Aralık Ayının Kişisel Verilerin Aktarımına İlişkin En Çok Dikkat Çeken Gelişmeleri

2022 yılının son haftalarında, kişisel verilerin aktarılmasına ilişkin ardı ardına önemli gelişmeler yaşandı.

1. “Gizlilik Kalkanı” Geri Mi Dönüyor?

2022 yılı Ekim ayında “AB-ABD Gizlilik Kalkanı” kapsamındaki taahhütler çerçevesinde, ABD Başkanı Biden tarafından istihbarat faaliyetlerine yönelik güvenlik tedbirlerinin artırılmasına ilişkin bir kararname imzalanmıştı.[1] Bu kararname ile ilgili kişilerin, iletişim ve bilgi sistemleri aracılığıyla ABD yasalarına aykırı şekilde kişisel verilerinin toplandığını düşünmeleri halinde tazminat talep edebilecekleri bağımsız bir mekanizma oluşturuldu. Çift katmanlı değerlendirme ve denetimi amaçlayan bu kararname ile ihlallere yönelik değerlendirmenin ikinci aşamasında başsavcı tarafından kurulacak bağımsız ve tarafsız “Kişisel Verilerin Korunmasına İlişkin Değerlendirme Mahkemesi” adlı sui generis yargı birimleri de sistemin içine dahil edildi.[2]

Bilindiği üzere, AB ve ABD arasındaki veri aktarımına ilişkin daha önceki girişimler (AB-ABD Güvenli Liman Çerçevesi ve AB-ABD Gizlilik Kalkanı), verilerin istihbarat tarafından toplanması ve ilgili kişilerin gerekli yasal yollara başvuramaması gibi nedenlerle Schrems I ve II kararları ile son bulmuştu.

Yürürlüğe girmesi halinde AB ve ABD arasındaki veri aktarımını kolaylaştıracak olan yeterlilik kararı taslağı, 13 Aralık 2022 tarihinde bir kez daha AB Komisyonu tarafından yayınlandı. Kararın yürürlüğe girmesi öncesinde Avrupa Veri Koruma Otoritesi (EDPB), Avrupa Komisyonu bakımından bağlayıcılığı olmayan bir görüş yayınlayacak. Daha sonrasında kabul sürecinde herhangi bir resmi rolü bulunmasa da Avrupa Parlamentosu da bağlayıcı olmayan bir karar sunabilir. Bu süreçlerin ardından Avrupa Komisyonu, Üye Devletlerin temsilcilerinden oluşan bir komiteden onay talep edecek. Yeterlilik kararının yürürlüğe girmesine dair karar verilebilmesi için, AB bence nüfusunun toplamının en az %65’ini temsil edecek şekilde 27 ülkeden en az 15’inin onayı gerekiyor. Bu adımlar sorunsuz bir şekilde tamamlanırsa, Üye Devletlerin onayından sonra karar resmen kabul edilerek AB Resmî Gazetesi’nde yayınlanmasından itibaren yürürlüğe girecek.[3]

Bu karar, AB-ABD arasındaki transatlantik veri akışının ekonomiye ve milyonlarca ilgili kişinin haklarına etkileri bakımından oldukça önemli ve dikkat çekici.

2. OECD Ülkeleri Verilerin Paylaşımına İlişkin Gizliliğin Korunmasına Yönelik Kurallar Üzerinde Anlaştı

Gizlilik Kalkanı hakkındaki gelişmelerin hemen ardından, 14 Aralık 2022’de aralarında Türkiye’nin de bulunduğu 38 OECD Üye Devleti, “Özel Sektör Kuruluşları Tarafından Tutulan Kişisel Verilere Devlet Erişimi Bildirgesi” üzerinde anlaşmaya vararak bildirge yayınladı.[4]

Yaklaşık iki yıldır üzerinde çalışılan[5] yeni OECD çerçevesi, hükümetlerin, istihbarat kurumlarının ve kolluk kuvvetlerinin şirketler bünyesinde yer alan kişisel verilere nasıl erişebileceklerine ilişkin sınırlamalar getiriyor. Bildirgede Üye Devletlerin yasalarında yer alan ortak noktaları yansıtan yedi temel ilkeden söz edilmektedir.

Verilerin korunmasına ve verilere devlet erişimine ilişkin olan bu ilkeler şunlardan oluşmaktadır: “hukuki dayanak, meşru menfaat, onay, verilerin yetkili personel tarafından işlenmesi, şeffaflık, yasalara uygunluğun gözetilmesi ve ihlal halinde etkili çözüm yollarının sunulması”.

3. Birleşik Krallık Veri Koruma Kurumu (ICO) Aktarım Risk Değerlendirmesine İlişkin Bir Rehber Yayınladı

ICO tarafından Ağustos 2022’de taslak olarak yayınlanan rehber, geçtiğimiz günlerde tamamlanarak son haliyle yayınlandı. Rehber ile birlikte bir risk değerlendirme aracı da paylaşıldı. Schrems II kararından sonra UK GDPR Madde 46’ya göre sınırlı veri aktarımı yapmak isteyen veri sorumluları, Aktarım Risk Değerlendirmesi (Transfer Risk Assessment) yapmakla yükümlü hale geldi.[6]

Aktarım Risk Değerlendirmesi gerçekleştirilirken şu hususlar göz önünde bulundurulmalıdır:

• Verilerin aktarıldığı ülkede, özellikle hükümet ve kamu kurumları olmak üzere 46. maddedeki aktarım mekanizmasında düzenlenmeyen üçüncü tarafların bilgiye erişiminden kaynaklanan ilgili kişi haklarına yönelik riskler.
• maddede yer alan aktarım mekanizmasını gerçekleştirirken ortaya çıkabilecek zorluklardan kaynaklanan ilgili kişi haklarına yönelik riskler.[7]

Aktarım Risk Değerlendirmesini gerçekleştirmek için ICO tarafından iki seçenek önerildi:

• İlki, ICO’nun Aktarım Risk Değerlendirmesine yaklaşımıdır. Buna göre, ilgili kişilerin verilerinin Birleşik Krallık’ta kalması halinde ve verilerin başka bir ülkeye aktarılması halinde ilgili kişilerin haklarına yönelik riskleri karşılaştırmak gerekir. ICO’nun paylaştığı araç bu yaklaşımı izlemektedir.
• İkincisi ise Avrupa Veri Koruma Kurulu (EDPB)’nun yaklaşımıdır. Bu yaklaşımda Birleşik Krallık yasaları ile hedef ülkenin yasaları karşılaştırılmaktadır. Yasalar karşılaştırılırken üçüncü tarafların, özellikle de hükümetlerin bilgilere erişimi konusunda yürürlükte olan güvenlik önlemlerine de bakılmalıdır. Bu önlemler Birleşik Krallık’ta yer alanlarla aynı olmasa da yeterince benzer olmalıdır.[8]

 

Daha fazla bilgi için: Atıflardaki linklere ve Schrems kararları hakkında web sitemizde yer alan yazılara buradan ulaşabilirsiniz.

 

[1]https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/ (Erişim Tarihi: 27.12.2022).

[2]https://www.federalregister.gov/documents/2022/10/14/2022-22234/data-protection-review-court (Erişim Tarihi: 30.12.2022).

[3]IAPP, age.

[4]https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0487#adherents (Erişim Tarihi: 26.12.2022).

[5]https://www.wsj.com/articles/oecd-countries-to-limit-government-access-to-personal-data-11670960352?reflink=desktopwebshare_linkedin (Erişim Tarihi: 27.12.2022)

[6]ICO, Transfer risk assessments, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/#how (Erişim Tarihi: 27.12.2022).

[7] Age.

[8] Age.