Avrupa Veri Koruma Kurulu (EDPB) İlk Ulusötesi Davranış Kuralları, Veri Yönetişimi Yasası Hakkında Beyan, Kredi Kartlarının Saklanmasına Dair Hukuki Temel ile İlgili Tavsiyeleri Kabul Etti 20.05.2021

Genel kurul sırasında, EDPB ilk ulusötesi¹ davranış kuralları (Kurallar) taslak kararlarına dair Belçika ve Fransız Gözetim Otoriteleri tarafından Kurula sunulan iki adet GDPR madde 64 görüşünü kabul etti. Özellikle, Belçika Gözetim Otoritesinin taslak kararı AB Bulut Davranış Kurallarını ilgilendirmekte olup bulut hizmet sağlayıcılarını işaret etmektedir. Fransız Gözetim Otoritesinin taslak kararı CISPE* davranış kurallarını ilgilendirmekte olup bulut altyapı hizmet sağlayıcılarını işaret etmektedir. Bu kurallar, AB içerisinde bu kuralların muhatabı olan işleyiciler için pratik bir rehber sağlamayı ve özel gereksinimleri (örn. GDPR madde 28) tanımlamayı amaçlamaktadır. Bu kurallar kişisel verinin uluslararası transferi kapsamında kullanılmak için değildir. EDPB her iki taslak kurallarının GDPR ile uyumlu olduğu ve GDPR madde 40 ve 41’de ortaya konulan gereksinimleri karşıladığı görüşündedir. GDPR’a göre, onaylanmış davranış kurallarına bağlılık hukuki uyumun gösterilmesinde bir unsur olarak kullanılabilir.

EDBP Başkanı Andrea Jelinek, “kural sahiplerinin bir sektörde daha fazla tutarlık sağlamak ve veri koruma uyumunu teşvik etmek için pratik, şeffaf ve potansiyel olarak uygun maliyetli araçlar olan davranış kurallarını ayrıntılandırma çabalarını memnuniyetle karşılıyoruz” dedi.

EDPB, yasama sürecindeki gelişmeler ışığında Veri Yönetişimi Yasası (Data Governance Act “DGA”) hakkında bir beyan kabul etmiştir. Bu beyan EDPB – EDPS’nın DGA üzerine ortak görüşünün devamı niteliğindedir ve bu görüşün esas söylemlerini güçlendirmektedir. EDPB, güçlü veri koruma tedbirleri olmadan, dijital ekonomiye olan güvenin sürdürülebilir olmayacağına dair bir risk bulunduğunu yinelemektedir. Beyanda ayrıca, DGA’nın AB veri koruma müktesabatıyla tutarlılığının sağlanması ihtiyacını vurgulamakta ve eş kanunkoyucuları, DGA ile GDPR arasındaki etkileşim gibi belli açılar ile yeni tanım ve kavramların GDPR ile uyumsuz olmamasını sağlamanın önemini dikkatlice değerlendirmeye çağırmaktadır.

Son olarak EDPB, yalnızca sonraki çevrimiçi işlemleri gerçekleştirmek amacıyla kredi kartı bilgilerinin depolanmasının hukuki temeline dair tavsiyeler kabul etmiştir. Tavsiyeler ilgili kişinin bir ürün alması ya da bir web sitesi veya bir uygulama amacıyla ödeme yapması ve tek bir işlemi tamamlamak için kredi kartı bilgilerini sunması durumlarını kapsamaktadır. Bu gibi durumlarda, ilgili kişinin doğal olarak ürünlerin ya da hizmetin bedelinin ödenmesi için gerekli olandan daha uzun bir süre kredi kartı bilgilerinin depolanmasını beklenmediği ve ileride gerçekleşecek satın alımları kolaylaştırmak için kredi kartı verilerinin saklanmasının veri sorumlusunun ya da üçüncü bir kişinin meşru menfaatini sağlamak için gerekli olduğunun açık olmadığı da anlaşılmaktadır. Bunun gibi, GDPR 6/1-a hükmüne göre rıza bir satın alma işleminden sonra kredi kartı bilgilerinin saklanmasının en uygun tek hukuki temeli olarak değerlendirilmelidir.

Kırk dokuzuncu genel kurul gündemine buradan ulaşılabilir.

1. EDPB 01/2019 sayılı rehberinde kullanılan bu terminoloji bir kısım üye devletlerin işleme faaliyetlerine ilişkin davranış kurallarını kapsar

Editörlere notlar:

Lütfen EDPB genel kurulu esasında kabul edilen tüm belgelerin, hukuki, dilbilimsel ve biçimsel kontrollere tabi olduğunu ve bu aşamalar tamamlandıktan sonra EDBP internet sitesinde yayımlanacağını unutmayınız.

Kaynak: EDPB_Press Release_2021_04

*Avrupa’da bulunan Bulut Altyapı Hizmet Sağlayıcıları