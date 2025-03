“Nazali is a law firm founded by Ersin Nazali, providing a wide range of legal services (consultancy and litigation in all areas of law) to its national and international clients, through its trustworthy and experienced legal team. There are thirteen partners, forty lawyers, four sworn financial advisors and ten certified public accountants working for Nazali. Our philosophy is quality in delivery, timely response and business minded approach.“

ÖZET

Kişisel verilerin, uluslararası transferi sürecinde korunması, toplumsal güvenliğin temel bir unsuru niteliğindedir. Dünyanın farklı bölgelerinde global ölçekte mal ve hizmet sunan şirketlerin ticari ve operasyonel faaliyetlerini sürdürebilmek adına kişisel verilerin sınır ötesine transferi kaçınılmaz bir gereklilik olmaktadır. Nitekim işbu makalede, bu denli önemli bir konu olan sınır ötesi veri transferine, yaşamın en temel alanlarından biri olan ulaşıma ilişkin yakın zamanda Avrupa'da uluslararası veri transferinde yeni bir süreç başlatan bir karardan yola çıkılarak değinilecektir. Hollanda Veri Koruma Otoritesi'nin yakın zamanlı kararında, UBER B.V.'ye Avrupalı UBER şoförlerinin kişisel verilerini Amerika Birleşik Devletleri'ne uygun veri aktarım mekanizmaları kullanmadan aktardığı gerekçesiyle 290 milyon Euro idari para cezası verilmiştir. Veri aktarımı sırasında Avrupa Genel Veri Koruma Tüzüğü'nün gerekliliklerine uygun hareket etmediği iddialarına karşı UBER B.V'nin savunmaları, ihtilaf içeren hususlara ışık tutmuş ve akabinde Avrupa Komisyonu güncel çeşitli veri transferi senaryolarını kapsayan dört Standart Sözleşme modülüne ek bir modül üzerine çalışıldığını duyurmuştur. İşbu makalede UBER Kararı, ilgili GDPR hükümleri ve Hollanda Veri Koruma Otoritesi'nin değerlendirmeleri kapsamında incelenerek Komisyon'un duyurusuna ilişkini görüşler paylaşılacaktır.

Anahtar Kelimeler: Kişisel Veri, GVKT, Schrems II, UBER, Uluslararası Veri Aktarımı, Standart Sözleşme.

GİRİŞ

Hollanda Veri Koruma Otoritesi (“AP”) tarafından 22 Temmuz 2024 tarihinde aynı topluluk çatısı altında faaliyet gösteren Hollanda merkezli UBER B.V. (“UBER”) ve Amerika Birleşik Devletleri'nde mukim UBER Technologies Inc. (“UBER ABD”) arasındaki veri transferleri ile ilgili olarak; UBER'in UBER ABD'ye veri aktarımı sürecinde Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) hükümlerince öngörülen yeterli veri koruma gerekliliklerini sağlamaması sebebiyle UBER'in 2023 yılı cirosunun yüzde biri olan 290 milyon Euro tutarında idari para cezası kesilmiştir1.

Mobil uygulama aracılığıyla ulaşım hizmeti sağlayıcı olarak faaliyet gösteren UBER, uygula masına kayıtlı özel şoförlerle, yine uygulamaya kayıtlı yolcuları buluşturarak talebe dayalı ulaşım hizmeti sunmaktadır. UBER hem bireysel kullanıcılar hem de sürücüler için esnek ve talebe dayalı bir ulaşım çözümü sunarak küresel çapta geniş bir kitleye hizmet vermekte ve global ölçekte bu alanda liderliğini sürdürmektedir. Söz konusu Karar, transatlantik veri transferlerinde GVKT beklentilerinin tam olarak karşılanmamasının ağır yaptırımlarla sonuçlanabileceğini bir kez daha gözler önüne sermektedir.

1. SORUŞTURMA BAŞLANGICI VE SCHREMS II'NİN UBER KARARINA ETKİSİ

Fransız Veri Koruma Otoritesi2 (“CNIL”) tarafından, La Ligue des droits de l'Homme3 derneğinin 170'ten fazla UBER şoförü adına toplu şikayette bulunması üzerine, özellikle şoförlere sağlanan bilgilendirme yükümlülükleri ve kişisel verilerin Avrupa Ekonomik Alanı (“AEA”) dışına, özellikle de ABD'ye aktarılmasıyla ilgili ihlâl gerçekleşmesi olasılığı üzerine soruşturma başlatılmıştır. CNIL tarafından başlatılan soruşturma süreci, GVKT hükümleri4 uyarınca, UBER'in Hollanda merkezli bir şirket olması sebebiyle yetkili denetim mercii olan AP tarafından yürütülmüştür. GVKT'nin “onestop-shop procedure” prensibi çerçevesinde CNIL ile AP arasında gerçekleşen iş birliği, veri koruma düzenlemelerinin etkin bir şekilde uygulanmasını ve alınan kararların uluslararası düzeyde tutarlılığını sağlamaya yönelik önemli bir adım olarak değerlendirilmektedir. Söz konusu süreç Avrupa Birliği (“AB”) veri koruma çerçevesinin etkinliğini artırırken, aynı zamanda üye devletler arasındaki iş birliğinin önemini de göstermektedir.

İlgili UBER kararı açısından Avrupa Adalet Divanı (“ABAD”) tarafından 16 Haziran 2020 tarihinde verilen Schrems II Kararı5 'nın hatırlanması önem arz etmektedir. Zira, Schrems II Kararı ile ABAD, ABD yasalarının özellikle hükümet gözetim uygulamalarının ilgili kişilerin gizlilik haklarını tehlikeye atması gerekçesiyle AB vatandaşlarının kişisel verileri için yeterli koruma sağlamadığını belirterek, AB-ABD arasında kişisel veri aktarımını ek bir tedbir almadan mümkün kılan bir mekanizma olarak 2016 yılında yürürlüğe giren Gizlilik Kalkanı (Privacy Shield Framework) anlaşmasını geçersiz kılmıştır. Bununla birlikte söz konusu karar kapsamında, Standard Contractual Clauses (“Standart Sözleşme” veya “SCC”) mekanizmasına dayanarak veri transferi gerçekleştiren şirketlerin, verilerin transfer edildiği ülkede AB yasalarının öngördüğü koruma ile eşdeğer koruma sağlanacağını garanti etmesi gerektiği belirtilmektedir. Bu doğrultuda Schrems II kararının UBER kararına ilişkin önemi, UBER'in AB'de faaliyet gösteren sürücülerinin, özellikle hassas bilgileri olan sabıka kayıtları ve sağlık bilgileri dahil olmak üzere, kişisel verilerini, ihlâlin gerçekleştiği süre zarfında GVKT kapsamında öngörülen yeterli korumayı sağlamadan ABD'deki sunuculara aktarmasıdır. Bu durum, uluslararası veri transferleri için nasıl önlemler alınması gerektiği hususuna dikkat çekmektedir. Schrems II kararının ardından lağvedilen Privacy Shield Framework'ün boşluğunu doldurmak adına AB ve ABD arasındaki veri aktarımına yönelik alternatif bir mekanizma hazırlanmasına ve SCC'lerin yetersiz kaldığına ilişkin eleştirilerin yükselmesi nedeniyle SCC'lerin daha etkin hâle getirilmesi amacıyla kapsamlı bir revizyon sürecine ilişkin çalışmalar başlatılmıştır. İşbu makalede, GVKT hükümleri uyarınca uluslararası veri transferini meşru kılan veri koruma mekanizmalarının uygulanabilirliği yönünden tartışmalara ve takiben mevcut Standart Sözleşmeler bakımından gelişmelere yer verilmiştir.

2. AP DEĞERLENDİRMELERİ ÇERÇEVESİNDE UBER'İN AKTARIM YÖNTEMİNİN MEŞRULUĞU

GVKT hükümleri6 uyarınca uluslararası kişisel veri transferi, Avrupa Komisyonu7 (“Komisyon”) tarafından AEA dışında yer alan belirli bir üçüncü ülke, üçüncü bir ülkedeki belirli bir sektör veya uluslararası kuruluşa “yeterlilik kararı” verilmesi hâlinde transfere konu şirketlerce AEA içi veri transferlerine ek bir tedbir alınmaksızın gerçekleştirilebilmektedir. Eğer yeterlilik kararı bulunmuyor ise, veri aktarımı yeterlilik kararı ile temelde eşdeğer bir koruma sağlanması adına bağlayıcı şirket kuralları (BCR'ler), Komisyon tarafından onaylanmış SCC'ler veya denetleyici otoriteler tarafından onaylanan diğer düzenlemeler olmak üzere “uygun güvence”8 mekanizmalarına başvurularak gerçekleştirilebilmektedir. Herhangi bir yeterlilik kararının bulunmadığı ve uygun güvencelerin sağlanamadığı durumlarda kişisel verilerin uluslararası transferi, GVKT'nin 50. maddesi kapsamında sayılan istisnai hâllerde sınırlı sayıdaki şartların gerçekleşmesi hâlinde mümkün olabilmektedir. IAPP-EY Yıllık Gizlilik Yönetimi Raporu 2019'a göre, çeşitli uluslarda faaliyet gösteren katılımcı şirketlerin yüzde 88'inin SCC'leri AEA dışına veri transferleri için herhangi bir otoritenin kabulünü gerektirmemesi sebebiyle en çok tercih ettiği yöntem olarak belirtmiştir9. Keza bunun bir göstergesi olarak AB'nin ilgili atılımının ardından aralarında ülkemizin de dahil olduğu çok sayıda veri koruma otoritesi tarafından, AB'nin SCC'leri ile paylaşılan ilkelere paralel şekilde model sözleşme hükümleri yayımlanmış ve uygulamaya alınmıştır.

İşbu makalede bahsetmiş olduğumuz Schrems II Kararı'nı takiben, Komisyon tarafından 4 Haziran 2021 tarihinde verilen karar ile, yeni SCC'ler hem kişisel verilerin AEA dışına aktarımının hem de bu kapsamda veri sorumluları ile veri işleyenler arasında veri aktarımının da düzenlenmesi üzerine yasal bir çerçeve sunmak üzere yayımlanmıştır. Yapılan güncellemeler ve yeni getirilen modüller, mevcut SCC'lerin GVKT ve 2018/1725 sayılı Veri Koruma Tüzüğü çerçevesindeki gereklilikleri karşılamasını hedeflemiştir. Bu kapsamda aynı zamanda, SCC'ler yalnızca kamu ve özel sektörde faaliyet gösteren veri sorumluları ve veri işleyenler ile birlikte AB kurumları (örn. Komisyon ve ABAD) tarafından da kullanımını düzenleyerek SCC'lerin geniş bir uygulama alanı bulmasına olanak tanınmıştır.

Öte yandan, Schrems II kararı ile yeterli bulunmayıp yürürlükten kaldırılan Privacy Shield Framework'ün yerine AB ve ABD arasındaki veri aktarımına yönelik alternatif bir mekanizma olarak 10 Temmuz 2023 tarihinde Komisyon tarafından kabul edilen AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework) uygulamaya alınmıştır. İlgili gerekliliklerin sağlanarak bu mekanizmanın tercih edilmesi hâlinde GVKT'de öngörülen diğer uygun güvence mekanizmalarının uygulanmasına gerek kalmadan AB'den ABD'deki şirketlere kişisel veri aktarımı gerçekleştirilebilmesi mümkün kılınmıştır.

GVKT'nin 5. bölümünde, 44.10 maddesinden itibaren “Üçüncü Ülkeler veya Uluslararası Kuruluşlara Veri Aktarımları” başlığı altında, AEA dışında yerleşik veri sorumluları ve veri işleyenlere yönelik veri aktarımlarına ilişkin düzenlemeler yer almaktadır. İşbu makalede kapsamında detaylı olarak açıklandığı üzere, GVKT'nin coğrafi kapsamını düzenleyen 3. maddesi uyarınca AEA'da yerleşik olmasa dahi, veri sorumluları ve veri işleyenler belirli şartlar altında GVKT'ye tabi olabilmektedir. Fakat söz konusu kuruluşlar hâlihazırda 3. madde uyarınca GVKT'ye tabi iken, aynı zamanda üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları başlığı altında sayılan uygun güvence sağlama yükümlülükleri ile karşı karşıya kalabilmektedir. Söz konusu durum paydaşlar arasında tartışmalara yol açmakta olup işbu makalede açıklanan UBER kararı da bu tartışmaları tetikleyen en güncel örnek niteliğindedir.

UBER, AB'de bulunan ilgili kişilerin kişisel verilerinin ABD sunucularında barındırılması faaliyetinin, UBER, ABD'nin GVKT'nin 3. maddesi uyarınca AB'de yerleşik olmamasına rağmen AB'deki ilgili kişilere yönelik gerçekleştirdiği kişisel veri işleme faaliyetleri kapsamında GVKT'ye tabi olması nedeniyle uluslararası veri transferinin unsurlarını sağlamadığını, sunucularının ABD'de yer alması sebebiyle AB'de bulunan ilgili kişilerin kişisel verilerinin doğrudan ABD sunucularında barındırdığını ileri sürmüştür. Bu doğrultuda, faaliyetlerinin uluslararası veri transferi olarak değerlendirilmemesi gerektiğini ve bu nedenle GVKT'nin 5. bölümünde öngörülen ek yükümlülüklerin yerine getirmesine gerek olmadığını savunmuştur. Nitekim UBER, UBER ABD'nin GVKT'ye tabi olması sebebiyle öngörülen genel yükümlülüklerini yerine getirmesi dolayısıyla, uygun güvencelerin sağlamasına gerek kalmadığını ve durumun AB'nin daha geniş uluslararası taahhütleriyle çelişebileceğini öne sürmüştür. UBER söz konusu veri işleme faaliyetlerinin uluslararası transfer olarak değerlendirilmesi hâlinde ise, 2021'den günümüze kadar incelemeye konu olayı kapsar nitelikte uygun Standart Sözleşme modüllerinin mevcut olmadığını ve alternatif veri aktarım mekanizmalarının uygulanabilir olmadığını iddia etmişse de AP, UBER'in ifadelerinden o dönemde mevcut olan Standard Sözleşmelerin kullanılmaması gerektiği sonucunun çıkmayacağını belirtmiştir.

UBER kararı ile bir kez daha görüldüğü üzere AB veri koruma otoritelerinin beklentisi, Schrems II kararını takiben, veri sorumluları ve veri işleyenlerin GVKT'de öngörülen aktarım mekanizmalarını uygulamalarının tek başına yeterliği olmadığı, söz konusu mekanizmaların uygulanabilirliği kapsamında Veri Aktarım Etki Değerlendirilmesi (“TIA”) gerçekleştirilmesi ve bunun sonucunda gerekmesi hâlinde uygun veri koruma önlemlerinin alınmasının sağlanmasıdır. TIA, kişisel verilerin AEA dışındaki ülkelere aktarımından önce, söz konusu transferin GVKT ile öngörülen korumaya eş değer bir veri korumanın taahhüt edilebilirliğinin belirli bir çerçeve dahilinde değerlendirilmesi amacıyla gerçekleştirilmektedir. Bu çerçeve, verilerin transfer edildiği ülke/bölgedeki mevzuat kapsamında söz konusu verilere ilişkin öngörülen hukuki korumaları analiz etmeyi, ilgili kişilerin hakları üzerindeki riskleri belirlemeyi, bu riskleri önlemek amacıyla uygun güvenceler geliştirmeyi ve faaliyetin ölçülüğüne ilişkin değerlendirmeleri içermektedir. Bu bağlamda AP'nin görüşü, UBER'in SCC'leri kullandığı senaryoda dahi SCC'ler ile birlikte, UBER'in fiili uygulamalarının GVKT'nin veri koruma standartlarını karşılayıp karşılamadığına dair TIA yapılması gerektiğidir. Zira soruşturmaya konu faaliyet kapsamında SCC aktarım mekanizması tercih edilmiş olsaydı dahi, Schrems II kararını takiben aktarım etki değerlendirmesinin söz konusu mekanizma kapsamında gerçekleştirilmiş olması soruşturmanın seyrini değiştirebilecek ölçekte önem arz edebilecekti.

3. VERİ TRANSFERLERİNDE YENİ MODÜL İHTİYAÇLARI KARŞILAYABİLECEK MİDİR?

İşbu makalede ele alındığı üzere, UBER ile aynı pozisyonda olan şirketler açısından önemli bir ihtilaf olan GVKT'ye tabi olan şirketlerin aynı zamanda SCC imzalama gibi uygun güvencelerin sağlanmasına yönelik diğer mekanizmalara başvurma gerekliliklerin olup olmamasına ilişkin paydaşlar arasında konsensus sağlanabilmiş değildir. Eğer bir veri alıcısı AEA dışında bulunmasına rağmen doğrudan GVKT'ye tabi ise, uygun güvencelerden biri olan SCC veri aktarım mekanizmasına başvurulmasına hâlâ ihtiyaç olacak mıdır?11 GVKT'nin 3. maddesinin uygulama alanı genişletilerek, tabiiyetin yanında diğer mekanizmalara da başvurulması yükümlülüklerinin getirilmesi fazladan tekrarlara mı sebebiyet verir yoksa etkili veri koruma standardı mı sağlamış olur?

Bu bağlamda Komisyon, AP'nin kararını takip ederek GVKT'ye AB'de yerleşik olmamasına rağmen doğrudan tabi olan taraflara gerçekleştirilecek aktarımlara yönelik yeni bir Standart Sözleşme modülünü geliştirmek üzere olduklarını duyurmuştur. Buna göre, yeni modülün 2024'ün son çeyreğinde kamuoyu görüşüne açılması ve 2025'in ikinci çeyreğinde yürürlüğe girmesi planlanmaktadır. Yeni modül, sınır ötesi veri transferlerindeki karmaşıklıkları gidermeyi ve aynı zamanda AB hukukunun gerektirdiği yüksek veri koruma seviyesinin korunmasını sağlamayı amaçlamaktadır. Söz konusu modül, GVKT'ye doğrudan tabi olan üçüncü ülke veri alıcılarının yükümlülüklerinin net bir şekilde belirlenerek tutarlı uyumun sağlanması ve gereksiz yüklerin ortadan kaldırılmasını hedeflerken, bir yandan da GVKT uygulamalarının tutarlığının bir kez daha sorgulanmasına neden olmuştur. 2016 yılında ABD-AB Gizlilik Kalkanı Anlaşması Schrems II kararı ile lağvedilirken, SCC'ler ilgili gereksinimleri karşılamak üzere revize edilmiş, yeni modüller canlıya alınmıştır. Ardından 2020 yılında Gizlilik Kalkanı Anlaşması'nın yeni ve etkili bir sürümü niteliğinde olan ABD-AB arasında Data Privacy Framework'ün imzalanması ve UBER Kararı'nın ardından 5. modüle ilişkin yapılan duyuru GVKT uygulamalarına duyulan hukuki güven açısından tereddütler yaratmaktadır.

Bunun yanı sıra Avrupa Veri Koruma Kurulu (“EDPB”), AB'de yerleşik olmayan tarafların GVKT'nin 3. maddesinde sayılan kapsama girmelerinden dolayı doğrudan GVKT'ye tabi olması durumunda bile 5. bölümde öngörülen yöntemlere tabi olunmasının gerekli olduğu ve örneğin SCC'ler sayesinde yabancı yasalar ile AB düzenlemeleri arasındaki potansiyel çelişkilerin önüne geçilebileceği görüşündedir12. Öte yandan EDPB görüşüne karşın, GVKT'nin coğrafi kapsamının geniş yorumlanması ve belirli bir standardın oturtulamamış olması, şirketlerin veri yönetiminde önemli operasyonel zorluklar yaratabilecek ve bu durum, uluslararası ticari faaliyetleri zorlaştırarak rekabeti olumsuz etkileyebilecektir. Bu kapsamda iki ayrı perspektiften değinmek gerekirse; öncelikle büyük şirketler (örn. Microsoft, Google) söz konusu SCC'leri imzalamazsa, bu durumda büyük şirketlerin sunduğu hizmetlerden faydalanılamayacak mıdır? Diğer yandan küçük ve orta ölçekli işletmeler açısından, tutarlılığı belirli olmayan gereksinimlere uymanın getireceği yüksek maliyet, kısa süre içerisinde benimsenecek farklı görüşler doğrultusunda yeniden uyumlanma üzerine atılacak adımların getireceği ek maliyet ve büyük ölçekli şirketlere karşı etkin olamayan pazarlık güçleri nedenleriyle yaşanabilecek olumsuzlukların önüne geçilmesi adına veri transferine ilişkin düzenlemelerin hukuki güvenlik açısından netleştirilmesi gerekmektedir. Modül 5'in söz konusu ihtiyaçları karşılayıp karşılayamayacağı ise merak konusudur.

Bu noktada modül 5'in Türkiye'de uygulanabilirliğine ilişkin sorular da gündeme gelmektedir. Kişisel Verilerin Korunması Kanunu'nun (“KVKK”) Direktif'ten esinlenerek hazırlanması dolayısıyla KVKK ve GVKT arasındaki önemli benzerliklerin varlığı yadsınamaz olsa da tam anlamıyla bir uyumluluktan söz etmek şu aşamada mümkün olmayacaktır. Örneğin UBER Kararı'nda coğrafi kapsamın genişletilmesine ilişkin husus, KVKK çerçevesinde coğrafi kapsamın belirli olmaması sebebiyle GVKT'den ayrışmaktadır. Bu husus, yıl içerisinde yurt dışına kişisel veri aktarımına ilişkin öngörülen yeni rejim değişikliklerinde dahi ele alınmamıştır. Coğrafi kapsamın tanımlanmamış olmasının eksikliği ise, öğretide ve uygulamada Türk Ceza Kanunu'ndaki yeri bakımından uygulama ve mülkilik ilkesine ilişkin hükümler yorumlanarak giderilmektedir. Hazine ve Maliye Bakanlığı ile Strateji ve Bütçe Başkanlığı tarafından hazırlanan ve Orta Vadeli Program (2025-2027) çerçevesinde belirlenen temel hedeflerden biri KVKK'nin özellikle ürün ve hizmet ihracatını etkileyen yönleriyle birlikte, GVKT başta olmak üzere AB mevzuatı ile tam uyum sürecinin 2025 yılının dördüncü çeyreğine kadar tamamlanmasıdır. Bununla birlikte, kişisel verilerin korunmasına ilişkin Türk mevzuatı kapsamında henüz verilmiş bir yeterlilik kararı bulunmazken, Standart Sözleşmeler de dahil olmak üzere yeni rejim ile getirilen yurtdışına kişisel veri aktarım yöntemlerine ilişkin açıklayıcı bir rehber veya yeni rejimin uygulanmasına ilişkin kamuya açıklanan herhangi bir karar bulunmazken, yukarıda açıklandığı üzere KVKK'nın coğrafi kapsamının dahi açıkça belirli olmaması dikkate alındığında, söz konusu tartışmaların kısa vadede Türkiye veri koruma rejiminde esaslı değişikliklere neden olma ihtimâlinin düşük olduğu değerlendirilmektedir. Öte yandan, GVKT'ye ilişkin gelişmelerin ve EDPB Kararları'nın Türkiye'deki kişisel verilerin korunmasına yönelik mevzuat ve düzenlemeler üzerinde uzun vadeli etkilerinin olacağı kaçınılmaz olduğundan UBER kararı ve devamındaki gelişmeler KVKK'ya tabi veri sorumluları için de önem arz etmektedir.

SONUÇ

UBER Kararı'nın ışık tuttuğu uluslararası veri transferlerinde hukuki belirsizlikler ve SCC uygulanmasına yönelik yeni modül önerisi, veri koruma alanında küresel uyumun sağlanması için önemli bir adım olarak görülmektedir. Bununla birlikte hem büyük ölçekli şirketler hem de küçük ve orta ölçekli işletmeler açısından ortaya çıkan operasyonel zorluklar, SCC'lerin uygulanabilirliği ve uyumluluğu konusunda tutarlı bir standardın olmaması nedeniyle önemli maliyet ve gereksiz yükler doğurabilmektedir. KVKK ile GVKT arasında tam bir uyumun olmaması, özellikle coğrafi kapsam ve veri aktarım rejimi konularında, kısa vadede uyum sağlanmasının önünde engel teşkil etmektedir. Dolayısıyla veri aktarım düzenlemelerinin hukuki güvenliğini sağlamak adına küresel bir çerçeve oluşturulması elzemdir.

