. AVRUPA VERİ KORUMA DENETÇİSİNİN AVRUPA PARLAMENTOSU HAKKINDA VERDİĞİ KARAR

DSB'nin Google Analytics kullanımına ilişkin kararını takiben NOYB tarafından iletilen şikayet üzerine, EDPS de 5 Ocak 2022 tarihinde Avrupa Parlamentosu'na ("Parlamento") çalışanları tarafından COVID-19 test randevusu alınmasına imkân sunan internet sitesinde işlenen kişisel verilerin ABD'ye hukuka aykırı şekilde aktarılmış olması gerekçesiyle kınamada²⁴ bulunmuştur. Söz konusu kınamayı tetikleyen NOYB'un Ocak 2021 tarihli şikayeti kapsamında Parlamento'nun internet sitesine konumlandırılan çerez butonundaki aydınlatma metninin aldatıcı (örn. farklı dillerdeki aydınlatma metinlerinin birbirinden farklı olması) ve anlaşılması güç olduğu ve ABD'ye gerçekleştirilen veri aktarımın hukuka aykırı olduğu yönünde iddialar ileri sürülmüştür. Bunun üzerine soruşturma başlatan EDPS, Parlamento'nun internet sitesindeki çerezlerin kullanımı kapsamında Google'dan ve Stripe'tan²⁵ hizmet alırken ABD'ye aktardığı kişisel veriler için AB'dekine eşdeğer düzeyde bir koruma sağlamak adına alınan sözleşmeye dayalı teknik ve idari tedbirlere ilişkin hiçbir belge, kanıt veya başka bilgi sağlamaması nedeniyle Parlamento'nun internet sitesinde ABD şirketlerine ait çerezlerin bulunduğu 30 Eylül ile 4 Kasım 2020 tarihleri arasında gerçekleştirilen veri işleme faaliyetlerinin ABAD'ın Schrems II kararına ve AB kurumlarının tabi olduğu 2018/1725 sayılı Tüzük'ün²⁶ 46'ncı ve 48'inci maddelerine aykırı olduğuna kanaat getirmiş ve fakat söz konusu aykırılık bakımından Parlamento'ya herhangi bir cezaya hükmetmemiş olup yalnızca kınamada bulunmuştur.²⁷

7. FRANSIZ VERİ KORUMA OTORİTESİ KARARI

NOYB'un şikayet başvurusu üzerine Google Analytics kullanımının GDPR hükümlerine aykırılık teşkil ettiğine hükmeden bir diğer veri koruma otoritesi ise CNIL'dir. CNIL tarafından yapılan inceleme kapsamında (i) AB'den ABD'ye gerçekleştirilen veri aktarımlarına ilişkin hususların mevcut durumda yeterince düzenlenmediği, (ii) iki ülke arasındaki aktarımlara yönelik henüz yeni bir yeterlilik kararı verilmediği, (iii) DSB'nin değerlendirmeleri ile paralel bir yaklaşıma sahip olarak, Google'ın AB'den ABD'ye aktarılan veriler bakımından aldığı ek tedbirlerin, aktarılan bu verilere ABD istihbarat servisleri tarafından erişilmesinin engellenememesi nedeniyle yeterli olmadığı ve (iv) bu nedenle Google Analytics hizmetinin kullanılmasının Fransız internet kullanıcıları açısından risk teşkil ettiği değerlendirmelerinde bulunulmuştur.²⁸ Bu doğrultuda CNIL, 10 Şubat 2022 tarihinde Google Analytics kullanılarak gerçekleştirilen veri toplama ve aktarım faaliyetlerinin GDPR'nin 44'üncü maddesini ihlâl ettiğine ve hukuka aykırı olduğuna kanaat getirerek Fransız internet sitesi yöneticisini, kararın tebliğini takiben 1 ay içinde işlemlerini GDPR'ye uygun hâle getirmesi ve bu kapsamda gerekli ise söz konusu Google Anlaytics aracının mevcut sürümüyle ilgili veri işleme faaliyetlerini durdurması konusunda talimatlandırmıştır. Öte yandan CNIL, internet sitesinde yaptığı açıklamada, internet sitesi trafiği ölçümü ve analizi hizmetleriyle ilgili olarak, bu araçların yalnızca anonim istatistik verileri üretmek için kullanılması ve böylelikle GDPR kapsamında öngörülen ilgili kişilerden rıza alma yükümlülüğünden muafiyet sağlanabileceği yönünde bir öneride bulunmuş ve hangi çözümlerin ilgili kişilerin rızasını gerektirmeyeceğini belirlemek için bir program başlattıklarını duyurmuştur.²⁹ Aynı açıklamada, CNIL tarafından Google Analytics kullanan başka internet sitesi işletmecilerine de GDPR'ye uyum sağlamaları yönünde talimatta bulunulduğu bilgisine yer verilmiştir.

8. KİŞİSEL VERİLERİN AKTARIMI HUSUSUNDA AVRUPA BİRLİĞİ YAKLAŞIMI VE BEKLENEN GELİŞMELER

Yukarıda incelenen karar ve kınama metinleri göz önünde bulundurulduğunda, yetkili AB otoritelerinin, uyuşmazlığa konu somut olayları, EDPB tarafından kurulan özel görev komitesinin koordinasyonu altında ve iş birliği içinde inceleyip benzer değerlendirmelerde bulundukları görülmektedir. Dolayısıyla NOYB tarafından iletilen 101 şikayetten sonuçlandırılmayanlara ilişkin olarak diğer AB otoriteleri tarafından verilecek kararlarda da emsal kararlardaki anlayışın benimseneceği tahmin edilmektedir. Zira (i) Hollanda Veri Koruma Otoritesi³⁰ internet sitesinde yaptığı açıklamada³¹ bu konuya ilişkin yürüttüğü iki soruşturma neticelendirildiğinde şirketlerin Google Analytics hizmetini kullanmalarının yasaklanabileceğini belirtmiş, (ii) Norveç Veri Koruma Otoritesi³² diğer AB otoritelerinin yaklaşımını takip edeceğini ifade ettiği ve şirketlere Google Analytics'e alternatif olan başka hizmeti kullanmaları yönünde tavsiyede bulunduğu bir bildiri³³ yayımlamış, (iii) Danimarka Veri Koruma Otoritesi³⁴ internet sitesinde yaptığı açıklamada³⁵ diğer AB otoriteleri ile benzer bir yaklaşıma sahip olduğunu açıklamış ve (iv) Lihtenştayn Veri Koruma Otoritesi³⁶ AB kuruluşlarına internet sitelerini veri koruma kurallarına uygun olarak tasarlamaları ve Google Analytics yerine verilerin korunması ile uyumlu alternatif çözümler kullanmaları yönünde çağrıda bulunduğu bir bildiri³⁷ yayımlamıştır.

Bu gelişmeleri takiben, Meta Platforms, Inc.'nin³⁸ 2 Şubat 2022 tarihinde ABD Menkul Kıymetler ve Borsa Komisyonu'na sunduğu 2021 yıllık raporunda, yeni bir transatlantik veri aktarım çerçevesi kabul edilmemesi ve ABD'ye gerçekleştirilen veri aktarımları bakımından standart veri koruma maddelerinin veyahut diğer alternatif aktarım yöntemlerinin kullanılamaması durumunda, şirketlerinin Facebook ve Instagram da dahil olmak üzere bir dizi önemli ürüne ve hizmete ilişkin AB'de teklif vermeyi durdurmalarının gerekebileceği ve bu durumun şirketlerinin işleyişini, finansal durumunu ve operasyon sonuçlarını önemli ölçüde etkileyeceği konusunda önemli açıklamalara yer verilmiştir.³⁹ Meta Platforms, Inc. yetkililerinin söz konusu yıllık rapordaki açıklamaları pek çok kişi tarafından AB'ye karşı bir uyarı veyahut tehdit gibi yorumlanmış⁴⁰ olsa da Meta Platforms, Inc. tarafından 8 Şubat 2022 tarihinde yapılan açıklamada⁴¹ şirketin AB'yi tehdit etme niyetinin bulunmadığı ve yıllık raporda yalnızca uluslararası veri aktarımlarıma ilişkin belirsizliklerden kaynaklı ticari riskin ortaya konduğu belirtilmiştir

Öte yandan, 4 Şubat 2022 tarihinde Google tarafından şirketin resmi internet sitesinde yayımlanan paylaşımda ise, Google Analytics'in kullanılmaya devam edilmesini istediklerine ve bu kapsamda müşterilerinin hangi verilerin toplanacağı ve nasıl kullanılacağı hususlarını belirleyebilmelerine olanak sağlayan ek kontrol seçenekleri sağlamayı taahhüt ettiklerine ve böylelikle müşterilerinin AB yasaları ile uyumlu hareket etme yükümlülüklerini yerine getirmelerine yardımcı olmayı hedeflediklerine yönelik açıklamalara yer verilmiştir.⁴²AB-ABD arasındaki veri aktarımına ilişkin tartışmalar süregelirken AB'nin rekabetten sorumlu komiseri Margrethe Vestager tarafından da AB-ABD arasındaki kişisel veri aktarımına ilişkin yeni bir Gizlilik Kalkanı anlaşması yapılmasının AB gündeminde öncelikli bir konu olduğu ancak Avrupa hukukundaki özel hayatın gizliliğine ilişkin haklar ile ABD gözetim sisteminin birbiriyle çatışan noktaları nedeniyle bu konuda bir uzlaşıya varmanın kolay olmadığı yönünde bir açıklama yapılmıştır.⁴³

SONUÇ

Yukarıda anılan gelişmeler doğrultusunda, AB-ABD arasındaki veri aktarımı bakımından AB tarafından atılacak bir sonraki adımın ne olacağı pek çok şirket ve hukukçu açısından büyük bir merak konusu olmaya devam etmektedir. Bununla birlikte NOYB tarafından Avrupa Ekonomik Alanı'ndaki 30 veri koruma otoritesine iletilen 101 şikayetten henüz sonuçlandırılmayanların akıbetinin mevcut içtihadı takip etmesi beklenmektedir. Bu halde, AB-ABD arası veri aktarımı gerçekleştiren GDPR'ye tabi kuruluşların mevcut iş süreçlerinin olumsuz yönde etkilenmesi elbette kaçınılmaz olacaktır. Dolayısıyla ilerleyen süreçte söz konusu ticari belirsizliklerin ortadan kaldırılması ve fakat ilgili kişilerin temel ve hak ve özgürlüklerinin etkin şekilde korunmasına devam edilebilmesi için EDPB'nin inisiyatifiyle kurulan komite tarafından farklı bir yaklaşım benimsenerek daha uzlaşmacı bir sonuca varılması veya ABABD arasındaki veri aktarımlarına ilişkin yeni bir yeterlilik kararının uygulamaya alınması söz konusu olabilecektir. Bununla birlikte söz konusu ihtimâllerin gerçekleşmesi halinde dahi uyuşmazlıkların temelini oluşturan ABD gözetim yasalarının içeriği ve kapsamı değişmedikçe kişisel verilerin iki bölge arasındaki aktarımı bakımından tartışmalı hususların belirli bir süre sonra yeniden gündeme gelmesinin kaçınılmaz olacağı düşünülmektedir

Footnotes

1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119/1, Erişim Tarihi: 3 Mart 2022, https://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=CELEX:32016R0679

2 Datenschutzbehörde, https://www.dsb.gv.at/

3 European Data Protection Supervisor, https://edps.europa.eu/_en

4 Commission Nationale de l'Informatique et des Libertés, https://www.cnil.fr/fr

5 European Commission, https://ec.europa.eu/info/index_en

6 General Data Protection Regulation, OJ 2016 L 119/1, Erişim Tarihi: 3 Mart 2022, madde 45

7 Yeterli güvenceler, GDPR'nin 46'ncı maddesinin ikinci fıkrasında (i) kamu kurumları nezdinde yasal olarak bağlayıcı ve icra edilebilir bir belgenin varlığı, (ii) bağlayıcı kurumsal kurallara dayalı aktarım, (iii) Komisyon tarafından kabul edilen standart veri koruma maddeleri, (iv) bir denetleyici kurum tarafından kabul edilen ve Komisyon tarafından onaylanan standart veri koruma maddeleri, (v) üçüncü ülkedeki veri sorumlusu veya veri işleyenin, veri sahiplerinin haklarına ilişkin olanlar da dahil olmak üzere uygun güvenlik önlemlerini uygulamaya yönelik bağlayıcı ve icra edilebilir taahhütleri ile 40'ıncı madde uyarınca onaylanmış davranış kuralları veya (vi) söz konusu taahhütler ile 42'nci madde uyarınca onaylanmış bir sertifikasyon mekanizmasının varlığı olarak sayılmıştır.

8 Judgment of 6 October 2015, Schrems I, C-362/14, EU:C:2015:650, Erişim tarihi: 4 Mart 2022, CURIA - Documents (europa.eu)

9 Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce, Erişim Tarihi: 1 Mart 2022, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32000D0520&from=en

10 Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, Erişim Tarihi: 3 Mart 2022, EURLex - 32016D1250 - EN - EUR-Lex (europa.eu)

11 CJEU Judgment in the Schrems II Case, European Parliament, Erişim tarihi: 1 Mart 2022, https://www.europarl.europa.eu/ RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf

12 NOYB, 101 Complaints on EU-US Transfers Filed, Erişim Tarihi: 1 Mart 2022, https://noyb.eu/en/101-complaints-eu-ustransfers-filed

13 European Data Protection Board https://edpb.europa.eu/edpb_en

14 European Data Protection Board - Thirty-seventh Plenary session: Guidelines controller-processor, Guidelines targeting social media users, taskforce complaints CJEU Schrems II judgement, taskforce supplementary measures, Erişim Tarihi: 1 Mart 2022, https:// edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-seventh-plenary-session-guidelines-controller_en

15 European Commission, "European Commission Adopts New Tools For Safe Exchanges Of Personal Data", 4 June 2021, Erişim tarihi: 1 Mart 2022, https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2847

16 Komisyon tarafından 4 Haziran 2021 tarihinde yayımlanan modernize edilmiş standart veri koruma maddelerinde, aktarılan kişisel veriler bakımından veri alıcısının bulunduğu ülkede AB'dekine eş bir korumanın sağlanıp sağlanamayacağı hususunda şirketlerin risk bazlı bir yaklaşım benimseyebileceği belirtilmiş olup ABD şirketlerine veyahut riskli olduğu düşünülen ülkelere veri aktarılmaması yönünde kısıtlayıcı bir hüküm getirilmemiştir.

17 Matt Burgess, Europe's Move Against Google Analytics Is Just the Beginning, Erişim Tarihi: 6 Mart 2022, https://www.wired. com/story/google-analytics-europe-austria-privacy-shield/

18 Google, [GA4] Predefined User Dimensions, Erişim tarihi: 1 Mart 2022, https://support.google.com/firebase/ answer/9268042?visit_id=637817436298945965-2193613515&rd=1

19 Matt Burgess, Europe's Move Against Google Analytics Is Just the Beginning, Erişim Tarihi: 6 Mart 2022, https://www.wired. com/story/google-analytics-europe-austria-privacy-shield/

20 Austrian Data Protection Authority Decision of 22 December 2021 on the Use of Google Analytics, NOYB v. NetDokter and Google LLC, Erişim Tarihi: 27 Şubat 2022, https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_ bk.pdf

21 The Foreign Intelligence Surveillance Act (FISA) [2008], Erişim Tarihi: 1 Mart 2022, https://www.govinfo.gov/content/pkg/ BILLS-110hr6304pcs/html/BILLS-110hr6304pcs.htm.

22 European Rulings on the Use of Google Analytics and How It May Affect Your Business, Erişim Tarihi: 3 Mart 2022, https:// www.dataprotectionreport.com/2022/02/european-rulings-on-the-use-of-google-analytics-and-how-it-may-affect-your-business/

23 Noyb, Austrian DSB: Use of Google Analytics violates "Schrems II" decision by CJEU, Erişim Tarihi: 6 Mart 2022, https://noyb. eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal

24 European Data Protection Supervisor Decision of 5 January 2022 in complaint case 2020-1013 submitted by Members of the Parliament against the European Parliament, Erişim Tarihi 9 Mart 2022 https://noyb.eu/sites/default/files/2022-01/Case%202020- 1013%20-%20EDPS%20Decision_bk.pdf

25 Ödeme hizmeti sağlayan ABD merkezli bir şirkettir.

26 Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, OJ L 295, Erişim Tarihi 5 Mart 2022, https://eurlex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32018R1725

27 NOYB, EDPS sanctions the European Parliament for illegal EU-US data transfers - among other violations, Erişim Tarihi: 7 Mart 2022, https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe

28 Commission Nationale de l'Informatique et des Libertés Decision of 10 February 2022, Erişim Tarihi: 6 Mart 2022 https://www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf

29 CNIL, Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply, Erişim Tarihi: 6 Mart 2022 https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-websitemanageroperator-comply

30 Autoriteit Persoonsgegevens, Autoriteit Persoonsgegevens |

31 Autoriteit Persoonsgegevens, Questions from Organizations about Cookies, Erişim Tarihi: 7 Mart 2022, https:// autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-vanmijn-websitebezoekers-beschermen-4898

32 The Norwegian Data Protection Authority, https://www.datatilsynet.no/en/about-us/

33 Datatilsynet, Google Analytics May be Illegal, Erişim Tarihi: 7 Mart 2022 https://www.datatilsynet.no/aktuelt/aktuellenyheter-2022/google-analytics-kan-vare-ulovlig/

34 The Danish Data Protection Agency, https://www.datatilsynet.dk/om-datatilsynet

35 Datatilsynet, Decision on the Use of Google Analytics by the Austrian Data Protection Authority, Erişim Tarihi: 3 Mart 2022 https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jan/afgoerelse-om-brug-af-google-analytics-fra-det-oestrigskedatatilsyn

36 Datenschutzstelle Fürstentum Liechtenstein, https://www.datenschutzstelle.li/

37 Datenschutzstelle Fürstentum Liechtenstein, Google Analytics and Sata Protection, Erişim Tarihi: 9 Mart 2022, Google Analytics and Data Protection :: Data Protection Office (datenschutzstelle.li)

38 Önceden Facebook olarak bilinen Meta Platforms, Inc., çok uluslu bir Amerikan teknoloji şirketidir.

39 Meta Platorms, Inc., Annual Report Pursuant to Section 13 or 15(D) of the Securities Exchange Act of 1934 for the Fiscal Year Ended December 31, 2021, p.36, Erişim Tarihi 7 Mart 2022, https://d18rn0p25nwr6d.cloudfront.net/CIK-0001326801/14039b47-2e2f4054-9dc5-71bcc7cf01ce.pdf

40 Aaron Nicodemus, Meta Threatens to Pull Facebook, Instagram in Europe over GDPR Data Transfer Dispute, Erişim Tarihi: 9 Mart 2022, https://www.complianceweek.com/data-privacy/meta-threatens-to-pull-facebook-instagram-in-europe-over-gdpr-datatransfer-dispute/31333.article

41 Meta Platforms, Inc., Meta Is Absolutely Not Threatening to Leave Europe, Erişim Tarihi: 9 Mart 2022, https://about.fb.com/ news/2022/02/meta-is-absolutely-not-threatening-to-leave-europe/

42 Google, Regarding international data transfers in Google Analytics, Erişim Tarihi 7 Mart 2022, https://support.google.com/ analytics/answer/11609059?hl=en

43 IAPP, Vestager: Privacy Shield Replacement is 'High Priority,' but 'Not Easy', Erişim Tarihi 7 Mart 2022, https://iapp.org/ news/a/vestager-privacy-shield-replacement-is-high-priority-but-not-easy/

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.