AVRUPA KOMİSYONU YENİ STANDART SÖZLEŞME KOŞULLARI SORULAR VE CEVAPLAR

Çeviren: Ercüment ARI

Gözden Geçirenler: H. Berk SÜRÜCÜ ve Kübra İSLAMOĞLU BAYER

GİRİŞ

4 Haziran 2021’de Avrupa Komisyonu; biri Avrupa Ekonomik Alanı (AEA[1]) içindeki veri sorumluları ve veri işleyenler arasında kullanılması, diğeri kişisel verilerin AEA dışındaki ülkelere aktarılması için kullanılmak üzere iki standart sözleşme koşulları [standart contractual clauses: uygulamada kısaca “SCC” olarak adlandırılmaktadır] seti kabul etmiştir. Bu “Soru ve Cevaplar”ın amacı, paydaşlara uyum çabalarında yardımcı olmak için SCC’lerin kullanımına ilişkin pratik rehberlik sağlamaktır. Bu belgede yer alan bilgiler hukuki tavsiye niteliğinde değildir. Bilakis, genel bilgilendirme yapmak amacıyla sunulmaktadır. Veri sorumluları ve veri işleyenlerin AB [Avrupa Birliği] veri koruma hukukuna uyumunun izlenmesi ve denetlenmesi, ulusal denetim otoritelerinin ve mahkemelerin yetki alanına girer. AEA’daki ulusal veri koruma otoritelerinin listesine ve iletişim bilgilerine buradan ulaşabilirsiniz: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

Bu Soru ve Cevaplar, yeni SCC’lerin benimsenmelerini takip eden ilk aylardaki kullanım deneyimlerine ilişkin çeşitli paydaşlardan alınan geri bildirimlere dayanmaktadır. Bu dokümanın ‘dinamik‘ bir bilgi kaynağı olması amaçlanmıştır ve yeni sorular ortaya çıktıkça içeriği güncellenecektir.

1. STANDART SÖZLEŞME KOŞULLARI

GENEL

1. Standart Sözleşme Koşulları nelerdir?

Standart sözleşme koşulları (SCC’ler), veri sorumluları ve veri işleyenlerin AB veri koruma hukuku kapsamındaki yükümlülüklerine uymalarına olanak tanıyan, standartlaştırılmış ve önceden onaylanmış tipik veri koruma hükümleridir. SCC’ler, veri sorumluları ve veri işleyenler tarafından, üçüncü taraflarla, örneğin ticari ortaklarla, olan sözleşme düzenlemelerine dahil edilebilirler. SCC’lerin kullanılması zorunlu değildir. Hükümler, veri korumanın gereksinimlerine uygunluğu göstermek için gönüllü olarak kullanılabilir; bu durumda SCC’lere uymak için bağlayıcı bir sözleşme gerekir. Avrupa Komisyonu, (1) veri sorumluları ve veri işleyenler arasındaki ilişki için ve (2) kişisel verilerin AEA dışındaki ülkelere aktarımı için SCC’leri kabul etme yetkisine sahiptir.

2. Avrupa Komisyonu tarafından hangi Standart Sözleşme Koşulları kabul edilmiştir?

Komisyon, 4 Haziran 2021’de iki set şeklinde Standart Sözleşme Koşulları’nı (SCC’ler) kabul etmiştir.

Veri sorumluları ve veri işleyenler arasındaki ilişkiye ilişkin SCC’ler, (AB) 2016/679 Tüzüğünün (Genel Veri Koruma Tüzüğü, “GDPR”) madde 28(3) ve (4) hükümlerindeki ve (AB) 2018/1725 Tüzüğünün (AB kurumları, organlar, ofisleri ve ajansları ve ‘EUDPR’ için geçerli olan Veri Koruma Tüzüğü) madde 29(3) ve (4) hükümlerinden doğan gereklilikleri yerine getirmektedir. Sonuç olarak, bu SCC’ler kamu ve özel kuruluşlar tarafından olduğu kadar AB kurumları, organları, ofisleri ve ajansları tarafından da kullanılabilir. Böylece SCC’ler, AEA genelinde veri sorumluları ve veri işleyenler arasındaki ilişki için tutarlı bir yaklaşım sağlar. SCC’ler şuradan temin edilebilir: https://ec.europa.eu/info/law/law-topic/data protection/publications/standard-contractual-clauses-controllers-and-processors
Veri aktarımları için bir araç olarak SCC’ler, yani GDPR’ın kişisel verilerin AEA dışındaki ülkelere aktarılması için öngörülen hükümlerine uygunluk. Bu hükümler; kişisel verilerin AEA dışına aktarıldığında yüksek düzeyde korumadan yararlanmaya devam etmesini sağlamak için özel veri koruma önlemleri içerirler. Bunlar, bir veri koruma otoritesinden (veri aktarımı veya SCC’de kullanılan hükümler için), önceden yetkilendirme alınması gerekmeden veri aktaranlar tarafından kullanılabilir. SCC’lere bağlı kalarak, veri aktaranlar sözleşmesel çerçevede bir dizi veri koruma önlemine uymayı taahhüt eder. SCC’ler şuradan temin edilebilir: https://ec.europa.eu/info/law/law-topic/dataprotection/international-dimension-data-protection/standard-contractual-clauses-scc/standardcontractual-clauses-international-transfers_en

3. SCC kullanmanın avantajları nelerdir?

Standardizasyonları ve ön onayları sayesinde SCC’ler “hazır” ve uygulaması kolay bir araçtır. Bu husus, özellikle KOBİ’ler veya ticari ortaklarının her biri ile bireysel sözleşmeleri müzakere edecek kaynaklara sahip olmayan diğer şirketler için önem arz eder. Ayrıca SCC’leri; bir ulusal veri koruma otoritesi tarafından önceden yetkilendirme gerektiren (örneğin, veri aktarımları için geçici sözleşmeler) veya tipik olarak uygulanması daha maliyetli olan (örneğin, sertifika programları) diğer uyum mekanizmalarından ayırır.

Veri aktarımları kapsamında SCC’lerle ilgili olarak, paydaşlardan gelen geri bildirimler, bunların Avrupa şirketleri için açık ara en çok kullanılan veri aktarım aracı olduğunu göstermektedir. Örneğin, IAPP-EY Yıllık Gizlilik Yönetimi Raporu 2019’a göre, “bu [aktarma] araçların en popüleri – yıldan yıla – ezici bir çoğunlukla standart sözleşmeye dayalı hükümlerdir: Bu yılki ankete katılanların %88’i SCC’leri, AEA dışı veri aktarımları için, en iyi yöntem olarak SCC’leri bildirmişlerdir […]”.

4. Avrupa Komisyonu tarafından SCC’lerin geliştirilmesinde izlenen süreç nasıldı?

Komisyon, iki SCC setini hazırlarken, uygulamadaki gerçekleri ve ihtiyaçları daha iyi anlamak ve mevcut SCC’leri kullanma konusundaki pratik deneyimlerinden yararlanmak için paydaşlara ait girdileri araştırmıştır. Komisyon; çeşitli paydaşlardan (sanayi, sivil toplum, hukuk uzmanları ve akademisyenler dahil olmak üzere) GDPR Çok Paydaşlı Uzman Grubu[2], geniş kapsamlı gerçekleştirilen kamuoyu görüşü[3], konuya yönelik çalıştaylar/yuvarlak masa toplantıları ve bağımsız olarak gerçekleştirilen bir dış çalışma aracılığıyla ayrıntılı geri bildirimler almıştır.

5. Avrupa Komisyonu bir süre geçtikten sonra da yeni SCC’lerin uygulamada nasıl çalıştığını değerlendirecek mi?

GDPR’nin 97. maddesi, Komisyonun her dört yılda bir GDPR uygulamasını gözden geçirmesini gerektirmektedir (2020 değerlendirme raporu için: https://ec.europa.eu/info/law/law-topic/data-protection/communication-two-years-application-general-data-protection-regulation_en). Bir sonraki gözden geçirmenin 2024 yılına kadar yapılması beklenmektedir ve bu değerlendirme ayrıca SCC’lerin pratik uygulamalarının değerlendirilmesini de içerecektir.

SCC’LERİN İMZASI, DEĞİŞTİRİLMESİ VE DİĞER SÖZLEŞME KOŞULLARI İLE İLİŞKİSİ

6. SCC’lerin taraflarca imzalanması için özel koşullar var mı?

SCC’lerin, GDPR ve EUDPR’nin veri sorumlusu – veri işleyen ilişkisine yönelik gerekliliklerini yerine getirmesi veya bir aktarım aracı olarak kullanılabilmeleri için, tarafların [bunlara] uymaları adına hukuken bağlayıcı bir anlaşma yapması gerekir. Bu amaçla, tarafların SCC’lerin eklerini doldurmaları ve koşulların ayrılmaz bir parçasını oluşturan Ek I’i imzalamaları gerekmektedir. Diğer hususların yanı sıra, tarafların iletişim bilgilerini ve koşullar kapsamındaki rollerine ilişkin bilgileri (kim veri sorumlusu ve veri işleyen, veya veri aktaran ve veri alıcısı olarak hareket etmektedir) sağlamaları gerekmektedir. SCC’ler imzanın şeklen nasıl geçerli olacağına (örneğin, elektronik olarak yapılıp yapılamayacağına) ilişkin herhangi bir gereklilik içermemektedir. Bu husus sözleşmeyi düzenleyen ulusal (medeni/sözleşme) hukuka bırakılmıştır.

7. SCC metinleri değiştirilebilir mi?

Şunlar dışında SCC metinleri değiştirilemez, (i) metinde sunulan modülleri ve/veya belirli seçenekleri seçmek, (ii) gerekli yerlerde metni tamamlamak (köşeli parantezlerle belirtilmiştir), ör. yetkili mahkemeleri ve denetim otoritesini belirtmek ve süreleri belirtmek, (iii) ekleri doldurmak veya (iv) kişisel veriler için koruma seviyesini artıran ek güvenlik önlemleri eklemek. Bu uyarlamaların ana metni değiştirmediği düşünülmektedir.

Veri sorumluları ve veri işleyenler için SCC’ler hakkında özel bilgi: taraflar (aşağıda belirtilen uyarlamaların ötesinde) SCC metinlerini kendileri değiştirirse bu durumda bir AB kanununun sunduğu hukuki kesinliğe dayanamazlar.

Metin boyunca tarafların, aşağıdaki hususlara ilişkin SCC’lerde öngörülen iki seçenekten birini seçerek, gerekli uyarlamaları yapmaları gerekmektedir:

– GDPR’a uygunluk veya EUDPR’a uygunluk;

– Alt veri işleyen(ler)i çalıştırmak adına veri sorumlusu tarafından veri işleyene [çalışmaya başlamadan] önce verilen özel yetki veya yazılı genel yetki.

Veri aktarımları için SCC’ler hakkında özel bilgi: Taraflar, SCC metinlerini kendileri değiştirirse (ilgili modülleri ve/veya seçenekleri seçip köşeli parantez ve ekleri doldurmanın ötesinde), [değiştirilmiş bu metinler] ulusal bir veri koruma otoritesi tarafından (GDPR madde 46(3)(a) uyarınca) “ad hoc koşullar” olarak onaylanmadıkça değiştirilen koşulları artık üçüncü ülkelere veri aktarımları için bir dayanak olarak kullanılamaz.

8. SCC’lere ek maddeler eklemek veya SCC’leri daha geniş bir ticari sözleşmeye dahil etmek mümkün müdür?

Taraflar, diğer sözleşme koşulları doğrudan veya dolaylı olarak SCC’lere aykırı olmadığı veya ilgili kişilerin haklarına halel getirmediği sürece, SCC’leri ek maddelerle tamamlayabilir veya daha geniş bir ticari sözleşmeye dahil edebilirler.

Örnek: SCC’lerin tarafların birbirlerini bilgilendirmesini veya iş birliği yapmasını gerektirdiği durumlarda taraflar, kendi aralarındaki iletişimin/iş birliğinin uygulamada nasıl gerçekleşeceğini belirleyen ek koşullar üzerinde anlaşabilirler.

Örnek: SCC’ler; veri alıcısının, bir veri ihlalini fark ettikten sonra herhangi bir gecikme olmadan veri aktarana bildirmesini şart koşmaktadır. Taraflar, hukukun genel yaklaşımına zarar vermeden (örneğin, gereksiz gecikme olmaksızın ve her halükarda, veri alıcısının ihlalden haberdar olmasından en geç 72 saat sonra) bu bildirimin sağlanması gereken zaman çerçevesini belirleyebilir.

Örnek: SCC’lerin 12(a) maddesinde düzenlenen uluslararası veri aktarımları, taraflar arasındaki sorumluluğu özel olarak düzenlemektedir. Taraflar, ticari sözleşmeye genel bir sorumluluk muafiyeti (yani, SCC’leri içeren sözleşmenin koşullarını da kapsayan) dahil edemezler, çünkü bu, SCC’lerin bu koşuluna aykırı olacaktır. Ayrıca bunun, örneğin tarafların SCC’lere uyum sağlama teşvikini azaltmasına neden olarak, bireylerin hak ve özgürlüklerine zarar vermesi de muhtemeldir,

Örnek: Veri sorumlusu ve işleyenler için SCC’lerin 7.7. Maddesi, veri işleyene, bir alt veri işleyeni görevlendirdiğinde, veri sorumlusundan yetki talep etme yükümlülüğü getimektedir. Taraflar, veri sorumlusu ve veri işleyen arasındaki daha geniş bir ticari sözleşmeye, veri işleyenin, veri sorumlusuna danışmak ve ondan yetki talep etmek zorunda olmaksızın veri işleme için alt sözleşme yapmasına izin veren bir maddeyi dahil edemezler, çünkü böyle bir madde, doğrudan SCC Madde 7.7’ye aykırı olacaktır.

9. Taraflar kendi durumlarına uymayan modülleri ve/veya seçenekleri silebilir mi?

Taraflar SCC’leri kullanırken yalnızca kendi durumlarıyla ilgili koşulları kabul etmelidir. Geçerli olmayan modül ve/veya seçenekler silinmelidir.

Örnek: Bir veri sorumlusunun, uluslararası veri aktarımları için SCC’lere dayanarak kişisel verileri başka bir veri sorumlusuna aktarmak istemesi. Bu durumda SCC’lerden, hiçbir modülün belirtilmediği tüm genel koşullar (örneğin Bölüm I) ve Modül 1 ile ilgili olan hükümler çıkarılmalıdır. Sadece diğer modüllerle ilgili olan tüm koşullar silinebilir.

Örnek: Veri alıcısının alt veri işleyenleri işe almasına izin vermek için taraflar, veri sorumlusu ve veri işleyenler arasındaki SCC’lerin 7.7. maddesinde (alt veri işleyenlerin kullanımı) yer alan iki seçenekten birini seçmelidir. Taraflar, Seçenek 1’i seçerlerse, Seçenek 2 SCC’lerden silinmelidir.

Örnek: Veri sorumlusu olarak hareket eden AEA’da yerleşik bir şirket, AEA’daki bir veri işleyen ile sözleşmeye dayalı bir ilişki kurmak istemektedir. GDPR’nin 28(3) ve (4). maddesine uymak adına veri sorumlusu ve veri işleyenler arasındaki ilişki için SCC’leri kullanabilir. Bu durumda veri sorumlusu, SCC’lerin içeriği genelinde (GDPR’ye atıfta bulunan) SEÇENEK 1’i seçmeli ve (EUDPR ile uyumlulukla ilgili olan) SEÇENEK 2’ye yapılan atıfları silmelidir.

10. SCC’ler ticari bir sözleşmeye nasıl dahil edilmelidir?

SCC’lere dayanabilmek ve şeffaflığı sağlayabilmek için, SCC’ler tüm taraflarca imzalanmalı, tüm taraflar üzerinde bağlayıcı olmalı ve uygulanması seçilen ulusal hukukun gerekliliklerine uygun olarak sözleşmelere dahil edilmelidir. Ayrıca, SCC’ler; ekleri doldurularak ve (köşeli parantezler içindeki) hangi modüllerin, seçeneklerin ve özelliklerin seçildiği (taraflara ve ilgili kişilere, yetkili veri koruma otoritelerine ve mahkemelere) açıklanarak, tarafların durumlarına / görevlerine göre (örn. kapsanan veri aktarımlarına) uygulanmalıdır.

TARAFLARDAKİ DEĞİŞİKLİKLER

11. “Katılma maddesi (docking clause)” olarak anılan maddenin amacı nedir?

Katılma maddesi, SCC’lerin taraflarının gelecekte ek tarafların sözleşmeye katılabileceğini kabul etmeyi seçebilecekleri, isteğe bağlı bir maddedir. Bu, sözleşmenin yaşam döngüsü boyunca veri işleme ilişkisine katılımla ilgili değişiklikler olması durumunda, taraflara ek esneklik (örneğin, bir başka (alt) veri işleyen dahil ederek veri işleme zincirini genişletmenin gerekli olması durumunda)sağlar.

Örnek: Bir veri işleyen aynı hizmetleri birkaç veri sorumlusuna sunmaktadır. Bir veri sorumlusu ile GDPR’ın 28. maddesine uymak için SCC’leri imzaladıktan birkaç yıl sonra, her iki taraf da ikinci bir veri sorunlusunun sözleşmeye dahil olabileceğini, katılma maddesini kullanarak kabul eder.

Örnek:Bir veri sorumlusu, uluslararası aktarımlar için SCC’lere dayalı olarak (Modül 2’yi kullanarak) kişisel verileri üçüncü bir ülkedeki bir veri işleyene aktarmaktadır. Veri işleyen bir alt veri işleyeni işe dahil etmek istediğinde, taraflar alt veri işleyenin, başlangıçta üzerinde anlaşılan SCC’lere (Modül 3’ü kullanarak) uyacağını kabul eder.

12. Katılma maddesi pratikte nasıl çalışır? Yeni tarafların katılmasına izin vermek için herhangi bir şekli gereklilik var mıdır?

Bir veya birkaç yeni taraf, önceden var olan tüm tarafların rızasıyla SCC’lere katılabilir. Bu tür bir rızanın şekli geçerliliği SCC’ler tarafından düzenlenmemiştir, ancak SCC’leri regüle eden ulusal hukukun ilgili hükümlerine uygun olarak yapılmalıdır. Örneğin, [SCC’ye] uygulanabilir sözleşme hukuku kapsamında izin veriliyorsa, bir taraf, önceden var olan tüm taraflar adına yeni bir tarafın katılımını kabul etmek üzere diğerleri tarafından atanabilir. Bu yetki şeklen geçerli olduktan sonra, yeni tarafın, bu tür bir katılımı etkin kılmak için SCC’lerin Eklerini doldurması ve Ek I’i imzalaması gerekecektir. SCC’lerin eklendiği ana sözleşmeyi, o sözleşmeye taraf ekleyerek değiştirmek, SCC’lere taraf eklemek için yeterli değildir.

13. SCC’lere yeni bir taraf katıldığında ne olur? İlgilenmesi gereken formaliteler var mıdır?

SCC’lere katılımın ardından, yeni taraf rolüne göre (örn. veri sorumlusu ve veri işleyen veya veri aktaran ve veri alıcısı olarak hareket eden) tüm hak ve yükümlülükleri üstlenir. Diğer taraflar, karşılıklı olarak yeni taraf karşısında da ilgili hak ve yükümlülüklere sahiptir (örneğin, ilgili kişi taleplerinin yanıtlanmasında yardım sağlama yükümlülüğü vb.).

Taraflar eklendiğinde SCC’lerin Ekleri güncellenmelidir. Örneğin, yeni taraflar katıldığında, bu taraflar ve rolleri listelenmeli ve ilgili olduğunda, aktarımların tanımı ve uygulanabilir teknik ve idari tedbirler buna göre güncellenmelidir.

2. VERİ SORUMLULARI VE VERİ İŞLEYENLER ARASINDAKİ STANDART SÖZLEŞME KOŞULLARI

14. Ulusal veri koruma otoriteleri tarafından kabul edilen SCC’ler ile Komisyon tarafından kabul edilen SCC’ler arasındaki fark nedir?

GDPR’nin 28(8). maddesi, ulusal veri koruma otoritelerine, veri sorumluları ve veri işleyenler arasındaki ilişki için SCC’leri onaylama yetkisi vermektedir. Bir veri koruma otoritesi, bu tür SCC’leri kabul ederse, bunlar yalnızca bu otoritenin yetkilerini kullandığı bölge içinde geçerlidir. Diğer veri koruma otoritelerinin, bu SCC’lere dayanılmasını kabul edip etmeyecekleri, bu otoritelerin kendi kararlarına bağlıdır.

Buna karşılık, GDPR’nin 28(7). maddesi uyarınca Komisyon tarafından kabul edilen SCC’lere tüm AEA genelinde dayanılabilir ve [bunlar] tüm AEA veri koruma otoriteleri için bağlayıcıdır. Komisyon tarafından kabul edilen SCC’lerin geçerliliğine yalnızca Avrupa Birliği Adalet Divanı önünde itiraz edilebilir. Böylelikle SCC’ler, AEA genelinde uyumlu bir yaklaşım ve bir AB kanununun hukuki kesinliğini sağlarlar.

15. Veri Sorumlusunun talimatları Veri İşleyene hangi şekilde verilmelidir?

Madde 7.1’e göre “Veri işleyen, kişisel verileri yalnızca veri sorumlusunun belgelenmiş talimatlarına göre işler”. SCC’ler, talimatların hangi şekilde verileceğini belirtmemektedir, bu nedenle veri sorumlusu, uygun görülen herhangi bir şekilde (örneğin yazılı veya sözlü, çevrimiçi araçlar ve teknik haberleşme kanalları aracılığıyla) bu talimatları iletmeye karar verebilir, ancak talimatların belgelendirilmiş olması şarttır.

16. Veri işleyenin, bağlı olduğu alt veri işleyen(ler)in unvan(lar)ını veri sorumlusuna bildirmesi gerekir mi?

Evet. Madde 7.7 “Alt veri işleyenlerin kullanımı” kapsamında taraflar iki seçenekten birini seçmelidir: SEÇENEK 1: ÖNCEDEN ALINMIŞ ÖZEL YETKİ veya SEÇENEK 2: YAZILI GENEL YETKİ. Her iki durumda da, veri işleyenin, seçilen alt veri işleyen(ler)in yetkilendirilmesine karar vermesine olanak sağlamak için, veri sorumlusuna her bir alt veri işleyen(ler)in unvan(lar)ını bildirmesi gerekir. Veri işleyenin sadece alt veri işleyen kategorilerini bildirmesi yeterli değildir. Veri işleyenin ne kadar süre içerisinde önceden özel yetkilendirme talebini sunacağı (SEÇENEK 1) veya üzerinde anlaşmaya varılan alt veri işleyen(ler) listesinde gerçekleştirilmeye niyetlendiği herhangi bir değişiklik hakkında veri sorumlusunu yazılı olarak bilgilendireceği (SEÇENEK 2) konularında anlaşmaya varmak, tarafların görevidir.

17. Alt veri işleyenlerin katılımına ilişkin genel bir yetki verilmesi durumunda, veri sorumlusunun alt veri işleyen değişikliklerine itirazı sonucu ne olur?

SCC’lerin 7.7. maddesindeki SEÇENEK 2’ye göre, veri işleyen, üzerinde mutabık kalınan bir bildirim süresine bağlı kalarak, üzerinde mutabık kalınan alt veri işleyen listesinde gerçekleştirmeye niyetlendiği herhangi bir değişiklik hakkında veri sorumlusunu bu konuya özel bir şekilde yazılı olarak bilgilendirmelidir. Veri sorumlusu yapılması arzulanan değişikliklere itiraz ederse, veri işleyen yeni alt veri işleyen(ler)i sürece dahil edemez.

18. Veri işleyenin bir veri ihlalini veri sorumlusuna bildirmesi için gereken süre nedir?

SCC’ler, veri işleyenin, işlenen verilerle ilgili bir veri ihlalini veri sorumlusuna bildirmesi gereken süreyi düzenlememektedir. SCC madde 9.2, bunun “gereksiz bir gecikmeye mahal vermeksizin” yapılması gerektiğini belirtmektedir. Bu nedenle, söz konusu veri işlemenin özel koşullarını dikkate alarak bu süreyi belirlemek tarafların görevidir.

19. Veri işleyen, gözden geçirme veya denetimin yanı sıra, SCC’ler kapsamındaki yükümlülüklerine uyduğunu başka yollarla da gösterebilir mi?

Evet. Veri işleyen; veri sorumlusuna karşı SCC’lerde belirtilen ve doğrudan GDPR’den kaynaklanan yükümlülüklere uyduğunu göstermek için, GDPR’nin 40. maddesi uyarınca onaylanmış davranış kurallarına bağlılığını veya GDPR’nin 42. maddesi uyarınca onaylanmış bir sertifikasyon mekanizmasını kullanabilir. Aynı zamanda, bu kullanım, veri sorumlusunun SCC’ler kapsamında gerçekleştirilen veri işleme faaliyetlerini gözden geçirme veya denetlenme hakkını etkilemez.

3. ÜÇÜNCÜ ÜLKELERE VERİ AKTARIMI İÇİN STANDART SÖZLEŞME KOŞULLARI

MODERNİZASYON NEDENLERİ VE ANA YENİLİKLER

20. Komisyon, uluslararası veri aktarımları için önceki SCC’leri neden modernize etti?

Önceki Veri Koruma Direktifi (95/46/EC Direktifi) kapsamında, Komisyon üç set SCC kabul etmiştir: iki tanesi; bir AEA içindeki veri sorumlusundan AEA dışındaki bir veri sorumlusuna aktarım için (2001/497/EC ve 2004/915/EC Komisyon Kararları) ve bir tanesi AEA içindeki veri sorumlusundan AEA dışındaki bir veri işleyene aktarım için (Komisyon Kararı 2010/87/EU). Bu SCC’ler, GDPR yürürlüğe girdikten sonra da kullanılabilir durumda kalmıştır. Ancak bunların; yeni hukuki çerçeve ile uyumlu hale getirilmesine, özellikle de GDPR’nin yeni gereklilikleri ışığında güncellenmesine ve AB Adalet Divanı’nın gelişen içtihat hukukunun (örn. Dava C 311/18’deki Schrems II kararı) dikkate alınmasına ihtiyaç bulunmakta idi.

Ayrıca, önceki SCC’ler, çok çeşitli veri işleme uygulamaları ve birden fazla taraf bulunması ve tarafların zaman zaman değişen rolleri ile uzun ve genellikle karmaşık veri işleme zincirleri sebebiyle artık modern dijital ekonominin gerçeklerine uyarlanamıyordu. Bu nedenle, SCC’lerin “mimarisini” modernize etmek, onları daha kullanıcı dostu hale getirmek, ek veri aktarım senaryolarını (veri işleyenden (alt) veri işleyene aktarımlar gibi) kapsamak ve sözleşmenin yaşam döngüsü boyunca tarafların katılımına izin vererek ilave esneklikler sağlamak gibi ihtiyaçlar söz konusuydu.

21. Önceki SCC’lere kıyasla esaslı yenilikler nelerdir?

Önceki Veri Koruma Direktifi kapsamında kabul edilen SCC’lerde halihazırda yer alan temel unsurlar, modernize edilmiş maddelerde korunmuştur. Örneğin, öncekiler gibi, modernize edilmiş SCC’ler de temel veri koruma ilkeleri, güvenlik yükümlülükleri, üçüncü taraf lehine haklar ve AEA veri koruma otoriteleri ve mahkemelerinin yargı yetkisine sunulmasına ilişkin taahhütler içermektedir. Aynı zamanda, yeni SCC’ler, önemli değişiklikler de getirmektedir.

İlk olarak, SCC’lerin “mimarisi” güncellenmiştir, örneğin:

SCC’ler ek aktarım senaryolarını da kapsamaktadır: önceki SCC’lerin uygulama kapsamı, veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyenlere veri aktarımlarıyla sınırlıyken, modernize edilmiş olanlar somut olaya uyan durumların tümünde kullanılabilir: Veri Sorumlusundan – Veri Sorumlusuna (Modül 1), Veri Sorumlusundan – Veri İşleyene (Modül 2), Veri İşleyenden – Veri İşleyene (Modül 3) ve Veri İşleyenden – Veri Sorumlusuna (Modül 4),
İki aktarım senaryosunu kapsayan üç ayrı SCC seti, modüler bir yapıya sahip (dört aktarım senaryosunu kapsayan) bir set SCC ile değiştirilmiştir. Taraflar, (belirli bir aktarım senaryosuna bakılmaksızın geçerli olan) genel hükümleri, kendi durumlarına uyan modül(ler) ile birleştirmelidir.
Katılma maddesi (docking clause) ile artık yeni tarafların, sözleşmenin yaşam döngüsü boyunca SCC’lere katılmasına izin verilmektedir.
SCC’ler; belirli aktarımlar hakkında somut bilgilerin sağlanmasını gerektiren (örneğin tarafların ve onların rollerinin bir listesi, anlaşma kapsamında gerçekleşecek her bir aktarımın amaçlarına dair bir açıklama, uygulanan tedbirlerin bir listesi, hassas verileri korumak için uygulanan tedbirler vb. gibi) eklerle tamamlanmaktadır.

İkincisi, bir dizi önemli değişiklik getirilmiştir, örneğin:

SCC’ler; arttırılmış şeffaflık yükümlülükleri ve ilgili kişinin hakları, veri ihlali bildirimleri, üçüncü kişiden sonraki kişilere aktarımlara (onward transfers) ilişkin kurallar konularında daha ayrıntılı maddeler getirerek, GDPR’nin yeni gereksinimlerini yansıtmaktadır.
Veri sorumlularından veri işleyenlere veya veri işleyenlerden alt veri işleyenlere veri aktarımları için GDPR’nin 28. maddesinde öngörülen gereklilikler de SCC’lere dahil edilmiştir. Bu nedenle şirketlerin GDPR’nin 28. maddesine uymak için ayrı bir sözleşme imzalamasına gerek yoktur.
AB Adalet Divanı’nın Schrems II kararını uygulayan maddeler: SCC’lerin tarafları artık veri aktarımlarının özel koşullarını, verinin varış ülkesindeki kanunları ve kişisel verilerin korunduğu yerdeki devreye giren ek güvenceleri belgeleyen bir “aktarım etki değerlendirmesi” [TIA, Transfer Impact Assessment[ yapmalıdır.
Kamu otoritelerinin aktarılan verilere erişmesi durumunda yeni yükümlülükler, örn. veri aktaranlara bilgi sağlama ve hukuka aykırı taleplere itiraz etme yükümlülüğü.

22. Hala “eski” SCC’leri (1995 tarihli Veri Koruma Direktifi kapsamında kabul edilen) kullanan veri aktaranlar ve veri alıcılarının, (2021’de kabul edilen) yeni SCC’lere geçmesi gerekli midir?

27 Eylül 2021’den sonra imzalanan veri aktarım anlaşmaları yeni SCC’leri temel almalıdır.

27 Eylül 2021’den önce, önceki SCC’leri temel alan aktarım sözleşmesi imzalayan kuruluşlara 27 Aralık 2022’ye kadar yeni SCC’lere geçiş yapmaları için bir geçiş süresi verilmiştir (yani, önceki SCC’leri ekler dahil yeni SCC’ler ile değiştiriniz). Ancak, sözleşmeye tabi olan veri işleme operasyonları değiştirildiği takdirde, kuruluşlar bu tarihten (27 Aralık 2022) önce, yeni SCC’lere geçmek zorundadır.

Örnek: Bir veri aktaran ve veri alıcısı, veri aktarımları için önceki SCC’lere dayanarak 27 Eylül 2021’den önce bir hizmet sözleşmesi imzalamıştır. Şubat 2022’de hizmet sözleşmesinde belirlenen fiyatlarda değişiklik olur. Bu, kişisel verilerin SCC’ler kapsamında işlenmesini etkilemediğinden, bu değişiklik tarafların yeni SCC’lere geçmelerini gerektirmemektedir (yine de 27 Aralık 2022’ye kadar bunu yapmak zorundadırlar).

Örnek: Bir veri aktaran ve veri alıcısı, veri aktarımları için önceki SCC’lere dayanarak 27 Eylül 2021’den önce bir hizmet sözleşmesi imzalamıştır. Şubat 2022’de taraflar, ek veri kategorilerinin transfer edileceğini kabul ederler. Veri işleme operasyonlarındaki bu değişiklik, kişisel verilerin SCC’ler kapsamında işlenmesini etkilemekte ve bu nedenle tarafların yeni SCC’lere geçiş yapmalarını gerektirmektedir.

27 Aralık 2022’den sonra, kişisel verileri üçüncü ülkelere hukuka uygun olarak aktarmak için önceki SCC’lere dayanmak artık mümkün olmayacaktır.

UYGULAMA KAPSAMI VE AKTARIM SENARYOLARI

23. SCC’ler hangi veri aktarımları için kullanılabilir?

SCC’ler; GDPR’ye tabi olan veri sorumluları veya veri işleyenler tarafından, faaliyetleri GDPR’ye tabi olmayan veri sorumlularına veya AEA dışındaki veri işleyenlere kişisel veri aktarmak için kullanılabilir.

İlk olarak, SCC’ler AEA’daki veri sorumluları veya veri işleyenler tarafından AEA dışına veri aktarmak için kullanılabilir, özellikle:

– AEA içindeki bir veri sorumlusu tarafından, kişisel verileri AEA dışındaki ve GDPR’ye tabi olmayan bir veri sorumlusuna veya işleyene aktarmak;

– AEA içindeki bir veri işleyen tarafından, kişisel verileri GDPR’ye tabi olmayan bir alt veri işleyene veya AEA dışındaki (verileri kimin adına işliyor ise) bir veri sorumlusuna aktarmak için.

Örnek: Çalışanlarının verilerini Singapur’daki bir bordro sağlayıcısına aktarmak için SCC’leri kullanan Çek bir şirket.

İkinci olarak, AB veri koruma kurallarının doğrudan uygulanabilirliği, örneğin bireylere mal veya hizmet sunarak AEA pazarını özel olarak hedefledikleri için, AEA dışındaki veri sorumluları veya veri işleyenlerin belirli veri işleme operasyonlarını kapsamaktadır (daha fazla bilgi ve rehberlik için Avrupa Veri Koruma Kurulu’nun rehberine bkz: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_aft er_public_consultation_en_1.pdf). Bu nedenle SCC’ler, bu veri işleme operasyonlarıyla ilgili AEA dışındaki kuruluşlara veri aktarımları için AEA dışındaki veri sorumluları veya veri işleyenler tarafından da kullanılabilir, özellikle:

– Veri işleme faaliyetleri GDPR’ye tabi olan AEA dışındaki bir veri sorumlusu tarafından, AEA dışındaki GDPR’ye tabi olmayan bir veri sorumlusuna veya veri işleyene;

– Veri işleme faaliyetleri GDPR’ye tabi olan AEA dışındaki bir veri işleyen tarafından, GDPR’ye tabi olmayan bir alt veri işleyen veya AEA dışındaki (verileri kimin adına işliyor ise) bir veri sorumlusuna aktarmak için

Örnek: Tayland’daki bir seyahat acentesi, Avrupa müşterilerini hedefleyen turist seyahat paketleri hizmeti sunduğu için madde 3(2) uyarınca doğrudan GDPR’ye tabidir (bu paketlerin teklifi; AEA içinde kullanılan dillerde yapılmaktadır, Euro veya AEA içinde kullanılan başka bir para biriminde ödeme imkanı ile Avrupalı turistlerin ihtiyaç ve tercihlerine göre uyarlanmıştır). Tayland’da konaklama sağlamak için bu acentenin yerel bir otelle devam eden bir anlaşması var. Seyahat acentesi, Avrupalı turistlerin kişisel verilerini otel ile paylaşmak için SCC’leri (Modül 1) kullanabilir.

24. Bu SCC’ler, işleme faaliyetleri doğrudan GDPR’ye tabi olan veri sorumlularına veya veri işleyenlere veri aktamak için kullanılabilir mi?

Hayır (bkz. Karar (AB) 2021/914[4]‘ün 1. maddesi). Bu SCC’ler, GDPR’ye tabi olmayan veri alıcılarına veri aktarılması durumunda, korumanın sürekliliğini sağlamak için geliştirilmiş kapsamlı bir veri koruma çerçevesi sağlar. SCC’ler; GDPR ile mükerrer olabilecekleri ve bazı hususlarda zaten doğrudan GDPR’den kaynaklanan yükümlülüklere göre değişkenlik gösterebilecekleri için, 3. madde uyarınca veri işleme faaliyetleri GDPR’ye tabi olan veri alıcıları için geçerli değildirler. Avrupa Komisyonu, bu senaryo için GDPR kapsamında doğrudan bu veri sorumluları ve işleyenler için geçerli olan gereksinimleri dikkate alacak ek bir SCC seti geliştirme sürecindedir.

25. SCC’ler, kişisel verileri uluslararası bir kuruluşa aktarmak için kullanılabilir mi?

SCC’ler ticari bir kapsam için tasarlanmıştır ve uluslararası kuruluşlara veri aktarımı için uyarlanmamıştır. Örneğin, belirli ayrıcalıklardan ve dokunulmazlıklardan (örneğin, uluslararası veya kuruluş genel merkez anlaşmaları neticelerinden) yararlanan uluslararası kuruluşlar, bir AEA veri koruma otoritesi veya mahkemesinin yargı yetkisini kabul etmeyebilir. Bu nedenle, bu tür aktarımlar için bu tür uluslararası kuruluşların statüsünü dikkate alan diğer araçlar kullanılmalıdır, örn. veri koruma otoriteleri tarafından onaylanan kuruluşa özel sözleşmeler veya idari düzenlemeler. Buna ek olarak, Avrupa Komisyonu, hizmet sağlayıcılar tarafından uluslararası kuruluşlara veri aktarmak için kullanılabilecek SCC’ler geliştirme sürecindedir.

26. SCC’ler yalnızca GDPR kapsamında uluslararası veri aktarımları için mi kullanılabilir?

Diğer birçok yargı otoritesi, AEA SCC’lerini kendi ulusal veri koruma kanunları kapsamında bir aktarım mekanizması olarak kabul etmiş ve bunlara ilişkin kendi iç hukuk düzenlerine sınırlı resmi uyarlamalar yapmıştır (örneğin Birleşik Krallık[5] ve İsviçre[6] ). Bu durum hem AEA’da hem de bu ülkelerin yetki alanlarında faaliyet gösteren şirketler için geçerli kurallara uyumu önemli ölçüde kolaylaştırabilmektedir.

Diğerleri, AEA SCC’leri ile bir takım ortak noktaları paylaşan tip koşullar geliştirmiştir. Bu, ulusal düzeyde (örn. Yeni Zelanda[7] , Arjantin[8] ) ve bölgesel kuruluşlar çerçevesinde (örn. İbero-Amerikan Veri Koruma Ağı[9] ve Güneydoğu Asya Ülkeleri Birliği[10] tarafından kabul edilen maddeler) geliştirilen koşulları içermektedir. 108 sayılı Sözleşme Avrupa Konseyi Danışma Komitesi’nde de sınır ötesi aktarımlar için modernize edilmiş tip koşullar üzerindeki çalışmalar devam etmektedir.

27. Farklı ‘modüller’ nelerdir ve doğru modül nasıl seçilmelidir?

SCC’ler, her durumda geçerli olan genel koşulları (örneğin, Bölüm I) farklı aktarım senaryolarına uyarlanmış dört modülle birleştirmektedir. Taraflar, özellikle farklı rolleri, yani veri sorumlusu, veri işleyen veya alt veri işleyen (bu kavramların anlamı ile ilgili olarak, Avrupa Veri Koruma Kurulu (EDPB) kılavuzuna bakınız: https://edpb.europa.eu/our-work-tools/belgelerimiz/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en) olup olmadıklarını ve kimin veri aktaran veya kimin veri alıcısı olarak hareket ettiğini dikkate alarak durumlarına uygun modülü seçmelidir:

Modül 1, bir veri sorumlusundan (veri aktaran) başka bir veri sorumlusuna (veri alıcısı) veri aktarımlarına uygulanır.

Örnek: İsveçli bir seyahat acentesinin, dünyanın dört bir yanındaki Avrupalı turistlerin konaklama süreçleri için bir otel zinciriyle çerçeve sözleşmesi vardır. İsveç acentesi (veri aktaran), SCC’lere dayalı olarak, konukların verilerini otel zincirinin rezervasyon merkezine (veri alıcısı) aktarmak için Modül 1’i kullanmalıdır.

Modül 2, bir veri sorumlusundan (veri aktaran) bir veri işleyene (veri alıcısı) veri aktarımlarına uygulanır.

Örnek: Hollanda’daki bir şirket, İK hizmetlerini Hindistan’daki bir hizmet sağlayıcıya yaptırır. Hollandalı şirket (veri aktaran), çalışanlarının verilerini SCC’lere dayalı olarak Hintli hizmet sağlayıcıya (veri alıcısı) aktarmak için Modül 2’yi kullanmalıdır.

Modül 3, bir veri işleyenden (veri aktaran) bir alt veri işleyene (veri alıcısı) veri aktarımlarına uygulanır.

Örnek: Almanya’daki bir hastane, kan örneklerini analiz edilmeleri için Polonya’daki bir laboratuvarla paylaşır.. Polonya laboratuvarı, çalışmalarının bazı yönlerini, SCC’leri kullanarak genetik analiz konusunda uzmanlaşmış bir Endonezya enstitüsüne yaptırmaktadır. Polonya laboratuvarı (veri aktaran), verileri Endonezya enstitüsüne (veri alıcısı) aktarmak için Modül 3’ü kullanabilir.

Modül 4, bir veri işleyenden (veri aktaran) bir veri sorumlusuna (veri alıcısı) veri aktarımlarına uygulanır.

Örnek 1: Faslı bir şirket, müşteri veritabanını yönetmek için bir Lüksemburg şirketi tarafından sunulan bulut hizmetlerini kullanır. SCC’ler (Modül 4); Lüksemburg şirketi (veri aktaran) tarafından, verileri Lüksemburg’daki sunucusundan Fas istemcisine (veri alıcısı) aktarmak için kullanılabilir.

Örnek 2: Tunus’taki bir üniversite, verilerin AB’de toplanacağı ve işleneceği ve sonrasında üniversiteye gönderileceği bir anketi yürütmek üzere Belçika’da bir araştırma enstitüsünden hizmet alır. SCC’ler (Modül 4), verileri Tunus’taki üniversiteye (veri alıcısı) aktarmak için Belçika enstitüsü (veri aktaran) tarafından kullanılabilir.

28. Aynı taraflar arasında aynı anda birden fazla modül üzerinde anlaşmaya varılabilir mi?

Evet. Soru 26’ya verilen yanıtta açıklandığı gibi, tarafların durumlarına uygun modül(ler)i seçmeleri gerekmektedir. Tarafların, genel sözleşme ilişkilerinin bir parçası olarak aralarında gerçekleşen farklı veri aktarımları için farklı roller üstlenmeleri söz konusu olabilir. Bu durumda, her bir türdeki aktarımı için uygun modülü kullanmaları gerekir. Örneğin, bir veri sorumlusu (veri aktaran) tarafından yapılan bazı veri aktarımlarında, veri alıcısı bir veri sorumlusu olarak hareket edebilirken, diğerleri için bir veri işleyen olabilir. Bu durumda taraflar, hem Modül 1’i (hem veri aktaranın hem de veri alıcısının, veri sorumlusu olarak hareket ettiği aktarımlar için) ve Modül 2’yi (veri aktaranın, veri sorumlusu ve veri alıcısının, veri işleyen olarak hareket ettiği aktarımlar için) kullanabilir.

29. Verileri AEA dışındaki bir veri işleyene veya alt veri işleyene aktarırken GDPR’nin 28. maddesine uygunluk nasıl sağlanabilir?

GDPR’nin 28. maddesinin gereklilikleri, SCC’lerin Modül 2’sine (veri sorumlusundan veri işleyene aktarımlar) ve Modül 3’e (veri işleyenden veri işleyene aktarımlar) dahil edilmiştir. Bu modülleri kullanarak, veri sorumluları ve veri işleyenler, hem GDPR’nin 28. maddesinin gerekliliklerine hem de uluslararası veri aktarımlarının gerekliliklerine (GDPR’nin 46. maddesi) uygunluğu sağlayabildiklerinden, ayrı bir veri işleme sözleşmesi imzalamalarına gerek yoktur.

Başka bir enstrüman mevcut olduğu için, veri aktarımı için SCC’lerin gerekli olmadığı durumlar da olabilir, örn. veri işleyen veya alt veri işleyen, bir yeterlilik kararından [adequacy decision] yararlanan bir ülkede bulunuyorsa. Bu durumda, veri aktaran, GDPR’nin 28. maddesine uygunluğu sağlamak için veri sorumluları ve veri işleyenler arasındaki ilişki için de SCC’leri kullanabilir.

30. Modül 4 (veri işleyenden veri sorumlusuna) hangi senaryolarda kullanılmalıdır?

Modül 4, AEA içindeki bir veri işleyenin; AEA dışındaki bir veri sorumlusu tarafından, veri sorumlusu adına AEA’da veri toplamak veya veri sorumlusundan alınan verileri AEA’da işlemek adına dış hizmet sağlayıcısı olarak temin edildiği durumlarda kullanılmalıdır. Bu durumlarda, SCC’ler, veri işleyen tarafından, verileri veri sorumlusuna (geri) aktarmak için kullanılabilir.

Örnek: Faslı bir şirket, verileri müşteri veri tabanında depolamak için bir Lüksemburg şirketi tarafından sunulan bulut hizmetlerini kullanır. SCC’ler (Modül 4), verileri Lüksemburg’dan (veri aktaran) Fas’a (veri alıcısına) (geri) aktarmak için kullanılabilir.

Örnek: Şilili bir şirket, bir İspanyol hizmet sağlayıcısına, Şili merkezinden alınan müşteri verilerini ve İspanya’da topladığı müşteri verilerini kullanarak pazar araştırması yapması ve pazarlama materyali geliştirmesi talimatını verir. SCC’lerin Modül 4’ü, İspanyol sağlayıcı tarafından iki veri setindeki toplu verileri Şili’ye aktarmak için kullanılabilir.

BİREYLER: VERİLERİNİZİN SCC’LERE BAĞLI OLARAK AKTARILMASI HALİNDE HAKLARINIZ

31. Verilerimin SCC’lere dayanarak Avrupa dışına aktarıldığını nasıl bilebilirim?

Verilerinizin AEA dışına aktarılmasıyla ilgili bilgiler, verilerinizi işleyen veri aktaran tarafından sağlanmalıdır: GDPR’nin 13 ve 14. maddeleri, veri aktaranların, diğer unsurların yanı sıra, kişisel verileri AEA dışına aktarma niyetleri hakkında sizi bilgilendirmesini gerektirir. Eğer SCC kullanıyorlarsa, sizi bu konuda bilgilendirmeli ve SCC’lerin bir kopyasını nasıl alabileceğinizi açıklamalıdırlar.

Eğer SCC’ler kullanılıyorsa, Avrupa dışındaki bir veri alıcısının da size belirli bilgileri (örneğin, iletişim bilgileri, işlediği kişisel veri kategorileri ve verilerinizin paylaşılabileceği alıcılar) sağlaması gerekebilir, bkz. SCC’ler Modül 1, madde 8.2 (a). Bu durum, veri alıcısı, aldığı verileri kendi amaçları için de kullanacaksa (yani, veri aktaran tarafından verilerin işlendiği amaçlardan farklı amaçlar için) geçerli olacaktır.

32. Verilerimin SCC’lere dayalı olarak AEA dışına aktarıldığı konusunda bilgilendirildim. Fiili aktarımlar, ilgili kişi olarak haklarım ve geçerli koruma konuları hakkında nasıl daha fazla bilgi edinebilirim? SCC’lerin bir kopyasını alabilir miyim?

SCC’ler, tarafların, talep üzerine ve ücretsiz olarak, koşulların kullanıldıkları şekliyle bir kopyasını size vermelerini şart koşmaktadır. Bu [kopya], seçilen modülleri/seçenekleri ve ayrıca tamamlanmış ve (tarafların veri aktarımı ve veri alıcısı tarafından işlenirken bunları korumak için alınan belirli tedbirler hakkında ayrıntılı bilgi vermeleri gereken) imzalanmış ekleri içermektedir. Avrupa Komisyonu tarafından benimsenen SCC’lere genel bir atıf yapılması (örneğin, Komisyonun web sitesine bir bağlantı sağlayarak) yeterli değildir (bkz. SCC’ler; Modül 1, madde 8.2; Modül 2, madde 8.3 ve Modül 4, madde 8.3). Size koşulların bir kopyasını sunarken, taraflar yalnızca ticari sırları veya diğer gizli bilgileri (örneğin diğer kişilerin kişisel verileri) ilgilendiren bilgileri redakte edebilir, ancak bunların hariç tutulma gerekçesini açıklamaları gerekir. Kalan metnin anlaşılması çok zor hale gelirse, taraflar redakte edilen kısımların anlamlı bir özetini sunmalıdır (bkz. SCC’ler; Modül 1, madde 8.2; Modül 2, madde 8.3 ve Modül 4, madde 8.3).

Ayrıca GDPR ve SCC’ler kapsamında verilerinizin işlenmesinden sorumlu olan kuruluştan (yani “veri sorumlusu”) bilgi edinme hakkınız (örneğin aktarılan veriler, işlemenin amacı, verilerinizin paylaşıldığı veya paylaşılacağı alıcılar ve bir denetim otoritesine şikâyette bulunma hakkı) vardır. Özellikle, GDPR’nin 15. maddesi uyarınca veri sorumlusu olarak hareket eden bir veri aktarandan, veri aktarımları dahil olmak üzere verilerinizin işlenmesi hakkında bilgi talep edebilirsiniz. Veriler, bir veri sorumlusu tarafından AEA dışında, verilerinizi kendi amaçları için kullanan (yani başka bir “veri sorumlusu” olarak) bir kuruluşa aktarılmışsa, veri aktaran yalnızca kendi faaliyetleri hakkında (verilerin AEA dışına aktarılmasına ek olarak) bilgi sağlayabilir. Ancak bu durumda, SCC’lere (SCC’lerin Modül 1, madde 10) dayanarak AEA dışındaki veri sorumlularına karşı doğrudan bilgi edinme hakkınızı kullanabilirsiniz.

Verilerinizin işlenmesinde birden fazla kuruluş yer alıyorsa ve veri sorumlusunun kim olduğunu bilmiyorsanız, (1) verilerinizi aktaran kuruluşla (veri aktaran) veya (2) Avrupa dışından verilerinizi alan (veri alıcısı) kuruluşla iletişime geçebilirsiniz. Başvurduğunuz kuruluş (yalnızca diğer kuruluş adına hizmet sağlayıcı olarak hareket etmesi sebebiyle) size doğrudan yanıt veremezse SCC’ler, talebinizi etkili ve zamanında ele almak için her iki tarafın da işbirliği yapmasını gerektirmektedir.

33. Verilerim SCC’lere aykırı olarak işlendiyse, zararlarımın karşılanmasını talep edebilir miyim (örn. zararlar için tazminat)? Nereye şikâyette bulunabilirim?

SCC’ler, hem veri aktaran hem de veri alıcısından tazminat elde etmek için farklı yollar sağlar. Özellikle, SCC’lere taraf olmasanız bile, SCC’ler, sözleşmeden yararlanan üçüncü kişi olarak doğrudan, taraflara karşı verilerinizin kullanımına yönelik özel güvenceler içeren bu maddelerin uygulanmasına izin vermektedir (bkz. SCC’lerin 3. maddesi).

İlk olarak, şikayetleri ele almak için belirli bir iletişim noktası belirlemesi gereken veri alıcısına doğrudan şikayette bulunma olanağına sahipsiniz (bkz. SCC’ler madde 11(a)). Veri alıcısı, bağımsız bir anlaşmazlık çözüm kuruluşuna şikayette bulunma olanağı sunuyorsa, o kuruluşa da başvurabilirsiniz.

İkinci olarak, ikamet ettiğiniz AEA ülkesinin veri koruma otoritesine şikayette bulunma olanağına sahipsiniz. SCC’lere aykırı hareket edildiğini düşünüyorsanız (bkz. SCC’ler madde 11(c)) doğrudan veri alıcısı hakkında veya verilerinizin hukuka aykırı olarak işlendiğini düşünüyorsanız, veri aktaran hakkında bu tür bir şikayette bulunabilirsiniz.(bkz. GDPR madde 77).

Üçüncüsü, örneğin ihtiyati tedbir almak veya tazminat talebinde bulunmak için SCC’lerin taraflarına karşı, mahkemede dava açabilirsiniz. Özellikle, SCC’lerin tarafları, SCC’lerin verilerinizin işlenmesi için güvenceler veya belirli haklar sağlayan koşullarını ihlal ederek yol açabilecekleri maddi veya manevi zararlardan sorumludur (bkz. SCC’ler madde 12). Bu tür davalar, (ulusal hukuk tarafından belirlendiği şekilde) yaşadığınız AEA ülkesinin yetkili mahkemesine veya SCC’lerin tarafları tarafından belirlenen AEA mahkemelerine götürülebilir (bkz. SCC madde 18(b) ve (c)).

Verileriniz AEA içinde bulunan ve AEA dışındaki bir kuruluş adına hareket eden bir hizmet sağlayıcı tarafından aktarılmışsa özel kurallar geçerlidir. Bu durumda, doğrudan veri alıcısına (yani AEA dışındaki veri sorumlusuna) veya varsa bağımsız bir anlaşmazlık çözüm kuruluşuna (bkz. Modül 4, madde 11) şikâyette bulunma olanağına sahipsiniz. Ayrıca, talebinizi yerine getirmek için, veri alıcısı ile iş birliği yapması gereken AEA içindeki veri aktarana da başvurabilirsiniz (bkz. Modül 4, madde 10). Ayrıca, ihtiyati tedbir almak veya tazminat talebinde bulunmak için taraflara karşı mahkemede dava açabilirsiniz (bkz. Modül 4, madde 3 ile birlikte madde 18,). Bu tür davalar, SCC’lerin tarafları tarafından tayin edilen mahkemelerde açılabilir.

Son olarak, tazminat almak için yukarıda bahsedilen olasılıkların yalnızca SCC’lerin kendisinde mevcut olanlarla ilgili olduğunu belirtmek önemlidir. Bu, bireylerin GDPR’ye dayalı olarak veri aktarandan tazminat alma olasılığını etkilemez. Özellikle, bireyler her zaman ulusal bir veri koruma otoritesine şikayette bulunma (GDPR madde 77) ve verilerinin veri aktaran tarafından işlenmesiyle ilgili olarak yargı yoluna başvurma (GDPR madde 79) hakkına sahiptir.

VERİ AKTARAN VE VERİ ALICILARININ YÜKÜMLÜLÜKLERİ

34. Modül 1, 2 ve 3: Veri alıcısının, aldığı kişisel verileri üçüncü taraflarla paylaşırken belirli adımlar atması gerekiyor mu?

Genel bir kural olarak veri alıcısı, SCC’ler kapsamında alınan verileri, yerleşik olduğu ülke içindeki veya dışındaki başka bir kuruluşla paylaşırken, benzer korumalardan yararlanmaya devam edilmesini sağlamalıdır (bkz. Modül 1 madde 8.7, Modül 2 madde 8.8 ve Modül 3 madde 8.8). Bu, örneğin üçüncü tarafın SCC’lere katılması veya üçüncü taraf ile SCC’ler kapsamında sağlananlara benzer korumalar sağlayan, ayrı bir sözleşme akdetmesi gibi farklı şekillerde yapılabilir.

Veri alıcısı ayrıca, üçüncü taraf alıcı ile (sözleşmeye dayalı) veri koruma tedbirleri üzerinde anlaşmanın mümkün olmadığı veya uygun olmadığı belirli özel durumlarda verileri paylaşabilir. Özellikle, veri alıcısının bir bireyin hayati çıkarlarını korumak için bilgi paylaşması gerekli olabilir, örn. tıbbi bir acil durum bağlamında, bir konuğun verilerini yerel bir hastaneye açıklamak zorunda olan bir otel zinciri gibi. Aynı durum, veri alıcısının yerel idari, düzenleyici veya adli işlemlerin bir parçası olarak belirli bilgileri açıklaması gerektiğinde de geçerlidir, örn. ürünlerinin onayını almak için yerel bir düzenleyici kurumla veri paylaşması gereken bir ilaç şirketi.

Modül 1 için ek bilgiler (veri sorumlusundan veri sorumlusuna): Yukarıdakilerin hiçbiri geçerli değilse, veri alıcısı, verileri üçüncü taraflara aktarmak [further transfer] için söz konusu ilgili kişilerin açık rızasına da dayanabilir (bkz. Modül 1, madde 8.7(vi)). Bu durumda veri alıcısı; aktarımın amacı/amaçları, alıcının kimliği ve veri koruma tedbirlerinin olmaması nedeniyle aktarımın birey için oluşturduğu olası riskler hakkında, bireyin bilgilendirildiğinden emin olmalıdır. Veri alıcısı ayrıca, veri aktarana rızaya dayalı sonraki aktarımlar hakkında bilgi vermelidir. Veri aktaran, bireye sağlanan bilgilerin bir kopyasını talep edebilir.

35. SCC’ler kapsamındaki sorumluluk, ana hizmet sözleşmesi veya ticari sözleşmedeki genel sorumluluk koşulları ile sınırlandırılabilir mi?

SCC’ler iki tür sorumluluğu düzenlemektedir: (1) tarafların ilgili kişilere karşı sorumluluğu (bkz. SCC’ler Modül 1 ve 4, madde 12(b) ve (c); ve Modül 2 ve 3, madde 12(b), (c) ve (e)) ve (2) taraflar arasındaki sorumluluk (bkz. SCC’ler Modül 1 ve 4, madde 12(a); ve Modül 2 ve 3, madde 12(a)). Daha geniş (ticari) sözleşmedeki (örneğin, sorumluluğun dağıtımına ilişkin özel kurallar, taraflar arasındaki ilişkilerdeki sorumluluk üst sınırları) SCC’lerin bu sorumluluk planlarıyla çelişemez veya bunları zayıflatamaz (ayrıca bkz. SCC’ler madde 2(a)).

Buna karşılık, bunun yalnızca SCC’lerden doğan sorumluluk halleri için geçerli olduğunu belirtmek önemlidir. SCC’lerin sorumluluk koşulları, taraflar arasındaki sözleşme ilişkisinin diğer yönleri için geçerli olabilecek sorumluluk koşullarını etkilemez.

36. SCC’lerin feshinin taraflar arasındaki diğer sözleşme düzenlemelerine etkisi nedir?

SCC’lerin 16. maddesi, veri aktarana; veri alıcısının koşulları ihlal etmesi veya bunlara uyamaması durumunda, kişisel verilerin aktarımını geçici olarak askıya alma yetkisi vermektedir. Ayrıca, belirli (özellikle ciddi) durumlarda, veri aktaran “Koşullar kapsamında kişisel verilerin işlenmesiyle ilgili kaygıları olduğu sürece sözleşmeyi” feshetme hakkına da sahip olacaktır. Bu, 16. madde kapsamındaki fesih hakkının, sözleşmenin SCC’ler kapsamında kişisel verilerin işlenmesiyle ilgili bölümleriyle sınırlı olduğu anlamına gelir.

SCC’lerin madde 2(a)’sının açıklığa kavuşturduğu gibi, tarafların SCC’leri daha geniş (ticari) bir sözleşmeye dahil etmelerine prensipte izin verilmektedir. Bu daha geniş sözleşmede mutabık kalınan düzenlemeler ve buna uygulanacak hukuk, koşulların ihlalinin daha geniş sözleşmeyi etkileyip etkilemeyeceğini, özellikle de veri aktaranın tüm sözleşme ilişkisini feshetme hakkına sahip olup olmayacağını belirleyecektir.

SCC’ler tarafından yönetilen veri işleme operasyonlarının ikiden fazla tarafı kapsadığı durumlarda, veri aktaran, taraflar aksini kararlaştırmadıkça, bu fesih hakkını yalnızca ilgili Tarafa karşı olarak kullanabilir (bkz. Madde 16(c)).

37. Sözleşmeye uygulanacak hukuku seçmek için herhangi bir gereklilik var mı?

SCC’lerin 17. maddesi, tarafların SCC’lerin uygulanmasında geçerli olacak hukuku (“geçerli hukuk”) belirtmelerini gerektirmektedir. Modül 1, 2 ve 3 için bu, her zaman AB Üye Devletleri veya AEA ülkelerinden birinin hukuku olmalıdır. Modül 4 için bu, AEA dışı bir ülkenin hukuku da olabilir.

Tüm modüller için bu, madde 3 anlamında “üçüncü taraf – yararlanıcı haklarına” izin veren bir iç hukuk rejimi olmalıdır. Bu, seçilen hukukun, özel tarafların, ilgili bireyler, yani kişisel verileri SCC’lere dayalı olarak aktarılacak ilgili kişiler tarafından başvurulabilecek sözleşmesel haklar yaratmasına izin vermesi gerektiği anlamına gelir.

Modül 2 ve 3 için SCC’ler, bu hukuk üçüncü taraf yararlanıcı haklarının oluşturulmasına izin vermediği sürece (bu durumda taraflar başka bir hukuk seçmelidir), geçerli hukukun ilke olarak veri aktaranın yerleşik olduğu AEA ülkesinin hukuku olacağını özellikle belirtmektedir.

Madde 17, SCC’lerin GDPR hükümleri ışığında – özellikle de GDPR’de özel olarak tanımlanan terimlerin kullanıldığı durumlarda – okunup yorumlanacağını ve burada sağlanan hak ve yükümlülüklerle çelişecek şekilde yorumlanamayacağını açıklayan 4. madde ile birlikte okunmalıdır. Bununla birlikte, örneğin iş belirli süre sınırlarına karar verilmesine geldiğinde, 17. maddeye göre üzerinde anlaşılan yetkili hukuk uygulanır.

38. Modül 1, 2 ve 3: için yetkili otorite olarak hangi veri koruma otoritesi tayin edilmelidir?

Veri alıcısı, SCC’leri akdederken, kendisini bir AEA veri koruma otoritesinin yargı yetkisine teslim etmeyi kabul eder (Madde 13). Bu, veri alıcısının SCC’lere uygunlukla ilgili herhangi bir prosedürde (örneğin soruşturmalar, sorgulamalar ve denetimler) bu otoritelerle iş birliği yapmayı ve kararlarına (örneğin, SCC’lere uygun bir işleme faaliyeti getirme emirleri) uymayı kabul ettiği anlamına gelir.

Taraflar, SCC’lerin Ek I.C’sinde yetkili veri koruma otoritesini belirlemelidir. Birden fazla veri aktaran varsa, birkaç denetim otoritesi yetkili olabilir. SCC’lerin 13. maddesi, hangi otoritenin yetkili olacağının nasıl belirleneceğine işaret eder.

Veri aktaran AEA’da yerleşikse, veri aktaranın, GDPR’ye uygunluğunu denetlemeye yetkili olan atanmış veri koruma otoritesi olmalıdır. AEA’da sınır ötesi işleme faaliyetleri yürüten işletmeler için bu, baş denetim otoritesi olacaktır.

Veri aktaran AEA’da yerleşik değilse ancak doğrudan GDPR’ye tabiyse, yetkili veri koruma otoritesi:

– Veri aktaranın (GDPR’nin 27. maddesi uyarınca) bir temsilci ataması gerekiyorsa: Temsilcinin yerleşik olduğu AEA ülkesinin veri koruma otoritesi;

– Veri aktaranın (GDPR’nin 27. maddesi uyarınca) bir temsilci ataması gerekmiyorsa: Verileri aktarılan ilgili kişilerin bulunduğu AEA ülkesinin veri koruma otoritesi.

Aynı zamanda, SCC’lerin, ilgili kişilerin, sürekli şekilde yerleşik oldukları konutlarının veya iş yerlerinin bulunduğu AEA ülkesindeki veri koruma otoritesine şikâyette bulunmalarına da izin verdiğini belirtmek önemlidir. Bu, taraflarca belirlenenden farklı bir otorite ise, iki otorite şikâyeti ele almak için iş birliği yapacaktır.

39. Ekleri doldurmak için herhangi bir gereklilik var mıdır? Bilgiler ne kadar ayrıntılı olmalıdır?

Taraflar, özellikle aktarılan kişisel veri kategorileri ve aktarılma amaç(lar)ı (Ek I.A ve B) olmak üzere, SCC’leri hangi spesifik veri aktarımlarına uygulamayı düşündüklerini netleştirmelidir. Ayrıca, tarafların (opsiyonel) katılma maddesine (madde 7) dayalı müteakip değişiklikler de dahil olmak üzere kendi rollerini (veri aktaran ve veri alıcısı) netleştirmeleri ve AB dışında bulunan ancak GDPR (madde 3(2)) kapsamındaki veri aktaranların, GDPR’nin 27. madde uyarınca AB’de atanan temsilcilerini belirtmeleri gerekir. Tarafların ayrıca 13. madde uyarınca yetkili denetim otoritesini/otoritelerini belirtmeleri gerekir. (bkz. Ek I.C, yetkili otoritenin seçilmesi hakkında daha fazla bilgi için 38. soru).

Ayrıca, SCC’ler veri güvenliği ve hassas verilerin işlenmesi ile ilgili genel gereklilikleri belirlerken, söz konusu veri aktarımına ilişkin olarak bu gerekliliklerin daha spesifik olarak belirtilmesi gerekmektedir (Ek I.B ve Ek II). Güvenlikle ilgili olarak, Ek II, uygulamaya konulabilecek olası tedbirlerin örneklerinin bir listesini içerir. Tarafların bu önlemlerin her birine yer vermesi zorunlu değildir, ancak uygun bir güvenlik düzeyi sağlamak için veri alıcısı tarafından fiilen uygulanan tedbirler açıklanmalıdır.

Bu özel bilgilerin sağlanacağı yer, madde 1(d)‘ye göre SCC’lerin “bütünleyici bir parçasını” oluşturan Ek’tir. Taraflar, bu Ek’i doldururken, Ek’in ilk sayfasının üst kısmında yer alan ve – özellikle teknik ve idari (güvenlik) tedbirler ile ilgili olarak – Ek II’nin başında yer alan “Açıklayıcı Not”u dikkatle değerlendirmelidir.

Eklerde sağlanacak bilgi örnekleri (Ayrıca bkz. Avrupa Veri Koruma Kurulu kılavuzu, örneğin Şeffaflık hakkında: (şuradan erişilebilir: https://ec.europa.eu/newsroom/article29/items/622227/en) ve Veri sorumlusu – veri işleyen ilişkileri hakkında bkz: (şuradan erişilebilir: https://edpb.europa.eu/system/files/2021 07/eppb_guidelines_202007_controllerprocessor_final_en.pdf))

Verileri aktarılan ilgili kişilerin kategorileri: ör. çalışanlar, müşteriler (gerçek kişiler), sadakat programına üye olan kişiler, e-posta abonesi olan gerçek kişiler, bilgi toplumu hizmetlerinin sunulduğu çocuklar vb.
Aktarılan kişisel veri kategorileri: ör. ad, soyad, e-posta adresi, telefon numarası, ikametgah adresi, ulusal kimlik numarası, ödemelere ilişkin ayrıntılı bilgiler, sağlık kayıtlarına ilişkin bilgiler vb.
Aktarım ve verilerin ilk toplandıkları amaçla bağlantılı diğer amaçlar için işlemenmesinin [further processing] amaçları: kanuna aykırı faaliyetlerin tespit edilmesi, bordro yönetimi, banka ödemelerinin gerçekleştirilmesi, müşteri desteği sağlanması, pazar araştırması vb.
Veri işlemenin niteliği: ör. depolama, kaydetme, yayınlama, birleştirme, sıralama, açıklama vb.
Verilerin saklanacağı süre veya bu süreyi belirlemek için kullanılan kriterler: belirli bir süre, örneğin kanuni gereklilikler tarafından belirlenebilir (örneğin, X yıl). Kesin bir süre vermenin mümkün olmadığı durumlarda, saklama süresinin nasıl belirleneceği açıklanmalıdır, örn. endüstri kılavuzlarının temeli, veri işleme sözleşmesinin süresi vb. Farklı kişisel veri kategorileri farklı saklama sürelerine tabi ise, her bir süre ayrı ayrı tanımlanmalıdır.

YEREL KANUNLAR VE DEVLET ERİŞİMİ

40. Yeni SCC’leri kullanırken Schrems II kararına uymak için herhangi bir belirli adım var mı? EDPB’nin rehberlerini dikkate almak hala gerekli mi?

AB Adalet Divanı’nın Schrems II kararı (C-311/18) doğrultusunda, SCC’lerin 14. Maddesi, tarafların SCC’lere son halini vermeden önce, veri alıcısı tarafından kişisel verilerin işlenmesi için geçerli olan varış ülkesinin kanunlarının ve uygulamalarının, Koşullara uymasını engelleyip engellemeyeceğini değerlendirmelerini gerektirmektedir. Taraflar, bu “aktarım etki değerlendirmesini” gerçekleştirirken, özellikle aktarımın özel koşullarını (örneğin, verilerin kategorileri ve formatı, alıcının türü, aktarımın gerçekleştiği ekonomik sektör ve veri işleme zincirinin uzunluğu) ve bu bağlamda ilgili kanun ve uygulamaları dikkate almalıdır. İkinci değerlendirme, özellikle kanun ve uygulamaların, GDPR madde 23(1)’de listelenen amaçlardan birini korumak için demokratik bir toplumda gerekli ve orantılı olanı aşıp aşmadığını belirlemek amacıyla geçerli sınırlamaları ve güvenceleri içerir (bu durumda SCC’lere uyumu etkiledikleri düşünülmeyecektir).

SCC’lere uyumluluk üzerindeki etkiye ilişkin olarak, taraflar genel bir değerlendirmenin (bkz. madde 14, dipnot 12) parçası olarak farklı unsurları dikkate alabilirler; hukukun uygulamadaki pratiğine ilişkin (içtihat hukuku ve bağımsız gözetim kurumlarının raporları gibi) güvenilir bilgiler, aynı sektörde taleplerin olup olmadığı ve katı koşullar altında, veri aktaran ve/veya veri alıcısının belgelenmiş pratik deneyimi gibi. Olumsuz bir değerlendirme olması durumunda, taraflar durumu ele alan ve böylece Koşullara uyumu sağlayan ek (destekleyici) güvenceler (ör. uçtan uca şifreleme gibi veri güvenliğini sağlamaya yönelik teknik tedbirler) getirdikleri takdirde SCC’lere dayalı verileri aktarabilirler. Aynı durum, veri aktaran kişinin daha sonra, üçüncü ülkenin kanunlarında bir değişiklik yapılması da dahil olmak üzere, veri alıcısının artık SCC’lere uyum sağlayamayacağının farkına varması durumunda da geçerlidir. Veri aktaranın, uygun güvencelerin sağlanamayacağını düşünmesi veya yetkili denetim otoritesi tarafından talimat verilmesi halinde, aktarımı askıya alması gerekecektir.

SCC’ler (madde 14) tek başına okunmamalı, Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan ayrıntılı rehberle birlikte kullanılmalıdır. AB kişisel verilerin koruma düzeyine (18 Haziran 2021) uyumu sağlamak için aktarım araçlarını tamamlayan tedbirlere ilişkin Tavsiyeler 01/2020’ye bakınız (Şuradan erişilebilir: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf). Bu Tavsiye, değerlendirme aşaması için adım adım bir yol haritası, bu değerlendirme için olası bilgi kaynaklarının bir listesini (Ek 3) ve çeşitli ek tedbir örneklerini (Ek 2) içermektedir.

41. Veri alıcısı, kamu otoritelerinden (örneğin, ceza infaz veya ulusal güvenlik otoriteleri) aldığı açıklama talepleri hakkında veri aktaranı ne ölçüde bilgilendirmek zorundadır?

İlk olarak, SCC’ler, veri alıcısının, aktarılan verilere devlet erişimi hakkında (istek üzerine veya doğrudan) bilgi vermesi için gereklilikleri içermektedir.

Madde 15.1’e göre, veri alıcısı, aktarılan kişisel verileri açıklamak için üçüncü ülkedeki bir kamu otoritelerinden veya mahkemesinden hukuken olarak bağlayıcı bir talep alırsa, veri aktaranı derhal bilgilendirmelidir. Benzer şekilde, kamu otoritelerinin bu tür verilere herhangi bir doğrudan erişimi (bkz: müdahale) olduğunun farkına varması halinde de veri aktaranı bilgilendirmelidir. Bu bağlamda, SCC’ler, veri alıcısının, veri aktarana (belirli) bilgileri sağlamasının, kendi ulusal hukuku tarafından yasaklanabileceğini dikkate almaktadır. Özellikle, veri alıcısının, bazı devlet erişimi halleri hakkında ilgili tarafa bildirimde bulunmasına izin verilmiyorsa, mümkün olan en kısa sürede en fazla bilgiyi iletmek amacıyla, yasaktan muaf tutulmak için elinden gelen çabayı göstermelidir. Veri aktaranın kendisinin bir veri işleyen olması durumunda, bildirimi veri sorumlusuna iletmesi gerekir.

Ek olarak, veri alıcısı, veri aktarana, kendisine iletilen erişim talepleri hakkında düzenli aralıklarla topluca bilgi sağlamalıdır (madde 15.1(c)). Bu yükümlülük, yine yalnızca veri alıcısının kendi ulusal kanunları uyarınca bu tür bilgileri sağlamasına izin veriliyorsa geçerlidir. Veri aktaranın kendisinin bir veri işleyen olması durumunda, veri aktaran, bu bilgileri veri sorumlusuna iletecektir.

İkincisi, SCC’ler, veri alıcısının Koşullara uymasını engelleyen kanunlara ve/veya uygulamalara tabi olması durumunda ek bildirim gerekliliklerini içermektedir.

Madde 14(e) uyarınca, veri alıcısı, Koşulları kabul ettikten sonra ve sözleşme süresince, madde 14(a) kapsamındaki gerekliliklerle uyumlu olmayan kanunlara veya uygulamalara tabi olduğuna veya olacağına inanmak için bir nedene sahip olması halinde, veri aktaranı derhal bilgilendirmeyi kabul etmektedir. Bu, üçüncü ülke kanunlarının ilk değerlendirmeden sonra değiştiği veya veri alıcısının üçüncü ülkede söz konusu kanunların pratikte ilk değerlendirmeyle uyumlu olmayan bir şekilde uygulandığını gösteren bir kontrole (bilgi açıklama talebi gibi) tabi olduğu durumları içerir. Veri aktaranın bir veri sorumlusu adına hareket eden bir veri işleyen olması durumunda, bildirimi veri sorumlusuna iletmesi gerekecektir.

SCC’ler, veri alıcısının kendi ulusal kanunlarına göre belirli hükümet erişim talepleri/doğrudan erişim hakkında bilgi vermesine izin verilmeyebileceğini da dikkate almaktadır. Özellikle, madde 16(a) genel bir bildirim gerekliliğini içermektedir, buna göre veri alıcısı, herhangi bir nedenle Koşullara uyum sağlayamıyorsa, veri aktaranı derhal bilgilendirmelidir. Veri alıcısı, bu maddeye dayanarak, veri aktarana devlet erişimi hakkında özel bilgi vermek zorunda kalmadan, artık SCC’lere uyum sağlayamayacağını bildirmelidir. Bu durumda veri aktaran, aktarımın askıya alınması veya SCC’lerin feshedilmesi de dahil olmak üzere gerekli tedbirleri alabilecek konumda olacaktır.

42. Veri alıcısı, bir kamu otoritesinin ilettiği bilgi açıklama talepleri hakkında bireyleri bilgilendirmek zorunda mıdır? Veri alıcısının kendi ulusal hukuku kapsamında bu bilgileri sağlaması yasaklanmışsa ne olur?

SCC’lerin 15.1(a) maddesi uyarınca, veri alıcısı, üçüncü ülkedeki bir kamu otoritesinden veya mahkemeden ilgili kişilerle alakalı kişisel verilerin açıklanmasına yönelik hukuken bağlayıcı bir talep alırsa ilgili kişileri bilgilendirmelidir. Buna ek olarak, kamu otoritelerinin söz konusu verilere doğrudan erişimden (örneğin, telefon dinleme) haberdar olması halinde de veri aktarana bildirimde bulunmalıdır. Aynı zamanda, SCC’ler bu bilgilerin sağlanmasının hukuki veya pratik nedenlerle mümkün olmayabileceğini de dikkate almaktadır.

Özellikle, veri alıcısının (ulusal hukuku tarafından) belirli durumlarda devlet erişimini taraflara bildirmesi yasaklanmış olabilir. Bu durumda, mümkün olan en kısa sürede mümkün olduğunca fazla bilgi iletmek amacıyla, yasaktan muaf tutulmak için elinden gelen çabayı göstermelidir.

Buna ek olarak, ilgili kişilerle iletişime geçmek pratikte zor olabilir (örneğin, veri alıcısının kişilerle doğrudan bir ilişkisi olmadığı için). Bu bağlamda, madde 15.1(a), veri alıcısının, (bireylerle doğrudan bir ilişkisi olabilecek olan) veri aktaranın yardımını kullanabileceğini açıkça ortaya koymaktadır.

43. Veri alıcısı, bir kamu otoritesinden aldığı her bilgi açıklama talebine sözleşme gereği itiraz etmek zorunda mıdır?

Hayır. SCC’lerin 15.2. maddesine göre, veri alıcısı, aldığı taleplerin uygulanabilir iç hukuk kapsamında hukuka uygun olup olmadığını gözden geçirmelidir. Veri alıcısı, talebin hukuka aykırı olduğunu düşünmek için makul gerekçeler bulunduğunu düşünüyorsa (örneğin, talepte bulunan otoritenin yetkilerini aştığı açıksa), talebe itiraz etmek için iç hukuku kapsamında mevcut prosedürleri kullanmalıdır. Veri alıcısı bir talebe itiraz etmişse ve ilk aşamada, prosedürün sonucuna itiraz etmek için yeterli gerekçeler olduğunu düşünüyorsa, bu itiraz takip edilmelidir.

44. Modül 4’e dayanırken SCC’lerin Bölüm III’üne uymaya gerek var mı?

SCC’lerin III. Bölümü, Modül 4’ün AEA içindeki bir veri işleyen tarafından AEA dışındaki veri sorumlusundan aldığı verileri söz konusu veri sorumlusuna iade etmek için kullanıldığı özel bir istisna içermektedir. Bu senaryoda, kişisel veriler başlangıçta AEA dışında işlenmiştir ve burada zaten yerel kanuni çerçeveye tabidir. Bu nedenle, tarafların bir “transfer etki değerlendirmesi” (madde 14) yapmasına veya kamu otoritelerinin verilere erişimine ilişkin yükümlülüklere (madde 15) uymasına gerek yoktur.

Örnek: Faslı bir şirket, müşteri veri tabanındaki verileri depolamak için Lüksemburglu bir şirket tarafından sunulan bulut hizmetlerini kullanır. SCC’ler (Modül 4) verileri Lüksemburg’dan (veri aktaran tarafından) Fas’a (veri alıcısına) geri aktarmak için kullanılabilir. Veri aktaran sadece Fas’tan aldığı verileri geri gönderdiğinden, Bölüm III’e uyması gerekmez.

Buna karşılık, veri işleyen (veri aktaran) tarafından veri sorumlusuna (veri alıcısına) aktarılan verilerin Avrupa menşeli kişisel verileri de içermesi halinde istisna uygulanmaz (ve dolayısıyla taraflar Bölüm III’e uymak zorundadır).

Örnek: Şilili bir şirket İspanyol bir veri işleyene, Şilili şirketten aldığı müşteri verilerini ve İspanya’da topladığı müşteri verilerini kullanarak pazar araştırması yapması ve pazarlama materyali geliştirmesi talimatını verir. SCC’lerin 4. Modülü İspanyol veri işleyen tarafından iki veri setine ilişkin toplu verileri Şili’ye aktarmak için kullanılabilir. Veri aktaran aynı zamanda Avrupa’da toplanan verileri de (sadece Şili’den aldığı verileri değil) veri alıcısına aktardığından, Bölüm III’e uymak zorundadır. Bu, Şili’ye aktarılan tüm veri seti için (yani hem Şili’den alınan veriler hem de İspanya’da toplanan veriler) geçerlidir.

***

Bu çalışma Avrupa Komisyonu’nun 25.05.2022 tarihinde https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf internet sitesinde İngilizce dilinde yayınladığı çalışmanın resmi olmayan bir amaçla Türkçe’ye çevrilmesine dairdir.

KOİOS Kişisel Verilerin Korunması Hukuku Çalışma Grubu adına adı geçenlerce hazırlanmış olup, çalışmanın kısmen ya da tamamen kopyalanması, KOİOS dışındaki kişi/kişilere mal edilerek kullanılması yasaktır. Bu çalışma yalnızca adı geçenlere ve KOİOS’a referans verilerek kullanılabilir. Her hakkı saklıdır.

Yazıyı indirmek için burayı tıklayınız.

***

[1] AEA, AB’nin 27 Üye Devletinin yanı sıra İzlanda, Lihtenştayn ve Norveç’ten oluşmaktadır.

[2] Daha fazla bilgi için bkz. https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?do=groupDetail.groupDetail&groupID=3537

[3] Bkz. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Data-protectionstandard-contractual-clauses-for-transferring-personal-data-to-non-EU-countries-implementing-act-_en ve https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12740-Data-protection-standardcontractual-clauses-between-controllers-&-processors-located-in-the-EU-implementing-act-_en.

[4] Avrupa Parlamentosu ve Konseyi’nin (AB) 2016/679 Tüzüğü uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin standart sözleşme koşullarına ilişkin 4 Haziran 2021 tarih ve 2021/914 sayılı Komisyon Uygulama Kararı (AB)

[5] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/

[6] https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html

[7] Bkz. https://privacy.org.nz/responsibilities/disclosing-personal-information-outside-new-zealand/

[8] Bkz http://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm

[9] Bkz https://www.redipd.org/sites/default/files/2021-11/red-iberoamericana-clausulas-contractuales-2021.pdf

[10]Bkz https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf