Türkçe
English
Bultenler
AB ve ABD Arasındaki Kişisel Veri Aktarımı İçin Yeni Dönem Başladı!
Avrupa Komisyonu (“Komisyon”), 10 Temmuz 2023 tarihinde AB-ABD Veri Gizliliği Çerçevesi (EU-U.S. Data Privacy Framework) Yeterlilik Kararını resmen kabul etmiştir.
- Geçmiş
Avrupa Birliği (“AB”) ve Amerika Birleşik Devletleri (“ABD”) arasında veri aktarımının 2021 yılından bu yana herhangi bir hukuki zemini bulunmamaktaydı.
Daha önce Komisyon tarafından Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“General Data Protection Regulation” - “GDPR”) 45. maddesi[1] kapsamında Safe Harbour ve Privacy Shield isimli yeterlilik kararlarıyla Avrupa Ekonomik Alanı’ndan ABD’ye kişisel verilen aktarılması sağlanmış olsa da, AB Adalet Divanı’nın Schrems I Kararı ile Safe Harbour[2] ve Schrems II Kararı ile Privacy Shield[3] yeterlilik kararları geçersiz hale gelmiş ve ABD’nin kişisel verileri GDPR ile aranan düzeyde korumadığı ifade edilmiştir.
- Karar
Kararda; ABD’nin, bu yeni Yeterlilik Kararı kapsamında, AB’den ABD şirketlerine aktarılan kişisel veriler için yeterli düzeyde korumayı garanti ettiği sonucuna varılmıştır.
Bu yeni Yeterlilik Kararı, Avrupa Adalet Divanı tarafından ifade edilen endişeleri giderecek bağlayıcı güvenceler içermektedir. Nitekim bu güvenceler doğrultusunda, ABD istihbarat servislerinin AB verilerine erişiminin sınırlandırılması ve AB vatandaşlarının başvurabileceği bir Veri Koruma İnceleme Mahkemesinin (“Data Protection Review Court”) (“DPRC”) kurulması planlanmaktadır.
Uygunluk kararı çerçevesinde, kişisel veriler AB ve katılımcı ABD şirketleri arasında serbestçe ve güvenli bir şekilde aktarılabilecektir.
Veri Koruma İnceleme Mahkemesi, toplanan verilerin güvenlik önlemlerine aykırı olması durumunda bu verilerin silinmesine karar verebilecektir.
ABD şirketlerinin AB'den veri alırken belirli yükümlülükleri yerine getirmesi gerekmektedir. Bu doğrultuda AB'den ABD’ye veri transfer eden şirketler için ABD Ticaret Bakanlığı aracılığıyla standartlara uyduklarını kendi kendilerine belgelendirme zorunluluğu bulunmaktadır. ABD Ticaret Bakanlığı, bu Yeterlilik Kararını yönetip izleyecek; uygulama ise ABD Federal Ticaret Komisyonu (“Federal Trade Commission”) tarafından gerçekleştirilecektir.
- Yürürlük
Yeterlilik kararı 10 Temmuz 2023 tarihinde yürürlüğe girmiş olup kişisel verilerin AB’den ABD’ye aktarılmasına yönelik bir çerçeve oluşturmaktadır. Kararın bir zaman sınırlaması bulunmamakla birlikte Komisyon, ABD’deki ilgili gelişmeleri sürekli olarak izleyecek ve yeterlilik kararını değerlendirmek üzere düzenli incelemeler yapacaktır.
İlk gözden geçirme, ABD yasal çerçevesinin uygulamada etkin bir şekilde işlenmesini sağlamak amacıyla kararın kabul edilmesinden sonraki bir yıl içinde gerçekleştirilecektir.
İncelemenin sonucuna bağlı olarak Komisyon, AB üye devletleri ve veri koruma makamlarıyla istişare halinde, en az dört yılda bir gerçekleştirilecek olan gelecekteki incelemelerin sıklığını belirleyecektir.
ABD’deki veri koruma düzeyini etkileyen herhangi bir gelişme olması halinde, Yeterlilik Kararı düzeltilebilecek veya iptal edilebilecektir.
Yetelilik Kararının (İngilizce) tam metnine buradan ulaşabilirsiniz.
Ayrıca, Komisyon tarafından konuyla ilgili yayınlanan (İngilizce) basın duyurusuna buradan ve soru-cevap bölümüne buradan ulaşabilirsiniz.
Saygılarımızla,
Zümbül Hukuk ve Danışmanlık
[1] Madde 45 Bir yeterlilik kararına dayalı olarak yapılan aktarımlar
1. Komisyonun bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hallerde, bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir. Böylesi bir aktarım için spesifik bir onay gerekmez.
2. Komisyon, koruma düzeyinin yeterliliğini değerlendirirken, özellikle aşağıdaki hususları dikkate alır:
(a) hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği, savunma, milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dahil olmak üzere hem genel hem de sektörel mevzuatın yanı sıra söz konusu mevzuatın uygulanması, bir ülke veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik tedbirleri, içtihadın yanı sıra etkili ve uygulanabilir veri sahibi hakları ile kişisel verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin;
(b) üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dahil olmak üzere veri koruma kurallarına uyumluluk sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile işbirliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve
(c) ilgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.
3. Komisyon, koruma düzeyinin yeterliliğini değerlendirdikten sonra, uygulama tasarrufu vasıtasıyla, bir üçüncü ülke, söz konusu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun bu maddenin 2. paragrafı bağlamında yeterli bir koruma düzeyi sağladığına karar verebilir. Uygulama tasarrufunda en az dört yılda bir gerçekleştirilen ve üçüncü ülke veya uluslararası kuruluştaki ilgili tüm gelişmelerin dikkate alındığı düzenli bir gözden geçirme mekanizması sağlanır. Uygulama tasarrufunda bu mekanizmanın bölgesel ve sektörel uygulaması belirtilir ve, uygun olduğu hallerde, bu maddenin 2. paragrafının (b) bendinde atıfta bulunulan denetim makamı veya makamları tanımlanır. Bu uygulama tasarrufu 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
4. Komisyon, üçüncü ülkeler ve uluslararası kuruluşlarda meydana gelen ve bu maddenin 3. fıkrası uyarınca kabul edilen kararların ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak kabul edilen kararların işleyişini etkileyebilecek olan gelişmeleri sürekli olarak izler.
5. Özellikle bu maddenin 3. paragrafında atıfta bulunulan gözden geçirmenin ardından, mevcut bilgilerin üçüncü bir ülke, bu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya bir uluslararası kuruluşun bu maddenin 2. paragrafı bağlamında artık yeterli bir koruma düzeyi sağlamadığını göstermesi durumunda, Komisyon geriye dönük etkisi olmayan uygulama tasarrufları vasıtasıyla bu maddenin 3. paragrafında atıfta bulunulan kararı gereken ölçüde yürürlükten kaldırır, değiştirir veya askıya alır. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir. Usulüne uygun şekilde gerekçelendirilmiş zorunlu acil nedenlerle, Komisyon 93(3) maddesinde atıfta bulunulan usul uyarınca uygulanabilir uygulama tasarruflarını gecikmeksizin kabul eder.
6. Komisyon, 5. paragraf uyarınca verilen karara sebebiyet veren durumun düzeltilmesi amacı ile üçüncü ülke veya uluslararası kuruluşla istişarelere başlar.
7. Bu maddenin 5. paragrafı uyarınca verilen bir karar ile üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektör ya da söz konusu uluslararası kuruluşa ilişkin kişisel verilerin 46 ila 49. maddeler uyarınca aktarılmasına halel gelmez.
8. Komisyon yeterli düzeyde bir korumanın sağlandığı veya artık sağlanmadığına karar verdiği üçüncü ülkeler, bir üçüncü ülke içerisindeki bölgeler ve sektörler ile uluslararası kuruluşları Avrupa Birliği Resmi Gazetesi ve web sitesinde yayımlar.
9. 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, bu maddenin 3 veya 5. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
[2] Court of Justice of the European Union, Judgment in Case C-362/14, Maximillian Schrems v Data Protection Commissioner
https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf
[3] Court of Justice of the European Union, Judgment in Case C‑311/18
https://curia.europa.eu/juris/document/document.jsf;jsessionid=D0BF0EC4C29EC8C348CFF1A6132B04D0?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=478118