Avrupa

AB Genel Veri Koruma Tüzüğü’nün 3. Maddesinin Uygulanması ve V. Bölümde Düzenlenen Uluslararası Aktarımların İlişkisi Hakkında 05/2021 Sayılı Rehber

19 Ocak 2022 /

AVRUPA VERİ KORUMA KURULU

AB Genel Veri Koruma Tüzüğü’nün 3. Maddesinin Uygulanması ve V. Bölümde Düzenlenen Uluslararası Aktarımların İlişkisi Hakkında
05/2021 Sayılı Rehber

 Çeviren: H. Berk Sürücü

1.     GİRİŞ[1]

AB Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation, “GVKT”, “Tüzük”) 44. Maddesine göre[2], Tüzüğün V. Bölümünde düzenlenen şartlar “Üçüncü bir ülkeye veya uluslararası bir kuruluşa[3] aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması” senaryolarının tümüne uygulanır. V. Bölümün temel amacı, GVKT tarafından sağlanmakta olan korumanın, kişisel verinin “üçüncü ülkelere veya uluslararası kuruluşlara aktarılması” ile zayıflatılmasının önüne geçmektir. [4]

V. Bölüm ile getirilen düzenlemeler kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasından sonra da yeterli korumanın sağlanmasını amaçlamaktadır. Kişisel veri, Avrupa Birliği sınırları içerisinde işlendiği müddetçe hem GVKT hem de AB ve Üye Devlet seviyesinde GVKT’ye uygun olarak çıkartılmış kurallar ile ve nihai olarak AB Temel Haklar Bildirgesi ile korunmaktadır. Kişisel veri, AB bölgesi dışına aktarıldığında veya erişime açıldığında, Birlik içerisinde sağlanan kapsayıcı yasal güvenceler artık uygulanmamaktadır.

Bu sebeple, aktarılan kişisel verinin, Avrupa Komisyonu tarafından verilmiş yeterlilik kararları veya GVKT’nin V. Bölümüne uygun olarak yeterli tedbirlerin alınması gibi diğer yollarla korunmasının sağlanması gerekmektedir. GVKT’nin 46. Maddesinde sayılan veri aktarma araçlarına dayanılarak veri aktarımı yapılırken, verinin güvenliğinde AB standartlarına denk korumanın sağlanması için ek tedbirlerin alınmasının gerekip gerekmeyeceği değerlendirilmelidir.[5] Bu denetim, veri işlemenin GVKT’nin 3/2 fıkrası kapsamında gerçekleştirildiği durumlarda da, verilerin aktarıldığı hukuk düzeninin GVKT’nin sağladığı korumayı sağlayamama ihtimalinden kaçınmak için gerçekleştirilmelidir. Üçüncü ülke hükümetinin, kişisel verilere demokratik toplumlarda uygun olmayan, gereksiz ölçüde ve orantısız erişim sağlamasına serbestiyet tanıyan iç hukukunun mevcut olduğu bir senaryo bu denetimin uygulanmasının gerekeceği bir örnek olarak sayılabilir (Zira demokratik toplum ihtiyaçlarının gözetilmesi, GVKT’nin 23/1. Maddesi çerçevesinde hem Birlik hem de Üye Devlet hukukunca ulaşılabilecek en önemli hedeflerden biridir). V. Bölüm ile getirilen düzenlemeler hem bu tehlikeye karşı teminat, hem de Tüzüğün 3. maddesi ile kapsamı belirlenen Birlik dışına veri aktarımlarında bölgesel kapsamın (territorial scope) uygulanmasına uyarlık oluşturmaktadır.  

Bu rehberin takip eden bölümlerinde, veri sorumluları ve veri işleyenlere, veri işlemenin üçüncü ülkeye veya uluslararası kuruluşa aktarım teşkil edip etmediğinin tespit edilmesi ve böylelikle Tüzüğün V. Bölümünde yer alan düzenlemelere uyum sağlanmasının gerekip gerekmeyeceğinin belirlenebilmesinde yol göstermesi amacıyla Tüzüğün 3. Maddesi ile V. Bölümü arasındaki ilişkinin açıklanması hedeflenmektedir.

Ancak, somut veri aktarımı V. Bölüm kapsamında kabul edilmeyecek olsa da, durumun özelliğine göre veri işlemenin barındırdığı tehditlerin öngörülen tedbirlerin alınmasını gerektireceği unutulmamalıdır. Veri işleme faaliyetinin AB’de gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, veri sorumluları ve veri işleyenler her zaman Tüzüğün ilgili hükümlerine, teknik ve idari tedbirlerin alınmasında veri işlemeden doğan tehlikelerin göze alınmasını zorunlu kılan 32. Madde gibi, uyum sağlamak zorundadır.

2.     VERİ İŞLEMEDE ÜÇÜNCÜ BİR ÜLKEYE VEYA ULUSLARARASI KURULUŞA AKTARIM OLUP OLMADIĞININ TAYİNİNDE KRİTERLER

GVKT ile “üçüncü bir ülkeye veya uluslararası kuruluşa aktarım”[6] kurumunun hukuki tanımı yapılmadığından öncelikle bu kurumun tanımlanması gerekmektedir.

Avrupa Veri Koruma Kurulu (European Data Protection Board, “EDPB”) aşağıdaki üç kriterin bir arada bulunması halinde veri işlemede aktarımın var olacağını tespit etmektedir[7]:

1)     Veri sorumlusu veya veri işleyenin, söz konusu veri işleme faaliyeti için Tüzüğe tabi olmalıdır,

2)     Bu veri sorumlusu veya veri işleyenin (aktarıcının), kişisel veriyi aktararak veya başka bir suretle başka bir veri sorumlusuna, müşterek veri sorumlusuna veya veri işleyene (alıcıya) erişilebilir hale getirmelidir,

3)     3. Madde uyarınca ve söz konusu veri işleme faaliyeti için, Tüzük kapsamında hukuken sorumlu olup olmadığına bakılmaksızın, Alıcı üçüncü ülkede bulunmalı veya uluslararası bir kuruluş olmalıdır.

Bu noktada, 3. Madde uyarınca, Tüzüğün uygulanmasında veri sorumlusunun hukuki kişiliğinden ziyade somut veri işleme faaliyetinin göz önünde bulundurulması gerektiğinin hatırlatılmasında fayda vardır. [8]

2.1.      Veri sorumlusu veya veri işleyenin Tüzüğe tabi olması

İlk kriter olarak veri işlemenin Tüzüğün 3. Maddesi gereğini sağlaması, yani veri sorumlusu veya veri işleyenin Tüzüğe tabi olması şartı aranmaktadır. EDPB tarafından yayımlanan Tüzüğün 3. Maddesi uyarınca bölgesel kapsam hakkında 3/2018 numaralı Rehber ile bu husus detaylıca açıklanmıştır

Altını çizmek gerekir ki, AB’de bulunmayan veri sorumluları ve veri işleyenler, Tüzüğün 3/2. fıkrası uyarınca Tüzüğe tabi olabilmektedir ve böylelikle üçüncü bir ülkeye veya uluslararası kuruluşa veri aktarırken V. Bölüm gerekliliklerine uyum sağlamak zorundadırlar.

2.2.      Aktarıcı durumundaki veri sorumlusu veya veri işleyenin alıcı durumundaki veri sorumlusu veya veri işleyene veriyi aktarması ya da başka bir suretle veriyi erişilebilir hale getirmesi

İkinci kriter, kişisel veriyi başka bir veri sorumlusuna veya veri işleyene aktaran ya da başka bir suretle erişilebilir hale getiren bir veri sorumlusu veya veri işleyenin varlığını aramaktadır. Bu kavramlar EDPB’nin Tüzük kapsamında veri sorumlusu ve veri işleyen üzerine 07/2020 sayılı Rehberi ile detaylıca açıklanmıştır. Bununla birlikte, veri sorumlusu, müşterek veri sorumlusu ve veri işleyen kavramları, tarafların veri işlemedeki sorumluluklarını paylaştırmaları açısından işlevsel ve esasen AB Veri Koruma hukuku uyarınca yorumlanmaları açısından münhasır kavramlardır. Söz konusu veri işlemeye ve tarafların bu veri işlemedeki rollerine yönelik olarak her somut olayın ayrıca analiz edilmesi gerekmektedir. [9]

Verinin, ilgili kişi[10] tarafından bizzat veya kendi inisiyatifi ile alıcıya ifşa edildiği durumlarda ikinci kriterin yerine getirildiği söylenemez. Böylesi bir durumda, veriyi aktaran veya erişilebilir hale getiren yani aktarıcı konumunda bir veri sorumlusu veya veri işleyen bulunmamaktadır.[11]

Örnek 1: Üçüncü bir ülkede bulunan veri sorumlusunun doğrudan AB’de bulunan ilgili kişinin verisini işlemesi

 

İtalya’da yaşayan Maria, çevrimiçi bir alışveriş sitesinden sipariş verebilmek ve Roma’da bulunan evinde siparişini teslim alabilmek için online bir formu kişisel verileri ile doldurmuştur. Alışveriş sitesi, Singapur’da yerleşik olup AB içerisinde bulunmayan bir şirket tarafından işletilmektedir. Bu olayda, Maria, kişisel verisini Singapur’da bulunan şirkete aktarmaktadır, fakat veri herhangi bir aktarıcı (veri sorumlusu veya veri işleyen) tarafından aktarılmadığı, kişinin doğrudan kendi hareketi ve inisiyatifi ile aktarıldığı için bu durum kişisel verinin aktarılması halini oluşturmamaktadır. Bu sebeple, V. Bölüm hükümleri, bu olaya uygulanmaz. Yine de, Singapur’da bulunan Şirket, veri işleme operasyonlarının Tüzüğün 3/2. fıkrasına tabii olup olmadığını [ayrıca] kontrol etmelidir.[12]

 

 

Örnek 2: AB’de bulunan veri sorumlusunun üçüncü bir ülkede bulunan veri işleyene veri göndermesi

 

Avusturya’da yerleşik veri sorumlusu X şirketi, çalışanlarının ve müşterilerinin kişisel verilerini, kendisi adına işlenmek üzere Şili’de yerleşik veri işleyen Z şirketine aktarmaktadır. Bu olayda, Tüzüğe tabi olan veri sorumlusu tarafından veri işleyene verinin aktarılması söz konusudur. Dolayısıyla somut olay kişisel verinin üçüncü ülkeye aktarımı olarak kabul edilecek ve Tüzüğün V. Bölümü uygulanacaktır.

 

 

Bu noktada, Tüzüğün 44. Maddesinin, aktarımın yalnızca veri sorumlusu tarafından değil, veri işleyen tarafından gerçekleştirilebileceğini açıkça öngördüğünü hatırlatmak gerekir. Bu bağlamda, veri işleyenin, veri sorumlusunun talimatları doğrultusunda, başka bir veri işleyene ve hatta başka bir veri sorumlusuna veri aktarımı yapabileceği durumlar ortaya çıkabilir.

 

Örnek 3: AB’de bulunan veri işleyenin, veriyi, üçüncü ülkede bulunan veri sorumlusuna geri göndermesi

 

AB dışında yerleşik XYZ şirketi, hiçbiri AB’de bulunmayan çalışanlarının ve müşterilerinin kişisel verilerini, AB’de yerleşik ve XYZ adına veri işleyen ABC şirketine göndermektedir. ABC, verileri XYZ’ye geri göndermektedir. Veri işleyen ABC tarafından gerçekleştirilen veri işleme faaliyeti, ABC, AB içerisinde yerleşik olduğundan Tüzüğün 3/1 fıkrası hükmü kapsamında Tüzüğe tabi olacaktır. XYZ ise üçüncü ülkede bulunan veri sorumlusu olduğundan, ABC’den XYZ’ye gerçekleştirilen veri aktarımı, üçüncü ülkeye aktarım kabul edilecek ve böylelikle V. Bölüm uygulanacaktır.

 

 

Örnek 4: AB’de bulunan veri işleyenin, üçüncü ülkede bulunan alt veri işleyene veri aktarması

 

Almanya’da yerleşik veri sorumlusu A şirketi, veri işleyeni olarak Fransa’da yerleşik B şirketi ile ilişki kurar. B, A adına veri işleyen olarak yürüttüğü veri işleme faaliyetlerini alt veri işleyen olarak Hindistan’da yerleşik C şirketine devretmek ve bu amaçla C’ye veri aktarmak niyetindedir. Bu olayda, A ve B tarafından gerçekleştirilen veri işleme faaliyetleri, şirketlerin AB’de bulunmasından dolayı Tüzüğün 3/1. fıkrası uyarınca Tüzüğe tabidir. C ise üçüncü bir ülkede veri işleme faaliyeti göstermektedir. Bu nedenle, veri işleyen B’den alt veri işleyen C’ye yapılan aktarım üçüncü ülkeye veri aktarımı olarak değerlendirilecek ve Tüzüğün V. Bölümü uygulama alanı bulacaktır.

 

 

İkinci kriter, “üçüncü bir ülkeye veya uluslararası kuruluşa veri aktarımı” kurumunun ancak iki farklı ve birbirinden ayrı taraf (taraflar veri sorumlusu, müşterek veri sorumlusu veya veri işleyen olabilir) arasında veri aktarımı halinde söz konusu olacağını işaret etmektedir. Ortada veri aktarımı olabilmesi için, veriyi aktaran bir veri sorumlusu veya veri işleyen (aktarıcı) ve veriyi alan ya da veriye erişebilen diğer bir veri sorumlusu veya veri işleyen (alıcı) olması gerekmektedir.

 

Örnek 5: AB’de bulunan veri sorumlusunun çalışanının üçüncü ülkeye iş seyahati gerçekleştirmesi

 

Polonya’da yerleşik A şirketinin çalışanı George, bir toplantı için Hindistan’a gider. Hindistan ziyareti sırasında, George, bilgisayarını açarak şirketinin veritabanına kayıtlı kişisel verilere uzaktan erişim sağlar. Üçüncü ülkeden bu şekilde uzaktan kişisel verilere erişim gerçekleştirilmesi kişisel veri aktarımı olarak kabul edilmeyecektir, zira George, başka bir veri sorumlusu değil, veri sorumlusu olan A Şirketinin parçası sayılacak bir çalışanıdır. Dolayısıyla verinin ifşası aynı veri sorumlusu bünyesinde gerçekleştirilmiştir. George’un verilere uzaktan erişimi ve erişimi sonrasında gerçekleştirdiği veri işleme faaliyetleri dahil olmak üzere olaydaki veri işleme faaliyetleri, Polonyalı şirket yani Birlik içerisinde kurulu Tüzüğün 3/1. Maddesine tabi bir veri sorumlusu tarafından gerçekleştirilmiştir.

 

Dolayısıyla, aktarıcı ve alıcı, birbirinden farklı veri sorumluları veya veri işleyenler değilse, veri işleme faaliyeti aynı veri sorumlusu bünyesinde gerçekleştirildiğinden, verinin ifşa edilmesi Tüzüğün V. Bölümü kapsamında veri aktarımı kabul edilmeyecektir. Bu bağlamda, veri sorumlusu ve veri işleyenlerin yine de Tüzüğün 32. maddesi kapsamında veri işleme faaliyetlerinin içerdiği riskleri gözeterek gerekli teknik ve idari tedbirleri alma yükümlülükleri olduğunu unutmamak gerekir.

Aynı zamanda, grup şirket oluşturan farklı hukuk kişiliklerin ayrı ayrı veri sorumlusu veya veri işleyen olabilecekleri unutulmamalıdır. Sonuç olarak, aynı grup şirket içerisinde bulunan (grup içi veri ifşası) şirketler arası veri paylaşımları verinin aktarılması olarak değerlendirilebilir.

 

Örnek 6: Veri işleyen durumundaki bağlı şirketin, üçüncü ülkede bulunan veri sorumlusu durumundaki hâkim şirkete veri aktarımı

 

ABD’li ana şirket B’nin bağlı şirketi olan İrlanda şirketi A, çalışanlarının kişisel verilerini, ABD’de bulunan merkezileştirilmiş insan kaynakları veritabanında tutulması için B şirketine aktarmaktadır. Bu olayda, İrlandalı A şirketi veri aktarım ve veri işleme faaliyetlerini işveren sıfatıyla gerçekleştirdiğinden veri sorumlusu sıfatını haiz olacaktır, ana şirket ise veri işleyen olacaktır. A şirketi, 3/1. Fıkrası kapsamında Tüzüğe tabi olacakken, B Şirketi üçüncü ülkede bulunmakta olduğundan, söz konusu veri aktarımı Tüzüğün V. Bölümü kapsamında üçüncü ülkeye veri aktarımı teşkil edecektir.

 

Örnek 5 gibi durumlarda veri akışı Tüzüğün V. Bölümü kapsamında “üçüncü ülkeye veri aktarımı” olarak kabul edilemeyecekse de, bu veri işleme faaliyetleri, örneğin çatışan ulusal hukuk kuralları, hükümetin veriye erişimi veya AB dışında bulunan şirkete yaptırım uygulanmasının veya talimat verilmesinin zor olması gibi nedenlerle risk teşkil edebilmektedir. Bu bağlamda veri sorumlusu, nerede gerçekleştirildiğine bakılmaksızın veri işleme faaliyetlerinin hukuka uygunluğundan sorumludur ve Tüzüğün 24. Maddesi (Veri sorumlusunun sorumluluğu), 32. Maddesi (Veri işlemenin güvenliği), 33. Maddesi (Veri ihlalinin bildirilmesi), 35. Maddesi (Veri Koruma Risk Değerlendirmesi) 48. Maddesi (Birlik hukuku tarafından izin verilmeyen veri aktarımları) vb. diğer kurallarına uymak zorundadır. Veri sorumlusunun idari ve teknik tedbirleri alma yükümlülüğü, Tüzüğün 32. Maddesi uyarınca gerçekleştirilen veri işleme faaliyetinin riskleri ile birlikte değerlendirildiğinde, bir veri sorumlusu, üçüncü bir ülkeye veri aktarımı söz konusu olmasa bile ilgili veri işleme faaliyetinin ileri düzey tedbir gerektirebileceği -ve hatta hukuka aykırı olabileceği- sonucuna pekâlâ varabilecektir. Örneğin, bir veri sorumlusu, çalışanlarının bazı üçüncü ülkelere laptoplarını götüremeyeceği gibi tedbirler alabilir.

2.3.      3. Madde uyarınca ve söz konusu veri işleme faaliyeti için, Tüzük kapsamında hukuken sorumlu olup olmadığına bakılmaksızın, Alıcı üçüncü ülkede bulunmalı veya uluslararası bir kuruluş olmalıdır.

Üçüncü kriter, somut olaydaki veri işleme faaliyetinin Tüzüğe tabi olup olmayacağına bakmadan, alıcının coğrafik olarak üçüncü bir ülkede bulunmasını veya uluslararası bir kuruluş olmasını gerektirmektedir.

 

Örnek 7: AB’de bulunan veri işleyenin, üçüncü ülkede bulunan veri sorumlusuna kişisel veriyi geri göndermesi

 

A şirketi, AB dışında bulunan bir veri sorumlusudur ve AB pazarına hizmet ve mal satmaktadır. Fransız şirketi B, A adına kişisel veri işlemektedir. B, verileri, A’ya geri göndermektedir. B AB’de yerleşik olduğundan B tarafından gerçekleştirilen veri işleme faaliyetleri, Tüzüğün 3/1. fıkrası uyarınca Tüzüğe tabidir. A ise, Tüzüğün 3/2. fıkrası uyarınca Tüzüğe tabidir. Ancak A, üçüncü ülkede bulunduğundan, B tarafından A’ya gerçekleştirilen veri aktarımlarında Tüzüğün V. Bölümü uygulanır.

 

 

3.     SONUÇ

EDPB tarafından belirlenen tüm kriterler sağlanmaktaysa, “üçüncü bir ülkeye veya uluslararası kuruluşa” aktarımdan söz edilecektir. Bu sebeple, veri sorumlusu veya veri işleyen (aktarıcı) tarafından, söz konusu veri işleme faaliyeti kapsamında, verinin üçüncü bir ülkede bulunan veri sorumlusu veya veri işleyene (alıcı) aktarılması veya üçüncü kişiye erişilebilir hale getirilmesi, alıcının ilgili veri işleme faaliyeti kapsamında Tüzüğe tabi olup olmadığına bakılmaksızın Tüzüğün 3. Maddesi uyarınca Tüzüğe tabidir.

Bunun sonucu olarak, veri sorumlusu veya veri işleyen (yukarıda kriterleri izah edilen) “veri aktarımı” durumunda Bölüm V’in gerekliliklerini yerine getirmek ve üçüncü ülkeye veya uluslararası organizasyona veri aktarımından sonra da kişisel verilerin korunmasını amaçlayan vasıtaları kullanarak verinin aktarılmasını sağlamak zorundadır.

Verinin aktarıldığı üçüncü ülkenin veya uluslararası kuruluşun Tüzüğün 45. Maddesi uyarınca yeterli koruma sağladığı ilan edilen ülke veya kuruluşlar arasında olması veya böylesi bir yeterli koruma kararı yoksa, aktarıcı tarafından 46. Maddede sayılan yeterli tedbirlerin alınması bahsedilen vasıtalardandır.[13] 49. Maddeye göre ise kişisel veri üçüncü bir ülkeye veya uluslararası bir kuruluşa yeterli koruma sağlayan ülke kararı veya gerekli tedbirler olmaksızın ancak ve ancak belirli durumlarda ve belirli şartlarda aktarılabilir.

46. Maddede sayılan vasıtaların başlıcaları aşağıdaki gibidir:

  • ·       Standart Sözleşme Klozları,
  • ·       Bağlayıcı Kurumsal Kurallar,
  • ·       Politikalar,
  • ·       Sertifika mekanizmaları,
  • ·       Amaca Özel Sözleşme Klozları,
  • ·       Uluslararası anlaşmalar/İdari düzenlemeler.

Alınan tedbirlerin içeriği somut duruma göre uyarlanmalıdır. Örneğin, veri sorumlusu tarafından gerçekleştirilen veri aktarımında sağlanacak tedbirler ile veri işleyen tarafından gerçekleştirilen veri aktarımında sağlanacak tedbirler aynı olmayacaktır.[14] Benzer olarak, üçüncü ülkede bulunan veri sorumlusu eğer halihazırda söz konusu veri işleme faaliyeti için Tüzüğe tabii ise, daha az koruma/tedbir gerekecektir. Dolayısıyla, veri aktarımı için gerekli vasıtaları belirlerken, örneğin standart sözleşme klozlarının mı yoksa amaca özel sözleşme klozlarının kullanılacağını mı belirlerken, 3/2. fıkrası göz önüne alınmalı ve Tüzük’ten doğan yükümlülüklerin yerine getirilmesinde tekerrüre düşülmemeli, evleviyetle “eksik” kalan unsur ve ilkeler tespit edilmeli, böylelikle üçüncü ülke ulusal hukuku ve hükümet erişimi ile AB dışında bulunan bir hukuki kişiliğe yaptırım uygulanmasının veya talimat verilmesinin zor olması gibi eksikliklerin giderilmesi sağlanmalıdır. İzah etmek gerekirse bu vasıtalar, örneğin, üçüncü ülke düzenlemesi ile Tüzük arasında çatışma olur ve üçüncü ülkeye verilerin ifşasının zorunlu olduğu durumlarda alınacak tedbirler bu çatışmaya işaret etmelidir. EDPB, alıcının 3/2. fıkrası uyarınca söz konusu veri işleme faaliyeti kapsamında Tüzüğe tabi olduğu durumlarda yeni bir takım standart sözleşme klozları gibi yeni aktarım vasıtalarının kullanılmasını cesaretlendirmekte ve iş birliği yapmaya hazır olduğunu ifade etmektedir.

Özetle, EDPB tarafından belirlenmiş kriterler karşılanmamışsa, “veri aktarımı” yoktur ve Tüzüğün V. Bölümü uygulanmaz. Bahsedildiği üzere, veri sorumlusu kontrolü altında gerçekleşen bütün veri işleme süreçlerinden, veri işlemenin nerede gerçekleştiğine bakılmaksızın sorumludur ve üçüncü ülkelerde gerçekleştirilen veri işleme faaliyetlerinin içerdiği riskler, Tüzüğe ve hukuka uygunluğunun sağlanması için, teşhis edilerek yönetilmelidir (durumun gereğine göre azaltılmalı veya yok edilmelidir).

Altını çizmek gerekir ki, Tüzüğün 3. Maddesi kapsamında Tüzüğe tabi olan veri sorumluları ve veri işleyenler, kişisel verileri üçüncü ülkede bulunan veri sorumlusu veya veri işleyenlere ya da uluslararası kuruluşlara aktarırken her zaman Tüzüğün V. Bölümüne uyumlu davranmak zorundadır.  Bu aynı zamanda, AB’de yerleşik olmayan fakat Tüzüğün 3/2. Fıkrası uyarınca Tüzüğe tabi olan veri sorumlularının veya veri işleyenlerin, üçüncü bir ülkede veya kendisiyle aynı ülkede bulunan diğer veri sorumlularına veya veri işleyenlere gerçekleştirdikleri kişisel veri aktarımları için de uygulanır.

 

Çevirmen’in Notu:

Bu rehber, Avrupa Veri Koruma Kurulu tarafından 19.11.2021 tarihindehttps://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en adresinde yayımlanmış olup 31.01.2022 tarihine değin görüş ve değerlendirmelere açık tutulacaktır. Dolayısıyla Rehber henüz son halini almamıştır.

[1] İşbu rehberde Avrupa Birliği veya Üye Devletlerden bahsedildiği durumlarda Avrupa Ekonomik Alanı ve Avrupa Ekonomik Alanı Üye Devletleri anlaşılır.

[2] “Üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere, ancak, bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir.”

[3] “Uluslararası kuruluş” ibaresinden uluslararası kamu hukuku rejimine tabii kuruluşlar ile bunların organları ve iki veya daha fazla ülke arasında imzalanan anlaşmalara dayalı olarak kurulan kuruluşlar anlaşılır.

[4] 101 no’lu gerekçeye ek olarak bu husus özellikle 44. Maddenin 2. Cümlesi ile de özellikle vurgulanmaktadır: “Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amacı ile bu bölümdeki tüm hükümler uygulanır.”

[5] Bkz: EDPB tarafından verilmiş, AB seviyesinde kişisel veri koruması sağlanması için veri aktarım araçlarını destekleyecek tedbirler hakkında 01/2020 numaralı Tavsiyeler; EDPB tarafından verilmiş, gözetim ve denetimlerin uygulanmasında zorunlu teminatlar hakkında 02/2020 numaralı Tavsiyeler.

[6] Bkz: 44. Maddenin 1. Cümlesi.

[7] Avrupa Birliği Adalet Divanı’nın 6 Kasım 2003 tarihli C-101/01 EU:C:2003:596 sayılı Bodil Lindqvist dosyasındaki tespitlere istinaden.

[8] Bkz: EDPB tarafından yayınlanan, Tüzüğün 3. Maddesi uyarınca bölgesel kapsam hakkında 3/2018 numaralı Rehberin 1-3. Bölümleri

[9] Bkz: EDPB’nin Tüzük kapsamında veri sorumlusu ve veri işleyen üzerine 07/2020 sayılı Rehberi’nin 9. Sayfası.

[10] İlgili kişi, veri sorumlusu veya veri işleyen olarak değerlendirilemez. Tüzüğün, veri sorumlusu ve veri işleyen ile ilgili kişi arasındaki farkı ortaya koyan 4/10. Fıkrası bu doğrultudadır. Dolayısıyla, kendi kişisel verisini ifşa eden bir ilgili kişi “aktarıcı” olarak değerlendirilemez. Bu durum, kişinin, Tüzüğün 4/7 ve 8. fıkraları doğrultusunda veri sorumlusu/veri işleyen olabileceği gerçeğini de değiştirmez (Örneğin kişinin kendi işini yapması). Fakat, kendisi veri sorumlusu/veri işleyen olan gerçek kişilerin, kendi kişisel verileri söz konusu olduğunda sağlanması gereken korumaya sınırlama getirmez.

[11] Ek olarak, kişisel veri işleme faaliyetinin Tüzüğün 2/2-c bendi uyarınca “gerçek kişi tarafından kişisel veya hane içi faaliyetleri” kapsamında işlendiği hallerde, bu veri işleme faaliyetinin Tüzüğe tabii olmayacağını önemle hatırlatmak gerekir.

[12] Tüzüğün 3/2-a bendinde belirlenen kıstasların yerine getirilip getirilmediğinin tespitinde hangi unsurların göz önüne alınacağı konusunda bkz: 23 no’lu gerekçe.

[13] Bu bağlamda bkz: EDPB tarafından verilmiş, AB seviyesinde kişisel veri koruması sağlanması için veri aktarım araçlarını destekleyecek tedbirler hakkında 01/2020 numaralı Tavsiyeler.

[14] Bu bağlamda karşılaştırın: 2021/914 numaralı ve 4.06.2021 tarihli, 2016/679 sayılı Tüzük uyarınca üçüncü ülkelere veri aktarımında standart sözleşme klozları hakkında Komisyon Uygulama Kararı (Implementing Decision). 

Daha sonra okumak için indir

Bunlara da bakmak isteyebilirsin

Avrupa Veri Koruma Kurulu, Avrupa Parlamentosu Sivil Özgürlükler, Adalet ve İçişleri Komitesi’ne Avrupa Konseyi Siber Suçlar Sözleşmesi’nin Ek 2 nolu Protokolü ve yapay zeka sorumluluğu hususlarına ilişkin görüşlerini iletti, Bir Veri Aktarım Aracı Olarak Davranış Kuralları Rehberi’ni nihai hale getirdi ve Avrupa Ağ ve Bilgi Güvenliği Ajansı’nın Avrupa Siber Güvenlik Sertifika Grubu’na temsilci atadı.
11 Mart 2022
Avrupa Birliği – Bulgar Yüksek İdare Mahkemesi ABAD’a 5 Soru Yöneltti
14 Ekim 2021
Avrupa Konseyi Siber Suç Sözleşmesi İkinci Ek Protokolü 22 Ülke tarafından İmzalandı[1
25 Mayıs 2022

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!