Dünya

SCHREMS II Sonrası: Veri Aktarımı ve Bulut Bilişim Sistemlerinin Kullanım

Schrems II ve Zorluklar

Avrupa Birliği (“AB”) ve Avrupa Ekonomik Alanı (“AEA”) dışındaki ülkelere (“üçüncü ülkeler”) kişisel veri aktarımı hususu günümüzde özellikle bu yöndeki teknolojileri kullanan birçok kurum için önemli bir gündem oluşturmaktadır. Özellikle üçüncü ülkelere kapsamda gerçekleştirilen kişisel veri aktarımına yönelik zorunlu tedbirler ve koşullar getiren Avrupa Adalet Divanı’nın 16 Temmuz 2020 tarihli “Schrems II” adlı kararından sonra farkındalık daha da artmıştır. Bu kapsamda Schrems II’de Adalet Divanı, AB ve Amerika Birleşik Devletleri (“ABD”) arasında ticari amaçlarla kişisel verilerin aktarımını düzenleyen çerçevenin (Privacy Shield, “Gizlilik Kalkanı”) geçerli ve yeterli bir koruma mekanizması olmadığına karar vermiştir. Gizlilik Kalkanı, karar ile birlikte derhal geçersiz kılındığı için, veri sorumluları, kişisel verileri ABD menşeli şirketlere aktarmak için Gizlilik Kalkanı’na güvenemez hale gelmişlerdir. Dolayısıyla, karar kişisel verilerin transatlantik aktarımı ile uğraşan binlerce ABD işletmesine büyük belirsizlik ve endişe getirmiştir.  Karar sadece dijital ve yüksek teknoloji işletmelerini değil, aynı zamanda finansal hizmetler, tarım, otomotiv ve sağlık hizmetleri de dahil olmak üzere hemen hemen her sektörde faaliyet gösteren, var olmaları için serbest veri akışına güvenen kuruluşları da etkilemiştir. Dahası bu dijital çağda, Avrupa ve ABD arasında sınır ötesi veri aktarımını sağlayacak düzenleyici bir çerçevenin bulunmaması, işletmeler, çalışanlar ve tüketiciler de dahil olmak üzere toplumun tüm üyeleri üzerinde özellikle de salgından ekonomik olarak toparlanmak için küresel olarak yapılan çabalar üzerinde büyük etkiler doğurmuştur.[1]

Bu farkındalığın görünen yüzü yanında, bu hususta yeterli bilgiye sahip olmayan birçok kurum olduğu ve Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında üçüncü ülkelere aktarım şartlarına uyulmaması halinde ciddi yaptırım ve cezalarla karşı karşıya kalınacağı göz ardı edilemez bir gerçektir. Bu yöndeki bilgi ve farkındalık eksikliği, GDPR’ın uygulama alanını tehdit etmekle birlikte, yetkili otoritelerin idari para cezası kararlarından ve teknoloji pazarı hâkimi olan şirketler kadar, küçük ve/veya orta ölçekli şirketler de etkilenmektedir.

Schrems II kararına uyumluluk için çalışmalarını tamamlayan kurumlar ayrıca bu karar ile birlikte gelen kişisel verilerin AB seviyesinde korunmasına yönelik ek önlemlere karar verilmesi gibi yüksek seviyedeki zorluklarla karşılaşmaktadırlar. Bu kapsamda daha önce AB-ABD Gizlilik Kalkanına güvenen birçok ABD şirketi SCC’ler (Standart Contractual Clauses) veya Bağlayıcı Şirket Kuralları gibi veri aktarım mekanizmalarına ayak uydurmak zorunda kalmıştır. Bu ani geçiş büyük bütçeli şirketler için biraz daha kolay olsa da yeterli altyapı ve bütçeye sahip olmayan küçük ve orta ölçekli şirketler yeni sisteme aniden geçiş yapamadıklarından veri aktarımını durdurmak zorunda kalmışlardır.[2]

Aktarım Yolları

GDPR için olduğu kadar, 6698 sayılı Kanun kapsamında da ciddi tartışmalara yol açan kişisel veri aktarım yöntemleri, uygulamada halen yanlış anlaşılabilmektedir. Posta, elektronik posta veya kullanılan uygulamalar ile doğrudan aktarım yapılabilmesinin yanı sıra farkında olmadan da kullandığımız çoğu program, yazılım ve uygulamalar da aktarım gerçekleştirilebilmektedir. Üçüncü ülke olarak adlandırılan ülkelerde yer alan bulut tabanlı saklama alanlarının kullanımı; üretkenlik, yönetim ve planlama amaçlı kullanılan web tabanlı uygulamalar, üçüncü bir ülkeyle gerçekleştirilen ortak ekonomik faaliyet kapsamındaki veri paylaşımları, çerezler ve daha çoğaltılabilecek birçok aktarım yöntemi örnek olarak verilebilir.

Bu kapsamda uygulamada oldukça yaygın kullanılan bulut bilişim sistemlerinde ABD şirketlerinin hâkim durumda olduğu bilinmektedir. Özellikle Microsoft, Google, Amazon şirketler bulut bilişim pazarını domine etmektedir. ABD dışındaki rakipleri çoğunlukla Çin menşeli şirketler olsa da AB, Çin’deki yasal uygulama ve mevzuata pek güvenmemektedir. Bu noktada özellikle veri işleme faaliyetinin nerede gerçekleştiğinden  ziyade veri sorumlusu-veri işleyen veya veri işleyen-alt veri işleyen arasındaki ilişkinin incelenmesi gerekir.  Bu nedenle, sadece AB menşeli veri tabanları tercih edilse de ABD menşeli yan kuruluşlar tarafından işletilen bir sistem olup olmadığını bilmek oldukça önemlidir. AB içerisinde işlendiği düşünülen veriler ilgili kişinin bilgisi dahi olmadan AB dışına aktarılabilmektedir.

GDPR’ın 45 (2) maddesine göre, Avrupa Komisyonu, üçüncü ülkede bir veya daha fazla bağımsız denetim otoritesinin varlığı, üçüncü ülkenin girdiği uluslararası taahhütler veya insan hakları ve temel özgürlüklere saygı gibi bir dizi unsuru dikkate alarak bir yeterlilik kararı alabilir. Bununla birlikte, böyle bir kararın yokluğunda, kişisel veriler yalnızca veri sorumlusu veya veri işleyen uygun korumaları sağlamışsa ve uygulanabilir ilgili kişi hakları, etkili yasal çözümler varsa üçüncü bir ülkeye aktarılabilir. Uygun güvencelerin benimsenmesi, Avrupa Birliği’nde GDPR tarafından sağlanan ilgili kişi korumasının zarar görmemesini sağlamayı amaçlamaktadır. Komisyon tarafından güvenli ülke/yeterli korumaya sahip ülke ilan edilen ve bahse konu önlemlerden muaf tutulan ülke sayısı çok azdır. Bu sebeple muaf olmayan herhangi bir ülkeye veri aktarımı yapılması halinde yeterli koruma tedbirleri olarak Komisyon tarafından benimsenen Standart Contractual Clauses (Standart Sözleşme Maddeleri, “SCC”) kullanılmaktadır.

Standart Sözleşme Maddeleri (Standart Contractual Clauses-“SCC”)

Bahse konu Schrems II kararında, kişisel verilerin AEA/AB dışındaki ülkelere aktarılmasına yönelik olarak SCC’lerin kullanılabileceği ve bunun geçerli bir mekanizma olduğu belirtilmiştir. GDPR’a göre, uygun veri koruma önlemlerini sağlayan sözleşme maddeleri, AB’den üçüncü ülkelere veri aktarımları için bir zemin olarak kullanılabilir. Bu, Avrupa Komisyonu tarafından “önceden onaylanmış” olan matbu sözleşme maddelerini içermektedir.

Avrupa Adalet Divanı, SCC’leri yasal bir veri aktarımı aracı olarak onaylasa da yalnızca SCC’ler ile yetinmenin bazı durumlarda gerekli korumayı garanti etmek için yeterli olmayabileceğini belirtmiştir. Karar uyarınca “SCC, yalnızca, Avrupa Birliği’nde yerleşik veri sorumlularına ve işleyenlere tüm üçüncü ülkelerde tek tip olarak uygulanan ve dolayısıyla her bir üçüncü ülkede garanti edilen koruma seviyesinden bağımsız olarak sözleşmeye dayalı garantiler sağlamayı amaçlamaktadır. Bu standart veri koruma hükümleri, doğası gereği, AB hukuku kapsamında gerekli olan koruma düzeyine uygunluğu sağlamak için bir sözleşme yükümlülüğünün ötesinde garanti sağlayamadığı sürece, bu koruma düzeyine uyum sağlamak için veri sorumlusu tarafından ek tedbirlerin alınmasını gerektirebilir.”  Bu sebeple sadece SCC’lere güvenerek bu uygulama ile sınırlı kalmak yeterli değildir. Avrupa Adalet Divanı, Schrems II kararında veri aktarımı gerçekleştirenlerin her olay bazında, aktarım yapılan üçüncü ülke hukukunun yeterli koruma sağlayıp sağlamayacağının teyit edilmesi gerektiğini belirtmiştir. Bu kapsamda özellikle bu değerlendirmeyi yaparken alıcı ülke hukukunun, alıcının SCC’deki yükümlülükleri yerine getirebilmesi için etkin olup olmadığından emin olunması gerekmektedir.

Avrupa Veri Koruma Kurulu (“EDPB”), üçüncü ülke mevzuatının farklı ve karmaşık olması durumunda tamamlayıcı tedbirlerin belirlenebilmesi ve AB seviyesindeki bir koruma ile tam uyum sağlanabilmesi için 1/2020 sayılı Tavsiyeler’i yayımlamıştır. Bu Tavsiyeler veri aktaranın ihtiyaç duyduğu ek tedbirler ile hukuka uygun bir şekilde veri aktarımı gerçekleştirilmesine yönelik bir yol haritası mahiyetindedir.  EDPB, Tavsiyeler’inde, üçüncü ülkeleri değerlendirme ve gerektiğinde uygun ek tedbirleri belirleme görevi konusunda veri aktaranlara yardımcı olmak için altı adımlı bir yol haritası belirlemiştir[3]: 1-aktarılacak verileri bilmek, 2-güvenilen aktarım araçlarını tespit etmek, 3-güvenilen aktarım aracının, aktarımın tüm koşulları ışığında etkili olup olmadığını değerlendirmek, 4- güvenlik için ek önlemler almak, 5- etkili ek önlemler belirlendikten sonra usul ve uygulamayı belirleyen adımlar atmak, 6- uygun aralıklarla yeniden değerlendirme yapmak.[4] Buluta veri aktarılması bağlamında, aktarımın koşullarıyla ilgili 3. adıma özellikle dikkat edilmelidir. Veri sorumlusu, kişisel verileri buluta geçirirken, verilerin bulutta işlenmesiyle ilgili tüm riskleri göz önüne almalıdır. Buna örnek olarak veriler üzerinde kontrol eksikliği (ör. müdahale eksikliği: bir bulut sağlayıcısı, veri sorumlusunun verilere erişim, verilerin silinmesi veya düzeltilmesi açısından verileri yönetmesine yardımcı olacak gerekli önlemleri ve araçları sağlayamayabilir) veya şeffaflık eksikliği (zincir veri işleme; birden fazla veri işleyen ve alt veri işleyenin bulunduğu durumlar) gösterilebilir.

Avrupa Komisyonu GDPR’a uygun olarak kişisel verilerin işlenmesi ve aktarılması için SCC’leri içeren bir uygulama kararı (implementation decision) kabul etmiştir. Bu kapsamda SCC farklı modüllere ayrılmıştır: veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen, veri işleyen-veri işleyen, veri işleyen-veri sorumlusu. Çoğu durumda, bir şirket ile üçüncü bir ülkede kurulan bir bulut hizmeti sağlayıcısı arasındaki ilişki veri sorumlusu-veri işleyen ilişkisi olacaktır. Bulut hizmeti alan şirketler; verilerin işlenme amaçlarını belirleyen, verilerin işlenmesine yönelik hizmet almaya ve işleme faaliyetlerinin tamamını veya bir kısmını dışardan başka bir kuruluşa devretmeye yönelik karar veren taraftır.  Bu kapsamda veri aktaran müşteri şirket, GDPR m.4 uyarınca veri sorumlusu kabul edilecektir. Bulut sağlayıcı ise GDPR m. 4 uyarınca; bulut hizmetlerini sağlayan, bu doğrultuda veri sorumlusu olan müşteri adına verileri işleyen taraft olacaktır. Bu kapsamda SCC’nin 2. modülü; müşteri ve bulut hizmet sağlayıcısı (veri sorumlusu-veri işleyen) arasında uygulanmalıdır. SCC’ler kural olarak değiştirilemezdir ancak sözleşme taraflarının SCC’leri daha geniş bir sözleşme içine eklemesi veya SCC’lere ek tedbirler eklemesi mümkündür.

Üçüncü ülke hukukunun değerlendirilmesi

Bunların yanında uygulamada kişisel verilerin üçüncü bir ülkeye aktarılması için SCC’lere güvenen veri sorumlularının, hedef ülke yasasının aktarılan kişisel veriler için yeterli korumayı sağlayıp sağlamadığını değerlendirmesi gerekir. Bu değerlendirme literatürde Veri Aktarımı Risk Değerlendirmesi olarak belirtilmektedir. Veri sorumlusu, bu değerlendirmeyi yaparken; veri sorumlusu ile ilgili üçüncü ülkede mukim veri işleyen arasında kararlaştırılan sözleşme maddelerine, aktarılan kişisel verilere üçüncü ülkenin kamu otoriteleri tarafından kişisel verilere herhangi bir erişimin olup olmadığına ve üçüncü ülkenin hukuk sisteminin ilgili yönlerine (örneğin: hukukun üstünlüğü, ilgili iç mevzuat, veri koruma kuralları, etkin ve uygulanabilir ilgili kişi hakları, üçüncü ülkenin girdiği uluslararası taahhütler vb.) dikkat etmelidir.[5] Aktarımın  hukuka uygunluğunun sağlanması içinüçüncü ülkenin yasalarında veya uygulamasında uygun veri koruma önlemlerinin etkinliğine karşı herhangi bir engel bulunup bulunmadığını belirlemek gerekir. Bu değerlendirme, veri akış haritasında belirlendiği şekilde aktarımda rolü olan; veri sorumlularını, veri işleyenleri, üçüncü ülkede veri işleyenleri, alt-veri işleyenleri ve bu gibi aktörleri içermelidir. Ayrıca bu değerlendirme, aktarım ve işleme amaçları, ilgili kuruluşları, aktarılan kişisel veri kategorilerini, veri türü ve başka bir üçüncü ülkeye devam eden aktarım olasılığı da dahil olmak üzere çeşitli bağlamları içermelidir. Uygulanan hukuk değerlendirmesi; kişisel verileri kamu makamlarına ifşa etme veya kamu makamlarına erişim hakkı verme gerekliliklerini ve bu gerekliliklerin demokratik bir toplumda gereklilik ve ölçülülük ilkeleriyle sınırlı olup olmadığını da değerlendirmeyi gerektirmektedir.[6]

Schrems II kararı, üçüncü ülke yasalarını değerlendirirken temel hakların önemli bir kriter olduğunu açıkça belirtmekte ve daha müdahaleci ulusal güvenlik prosedürleri olan diğer ülkelerdeki şirketlerle yapılacak anlaşmalar için çok yüksek standartlar belirlemektedir. Ulusal güvenlik, hukukun üstünlüğü ve bireysel haklar açısından Avrupa hukukuna uyum sağlamayan Çin ve Rusya gibi ülkelerin ise bu gelişmeler karşısında daha yakından incelenmesi gerekir.[7]

Ek Tedbirler

 Değerlendirme sonunda aktarım aracının etkili olmadığı sonucuna varıldıysa takip edilmesi gereken bir sonraki adım; aktarım araçlarında yer alan güvenlik önlemlerine eklendiğinde aktarılan verilerin AB içindekiyle aynı düzeyde korunmasını sağlayabilecek ek tedbirlerin mevcut olup olmadığını değerlendirmektir.[8]

Ek tedbirler sözleşmeye dayalı, teknik veya organizasyonel nitelikte olabilir. Ancak, sözleşme veya organizasyonel önlemler tek başına üçüncü ülkenin kamu otoriteleri tarafından kişisel verilere erişim sağlanmasını engelleyemeyecektir. Şifreleme ve takma ad, üçüncü ülke makamlarının erişimini engellemeyi amaçlayan ek teknik ve organizasyonel koşullar EDPB tarafından uygun görülen teknik önlemler arasındadır. Bununla birlikte EDPB ayrıca etkili önlemlerin olmadığı farklı olayları örneklendirmiştir. Bu örneklerden biri de işletmesel amaçlarla, bulut hizmeti sağlayıcılarına veri aktarımı gerçekleştirilmesidir.[9]

Çözümler

Google ve Microsoft gibi büyük kuruluşlar, Avrupa, Afrika, Orta Doğu ve Asya gibi farklı bölgelerde stratejik olarak konumlandırılmış veri merkezlerine sahiptir. Bu konumlanmanın sebebi, özellikle o bölgelere yine o bölgelerden hizmet vermektir. Ancak yukarıda da belirtildiği üzere Avrupa’da veri merkezlerine sahip olmak söz konusu veri aktarım sorununu çözmemekte ve bu durum, merkezi ABD veya Çin’de bulunan belirli bulut hizmeti sağlayıcılarıyla çalışmayı çok hassas bir konu haline getirmektedir. Hiçbir ek önlem gerekli koruma seviyesini sağlayamazsa kuruluşlar aktarımdan kaçınmalı, aktarımı askıya almalı veya sonlandırmalıdır.[10]

Tüm bu açıklamalar ışığında söz konusu Tavsiyelere uyarak, çoğunlukla uyumlu aktarımlar sağlamak mümkün olacaktır. Ancak, etkili bir önlemin bulunamayacağı ihtimallerde Microsoft örneğinin izlenmesi ve verileri AB’de veya AEA’da işlemeye karar vermek iyi bir seçenek olarak görülmektedir[11].  Schrems II sonrası yayılan bu farkındalık ile Amazon AWS hizmetleri de müşterilerine SCC yanında ayrıca ek tedbirlerini de sıralayarak şeffaflığı sağlamaya çalışmaktadır. Söz konusu bilgiler ışığında kişisel veriler, SCC kullanılarak üçüncü ülkelere aktarılıyorsa GDPR ile uyumu sağlamak için SCC’nin etkinliğinin değerlendirilmesi zorunlu olup bu değerlendirmenin aktarım öncesi yapılması gerekmektedir. Hassas veriler için şirket içi veri işlemeyi sağlamak veya mümkünse Avrupa hizmet sağlayıcılarına geçiş yapmak gerekecektir.

Kaynaklar:

 https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

https://www.law.kuleuven.be/citip/blog/schrems-2-privacy-shield-and-transatlantic-data-flows-part-two/

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en

https://www.schremsii.com/faq4-lawful-cloud-processing-under-schremsii

https://eaccny.com/news/member-news/eaccny-digitalization-series-the-impact-of-schrems-ii-on-eu-and-us-cloud-based-services/

https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

https://europeanlawblog.eu/2020/07/17/the-schrems-ii-judgment-of-the-court-of-justice-and-the-future-of-data-transfer-regulation/

[1] https://www.tgsbaltic.com/en/publications/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=LinkedIn-integration

[2] https://www.tgsbaltic.com/en/publications/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems- ii/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=LinkedIn-integration

[3] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

[4] https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

[5] https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

[6] https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

[7] https://www.law.kuleuven.be/citip/blog/schrems-2-privacy-shield-and-transatlantic-data-flows-part-two/

[8] https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

[9] https://www.tgsbaltic.com/en/publications/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=LinkedIn-integration

[10] https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

[11] https://www.mondaq.com/privacy-protection/1150226/is-storing-data-in-the-cloud-or-the-use-of-web-based-apps-non-compliant-after-schrems-ii

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!