Anasayfa Makale Avrupa Birliği Hukukunda Standart Sözleşmeler...

Makale

Avrupa Birliği veri koruma hukukunda, kişisel verilerin üçüncü ülkelere aktarımında standart sözleşmelerin rolü, Schrems I ve Schrems II kararlarıyla köklü bir değişime uğramıştır. Bu makale, güvenli liman ve gizlilik kalkanı mekanizmalarının iptali ile Avrupa Veri Koruma Kurulu'nun güncel tavsiyelerini hukuki bir perspektifle incelemektedir.

Avrupa Birliği Hukukunda Standart Sözleşmeler ve Schrems Kararları

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Avrupa Birliği sınırları dışına yönelik kişisel veri aktarımı, gelişen teknoloji ve küresel ticaretin doğal bir sonucu olarak hukuki bir zorunluluk haline gelmiştir. Genel Veri Koruma Tüzüğü (GDPR) öncesinde 95/46/AT sayılı Direktif ile şekillenen veri koruma rejimi, uluslararası veri aktarımlarında standart sözleşmeler gibi uygun güvence mekanizmalarının temelini atmıştır. Avrupa Komisyonu, ilk olarak 2001, 2004 ve 2010 yıllarında veri sorumlusu ve veri işleyenler arasındaki aktarımlar için çeşitli model sözleşmeler kabul etmiştir. Ancak hukuki manzara, Avrupa Birliği Adalet Divanı (ABAD) tarafından verilen çığır açıcı Schrems I ve Schrems II kararları ile baştan aşağı değişmiştir. Bu kararlar, yalnızca Amerika Birleşik Devletleri ile yapılan veri aktarımı anlaşmalarını iptal etmekle kalmamış, aynı zamanda üçüncü ülkelere yapılacak tüm aktarımlarda esasen eşdeğer koruma standardı aranmasını zorunlu kılmıştır. Söz konusu hukuki gelişmeler, veri ihracatçıları üzerinde hesap verebilirlik ilkesi bağlamında ciddi sorumluluklar doğurmuştur.

Schrems I Kararı ve Güvenli Liman İptali

Avrupa Birliği ile Amerika Birleşik Devletleri arasındaki veri aktarımı, uzun bir süre Güvenli Liman (Safe Harbor) Gizlilik İlkeleri kapsamında yürütülmüştür. Ancak Avusturyalı bir Facebook kullanıcısı olan Maximilian Schrems'in, kişisel verilerinin ABD'ye aktarılarak ulusal istihbarat servislerinin erişimine açıldığı iddiasıyla başlattığı hukuki süreç, Schrems I davası olarak tarihe geçmiştir. ABAD, 6 Ekim 2015 tarihli kararında, ABD ulusal güvenlik ve kolluk kuvvetleri gerekliliklerinin Güvenli Liman ilkelerine üstün geldiğini tespit etmiştir. Mahkeme, AB vatandaşlarının temel haklarına yönelik müdahaleleri sınırlayan etkili bir yasal korumanın ABD hukukunda bulunmadığına hükmederek Güvenli Liman kararını geçersiz kılmıştır. Bu karar, veri koruma hakkının AB hukukunda bir temel hak olduğunu teyit etmiş ve ulusal denetim makamlarının uluslararası aktarımları inceleme yetkisini güçlendirmiştir.

Schrems II Kararı ve Gizlilik Kalkanının Akıbeti

Schrems I sonrasında yürürlüğe giren Gizlilik Kalkanı (Privacy Shield) anlaşması da uzun ömürlü olamamıştır. Schrems'in standart sözleşme maddelerinin yasal dayanağını sorguladığı ikinci şikayeti üzerine konu yeniden yargıya taşınmıştır. ABAD, 16 Temmuz 2020 tarihli Schrems II kararı ile ABD gözetim yasalarının geniş kapsamı ve AB vatandaşları için etkili bir başvuru yolunun bulunmaması nedenleriyle Gizlilik Kalkanı Anlaşmasını iptal etmiştir. Mahkeme, standart sözleşmelerin geçerliliğini koruduğuna hükmetse de, verileri aktaran taraflara ağır yükümlülükler getirmiştir. ABAD'a göre, veri ihracatçıları, aktarım yapılacak üçüncü ülkenin AB hukukuna esasen eşdeğer bir koruma standardı sağlayıp sağlamadığını denetlemekle yükümlüdür. Şayet hedef ülkenin mevzuatı yeterli koruma sağlamıyorsa, veri sorumlularının tamamlayıcı ek önlemler alması, aksi takdirde aktarımı askıya alması gerekmektedir.

Avrupa Veri Koruma Kurulu (EDPB) Tavsiyeleri

Schrems II kararının yarattığı hukuki belirsizlikleri gidermek ve veri ihracatçılarına yol göstermek amacıyla Avrupa Veri Koruma Kurulu (EDPB), üçüncü ülkelere veri aktarım mekanizmalarını tamamlayıcı nitelikteki ek önlemlere ilişkin kapsamlı tavsiyeler yayımlamıştır. Söz konusu tavsiyeler, veri sorumluları ve işleyenler için hesap verebilirlik ilkesi temelinde, aktarılan verilerin Avrupa Birliği düzeyinde eşdeğer bir korumadan yararlanmasını sağlamak üzere tasarlanmıştır. EDPB, üçüncü ülkelerdeki kamu makamlarının kişisel verilere erişimine karşı güvence oluşturulması gerektiğinin altını çizmiş ve veri aktarım süreçlerinin denetimi için detaylı bir harita sunmuştur. Bu bağlamda, hedef ülkede AB hukukuna esasen eşdeğer koruma standardı sağlanıp sağlanmadığının tespiti büyük önem taşımaktadır. Kurul, güvenli veri aktarımı için altı adımdan oluşan sistematik bir değerlendirme yöntemi önermektedir.

  • Veri aktarımlarının haritalandırılması ve tüm işleme faaliyetlerinin kayıt altına alınması.
  • Uygun aktarım mekanizmasının belirlenmesi ve güvencelerin tespit edilmesi.
  • Üçüncü ülkenin yerel yasalarının koruma düzeyinin, aktarım etki değerlendirmesi yapılarak detaylıca incelenmesi.
  • Mevcut güvencelerin yetersiz kalması durumunda tamamlayıcı nitelikteki ek önlemlerin benimsenmesi.
  • Gerekli prosedürel adımların izlenmesi ve ilgili denetim makamlarına bildirimlerin yapılması.
  • Sağlanan koruma seviyesinin uygun aralıklarla sürekli olarak yeniden değerlendirmeye tabi tutulması.

Bu altı adımlı sistem, uygulamada standart sözleşmelerin tek başına her zaman yeterli bir koruma kalkanı sağlamayabileceğini ve hukuki geçerlilik için duruma göre zorunlu olarak bir veri aktarım etki değerlendirmesi yapılması gerektiğini açıkça ortaya koymuştur. Söz konusu adımlar eksiksiz uygulanmadığı takdirde, verilerin yasadışı aktarımı riski doğar ve veri sorumluları ağır yaptırımlarla yüzleşebilir. Nitekim Avrupa Komisyonu, değişen hukuki ihtiyaçlara cevap verebilmek adına 2021 yılında, hem GDPR'ın gerekliliklerini hem de Schrems II kararı prensiplerini bünyesinde barındıran güncellenmiş standart sözleşme setlerini yayımlamıştır. Yeni standart sözleşmeler, aktarım süreçlerindeki operasyonel karmaşıklığı azaltmayı ve Avrupa Birliği Adalet Divanı kararlarına tam uyum sağlamayı hedefleyen modern bir hukuki zemin oluşturmuştur.

4 dk okuma Yayınlanma: Güncelleme: