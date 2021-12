ÖZET

Teknolojinin hizli gelisimi, küresellesme ve dijital ekonominin birbirinin itici gücü olmasi ile birlikte kisisel veriler, hem özel sirketlerin hem de kamu kurumlarinin faaliyetlerini etkili sekilde sürdürebilmeleri için elzem hale gelmistir. Nitekim dünya ülkeleri, kisisel veri aktariminin ulusal güvenliklerine, siyasi varliklarina ve vatandaslarinin temel hak ve özgürlüklerine karsi bir tehdit olusturmamasi adina, söz konusu aktarim faaliyetleri bakimindan ilgili kisilere mahremiyetlerini güvence altina alacak haklar taniyan ve fakat ayni zamanda söz konusu veri akisinin ticari hayatin gerekliliklerini karsilayacak ölçüde pratik ve öngörülebilir sekilde gerçeklestirilmesine imkân taniyan hukuki düzenlemeler olusturmakta ve güncel ihtiyaçlar dogrultusunda söz konusu düzenlemeleri modernize etmektedirler. Bu dogrultuda, Genel Veri Koruma Tüzügü kapsaminda düzenlenen üçüncü ülkelere veri aktarimina iliskin mekanizmalar arasinda yer alan standart veri koruma maddelerinde yakin zamanda yapilan degisiklikler ile tüm dünya ülkeleri bakimindan yeni bir sayfa açilmistir. Bu makale kapsaminda öncelikle söz konusu standart veri koruma maddelerinin tarihsel gelisimine yer verilecek olup, takiben güncel gelismeler uyarinca yapilan birtakim önemli degisiklikler kisaca incelenecek ve son olarak ilgili mekanizmaya basvuracak sirketler bakimindan izlenmesi önerilen yol haritasi hakkinda bilgi verilecektir

Anahtar Kelimeler: Kisisel Veri, GDPR, Standart Veri Koruma Maddeleri, Schrems.

GIRIS

Avrupa Komisyonu ("Komisyon") tarafindan gerçek kisilerin temel haklarinin dijital çaga uygun sekilde güçlendirilmesi ve ticari isletmeler bakimindan kurallarin kolaylastirilarak Avrupa Birligi ("AB") dijital tek pazar stratejisine katki saglanmasi adina zorunlu bir adim olarak degerlendirilen1 ve 95/46/AT sayili Avrupa Birligi Veri Koruma Direktifi'ni2 ("Direktif") geçersiz kilan 2016/679 sayili Avrupa Birligi Genel Veri Koruma Tüzügü3 ("GDPR") 24 Mayis 2016 tarihinde yürürlüge girmistir. Içinde bulundugumuz dijital dönüsüm sürecinde ekonominin en degerli unsuru haline gelen kisisel veriler bakimindan ilgili kisilerin temel hak ve özgürlükleri ile veri temelli ekonomi arasinda dengenin saglanmasi da GDPR'nin hedefleri arasinda yer almaktadir. Nitekim, söz konusu dijital ekonomi bakimindan kaçinilmaz hale gelen üçüncü ülkelere kisisel veri aktarimina iliskin GDPR'de AB içi veri aktarimina kiyasla daha siki düzenlemelere yer verilmistir.

Bu kapsamda, GDPR'nin 5'inci bölümünde yer alan hükümler uyarinca hukuka uygun sekilde üçüncü bir ülkeye kisisel veri aktarimi yalnizca (i) Komisyon tarafindan verilerin aktarildigi uluslararasi bir organizasyonun veya üçüncü ülkenin ya da o ülkenin içindeki bir bölgenin yahut bir veya daha fazla sektörün yeterli düzeyde koruma saglamayi taahhüt ettigine iliskin bir karar4 verilmesi, (ii) böyle bir kararin mevcut olmamasi durumunda, ilgili kisilere icra edilebilir ilgili kisi haklarinin ve basvurulabilir yasal yollarin saglanmasi sartiyla veri aktaran veri sorumlusu yahut veri isleyen tarafindan yeterli bir güvence5 saglanmasi, (iii) anilan iki sartin da saglanamamasi durumda ise, üçüncü bir ülkeye aktarimin GDPR'nin 49'uncu madde hükümlerinde belirlenen istisnai hallerden biri kapsaminda degerlendirilmesi halinde gerçeklestirilebilmektedir.

Mevcut durumda, Komisyon tarafindan yeterli düzeyde koruma sagladigi kabul edilen ülke sayisi oldukça sinirli oldugundan, üçüncü ülkelere veri aktarimi bakimindan uygulamada siklikla GDPR'nin 46'nci maddesinde düzenlenen yeterli bir güvence tesis etme yoluna basvurulmaktadir. Söz konusu güvenceler arasinda yer alan standart veri koruma maddeleri (standard data protection clauses) ise, diger güvencelere kiyasla sundugu kolayliklar nedeniyle sirketler tarafindan en çok basvurulan mekanizmalardan biri olsa da veri güvenligini saglamada fiilen yetersiz kalmasi nedeniyle her daim elestirilere konu olmus ve bu kapsamda söz konusu elestirilerin isaret ettigi eksikliklere çözüm saglanmasi adina tadil edilmistir. Nitekim, Komisyon'un 4 Haziran 2021 tarihli uygulama karari6 (implementing decision) uyarinca standart veri koruma maddeleri modernize edilerek mevcut seklini almistir. Isbu makale kapsaminda standart veri koruma maddelerinin tarihsel gelisimine, modernize edilmis maddeler bakimindan öne çikan hususlara ve sirketler tarafindan izlenmesi önerilen yol haritasina yer verilmistir.

Avrupa Birligi'nden Üçüncü Ülkelere Veri Aktarimi Kapsaminda Modernlestirilmis Standart Veri Koruma Maddeler

