Turkey: Avrupa Birliği'nden Abd'ye Yapilacak Veri Aktarimlarina İlişkin "Gizlilik Kalkani" Anlaşmasinin İptali

I. Giriş

16 Temmuz 2020 tarihinde, Avrupa Birliği Adalet Divanı ("Adalet Divanı") "Schrems II" kararı olarak da adlandırılan kararında Avrupa Birliği'nden Amerika Birleşik Devletleri'ne veri transferi yapılmasını sağlayan 2016/1250 Sayılı Gizlilik Kalkanı ("Privacy Shield") kararını yürürlükten kaldırdığını açıklamıştır.

Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR")'da belirtildiği üzere, üçüncü taraf ülkelere yapılacak veri aktarımları, ancak bu üçüncü taraf ülkenin iç hukuk düzenlemeleriyle ya da taraf olduğu uluslararası antlaşmalarla yeterli veri güvenliğini sağladığının ("adequate protection") Avrupa Veri Güvenliği Komisyonu ("Komisyon") tarafından kabul edilmesi halinde yapılabilecektir. Böyle bir yeterli korumanın mevcut olmadığı hallerde, veri aktarımı ancak, Komisyon tarafından belirlenen standart veri koruma hükümlerinin sağlanması ve kişisel verinin sahibi ilgili kişilere verilerinin transfer edilmesi konusunda AB içinde garanti edilenle eşdeğer bir koruma düzeyi sağlandığı hallerde sözkonusu olabilecektir.

II. "Gizlilik Kalkanı " ("Privacy Shield") nedir? Neden kaldırıldı?

1. Schrems I Kararı - Güvenli Ülke Anlaşması ("Safe Harbor Agreement") İptali

25 Haziran 2013'de, Facebook kullanıcısı olan Avusturya vatandaşı Maximilian Schrems, Facebook üzerindeki kişisel verilerinin diğer AB vatandaşlarının pek çoğunda olduğu gibi İrlanda üzerinden ABD'ye aktarılması üzerine bu verilere Amerikan Ulusal Güvenlik Ajansı ("US National Security Agency -NSA") erişiminin olduğu gerekçesiyle veri transferinin durdurulması talep ederek İrlanda'daki denetleme makamına başvurmuş, ancak şikayeti ABD'nin Güvenli Ülkeler Anlaşması kapsamında yeterli korumaya sahip güvenli ülkeler (Safe Harbour) arasında gösterildiği gerekçesiyle reddedilmişti.

Ancak 2015 yılında Adalet Divanı, İrlanda Yüksek Mahkemesi'nin vermiş olduğu ret kararı bozarak Güvenli Ülke Anlaşmasını iptal etmiştir ("Shrems I Kararı")

2. Gizlilik Kalkanı Anlaşması

Bu kararın hemen ardından Avrupa Birliği Komisyonu (EC) Amerika Birleşik Devletleri ile Avrupa Birliği arasında veri transferi için "Gizlilik Kalkanı" mekanizmasını oluşturmuş ve 12 Temmuz 2016 yılından bugüne kadar yürürlükte olan "Gizlilik Kalkanı Anlaşması"nı tüm üye ülkeler kabul etmişlerdi.

"Gizlilik Kalkanı" anlaşmasının çıkış noktası en başta,

a. kişilere bilgilerinin nasıl kullanıldığı konusunda daha fazla kontrol vermesi;

b. bir şirketin veya ABD hükümetinin verilerini kötüye kullandığını düşünmeleri halinde kişilere Amerikan mahkemelerine gitme hakkı da dahil olmak üzere yeni güvenlik önlemleri sağlaması

c. Amerikan hükümetinin yeterli neden olmadan veri toplayamayacağına dair bir garanti içeriyor olmakla birlikte, Adalet Divanının iptal kararı ile GDPR kapsamında yeni uygulamanın nasıl olacağını zaman gösterecektir.

3. Schrems II Kararı: Gizlilik Kalkanı Anlaşmasının İptali

Resmi olarak uygulamaya girmesinden yaklaşık 2 yıl sonra ise bu sefer 16 Temmuz 2020 tarihinde verilen Schrems II kararı ile Adalet Divanı her nekadar Güvenlik Kalkanı anlaşmasının çıkış noktasının yukarda sayıldığı kapsamda olması hedeflenmiş olsa da uygulamada bunun sağlanamadığı;

a. ABD'nin iç hukukundan doğan ve kamu makamlarının kişisel verilere erişimine ve kullanımına izin veren uygulamaların orantılı olmadığı ve

b. AB'nin "yalnızca kesinlikle gerekli olanın aktarılmasına" izin veren yüksek veri koruma standartlarıyla uyuşmadığı gerekçesiyle, ilgili Gizlilik Kalkanı anlaşmasını yürürlükten kaldırıldığını açıklamıştır.

Sözkonusu kararda devamla;

a. AB üyesi devlette kurulmuş bir şirket tarafından üçüncü bir ülkede kurulmuş olan başka bir şirkete verilerin ticari amaçla aktarılması sözkonusu olduğunda GDPR'ın uygulanacağı,

b. bu aktarım sırasında veya daha sonra bu verilere kamu güvenliği, milli savunma veya devlet güvenliği amacıyla söz konusu üçüncü ülkenin yetkilileri tarafından erişilse bile bunun değişmeyeceği;

c. ayrıca üçüncü bir ülkenin otoriteleri tarafından gerçekleştirilecek bu tür bir veri işlemenin, sözkonusu veri transferini GDPR kapsamından çıkarmayacağı belirtilmiştir.

Özetle, bu tür bir veri aktarımında da GDPR'ın belirlediği yüksek veri koruma standartlarının sağlanmış olması gerekmektedir.

III. Scherms II Kararının Etkileri

Kararın iptali ile birlikte, AB'de yerleşik ve ABD'ye e-postalar, sosyal medya yayınları, finansal kayıtlar, iş dosyaları, çalışanlar hakkında insan kaynakları materyalleri, pazarlama veri tabanları ve müşteri kayıtları vb. her türlü veriyi aktarmaya devam etmek isteyen şirketlerin süreçlerine ne şekilde devam edecekleri sorusu önem kazanmıştır.

Kararda, ABD'ye yapılacak veri aktarımlarında -tıpkı diğer üçüncü taraf ülkelerde sözkonusu olduğu gibi – standart sözleşmesel hükümler ("standart contractual clauses") ile her iki tarafın GDPR standartlarında veri korumasını taahhüt etmesi yöntemi ile devam edebileceği belirtilmiştir. Bu standart sözleşmesel hükümlerin Türkiye'den yurtdışına veri transferinde kullanılan Taahhütnamelerdeki hükümler ile neredeyse aynı olduğunu ifade edebiliriz. Yukarıda anlatılanlar ışığında bu koruma düzeyi, hem AB'de kurulu veri aktaran ile ilgili üçüncü taraf ülkede kurulu veri alıcısı arasındaki veri transferinde alınan güvenlik tedbirleri, hem de üçüncü taraf ülkenin kamu otoritelerinin aktarılan verilere erişimine ilişkin iç hukuk düzenlemeleri göz önünde bulundurularak değerlendirilecektir.

Veri aktarımını sağlayan bir başka yöntem ise, grup şirketler içinde herhangi bir taahhütname yapmadan veri transferini sağlayan Bağlayıcı Şirket Kuralları yöntemini benimsemektir. Hem ABD'de hem de AB'de faaliyet gösteren çok uluslu grup şirketleri, bu yöntem ile kişisel verilerin grup şirketler içinde aktarılmasını sağlayabileceklerdir.

Scherms II kararının GDPR uygulamalarını yakından izleyen Türkiye'deki uygulamaları da etkileyeceği ve hali hazırda güvenli ülke listesinin de açıklanmamış olduğu gözönünde bulundurulduğunda Türkiye'den yurtdışına veri transferleri uygulamalarının bir süre daha Kişisel Verileri Koruma Kurulu'nun ("Kurul") belirlediği standart sözleşmesel hükümler kapsamında imzalanacak taahhütnameler ve kısa bir süre önce Türk hukuku kapsamında da yürürlüğe girmiş olan Bağlayıcı Şirket Kuralları ile Kurulu'nun izin ve onayı ile yürütülmeye devam edileceğini değerlendirmekteyiz.

Bilgi ve değerlendirmenize sunarız. İlgili karara ilişkin Adalet Divanı'nın basın buradan ulaşabilirsiniz.

23.07.2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.