Schrems II Kararının AB’den ABD ve Diğer Ülkelere Veri Aktarımı Üzerinde Sonuçları -

Avrupa Adalet Divanı^[1] (“Adalet Divanı”), 16 Temmuz 2020 tarihinde Schrems II olarak bilinen kararını^[2](“Schrems II Kararı”) yayınladı. Kararın içeriğine geçmeden önce olayların kısa bir özetiyle başlayalım.

Avrupa Birliği’nde (“AB”) bulunan kişiler Facebook’u kullanabilmek için önce Facebook Inc.’in iştiraki olan Facebook İrlanda ile bir sözleşme yapmak zorundalar. AB’de bulunan ve Facebook İrlanda ile sözleşme yapan Facebook kullanıcılarının verileri Amerika Birleşik Devletleri’nde (“ABD”) bulunan Facebook Inc.’e aktarılır ve burada işlenir.

Mr. Schrems, Avusturya’da yaşayan ve 2008’den beri Facebook kullanıcısı olan bir Avusturya vatandaşıdır. Mr. Schrems, 25 Haziran 2013’te İrlanda Veri Koruma Komisyonu’na (“Komisyon”) başvurdu ve ABD’deki hukuk ve uygulamaların kişisel verilerinin kamu kuruluşlarının gözetleme faaliyetlerine karşı yeterli koruma sağlamadıkları gerekçesiyle kişisel verilerinin Facebook İrlanda’dan ABD’ye aktarılmasını engellemesini talep etti. Komisyon, bu talebi Avrupa Komisyonu’nun ABD’nin uygun seviyede koruma sağladığına dair 2000/520 sayılı Güvenli Liman (Safe Harbor) Kararı’na dayanarak reddetti. Mr. Schrems bu sefer İrlanda Yüksek Mahkemesi’ne başvurdu. Bunun üzerine Yüksek Mahkeme, Güvenli Liman (Safe Harbour) Kararı’nın yorumlanması ve geçerliliği ile ilgili ön karar vermesi için Adalet Divanı’na başvurdu. Adalet Divanı, 6 Ekim 2015 tarihli Schrems kararında (“Schrems Kararı”) Güvenli Liman Kararı’nı geçersiz kıldı. Bunun üzerine Yüksek Mahkeme, Mr. Schrems’in şikayetinin reddedilmesine ilişkin kararı iptal etti ve Komisyon’a geri gönderdi.

Soruşturma sırasında, Facebook İrlanda ABD’ya yapılan veri aktarımının büyük bir kısmının Standart Sözleşme Maddeleri Kararı’nın^[3] (Standard Contractual Clauses) (“SCC Kararı”) ekinde yer alan standart veri koruma maddelerine dayanılarak yapıldığını açıkladı. Komisyon, bunun üzerine Mr. Schrems’den şikayetini yeniden düzenlemesini istedi. Mr. Schrems şikayetini yeniden düzenleyerek ABD yasalarına göre Facebook Inc.’in aktarılan kişisel verileri FBI ve NSA gibi ABD kamu kuruluşlarının erişimine açmak zorunda kalabileceğini, dolayısıyla kişisel verileri Avrupa Birliği Temel Haklar Bildirgesi^[4]’ne (“Bildirge”) aykırı şekilde gözetleme programlarında kullanıldığı için SCC Kararı’nın ABD’ye veri aktarımının gerekçesi olamayacağını ileri sürdü.

Mr. Schrems’in şikayeti SCC Kararı’nın geçerliliğine ilişkin bir soru işareti doğurduğu için Komisyon, Schrems Kararı’na dayanarak, Adalet Divanı’ndan ön karar istemesi için Yüksek Mahkeme’ye başvurdu. Yüksek Mahkeme, 4 Mayıs 2018 tarihinde Adalet Divanı’na başvurdu.

Yüksek Mahkeme tarafından Adalet Divanı’na yöneltilen soruların bazıları aşağıdakilerdi:

Veri Koruma Seviyesi Kriterleri: Üçüncü taraf bir ülkenin, aktarılan kişisel verinin AB hukukunun gerekli gördüğü koruma seviyesini sağlayıp sağlamadığını değerlendirirken, bu ülkedeki koruma seviyesi hangi referansa göre değerlendirilmelidir?
Veri Koruma Otoritesinin Yetkileri: Veri koruma otoritesi, üçüncü taraf bir ülkenin gözetleme kanunlarının standart sözleşme maddeleri ile çeliştiğini düşünürse veri akışını engellemek için yetkilerini kullanmalı mıdır?
Standart Sözleşme Maddeleri: Standart sözleşme maddelerine dayanarak üçüncü taraf bir ülkeye aktarılan kişisel verilere sağlanması gereken koruma seviyesi ne olmalıdır? SCC Kararı’na dayanarak üçüncü bir ülkeye aktarılan verilere sağlanan koruma seviyesini değerlendirirken hangi hususlar dikkate alınmalıdır? Standart sözleşme maddelerinin veri aktaran ve veri alan arasında uygulanabilir olması ve üçüncü taraf ülkelerin kamu kuruluşlarını bağlayıcı olmaması, standart sözleşme maddelerinin yeterli koruma sağlamasını imkansız hale getirir mi?
Gizlilik Kalkanı (Privacy Shield): Gizlilik Kalkanı (Privacy Shield) Kararı, ABD’nin uygun seviyede bir koruma sağladığı gerekçesiyle veri koruma otoriteleri ve üye devletlerin mahkemeleri için bağlayıcı bir uygulama mıdır? Eğer öyle ise, Gizlilik Kalkanı (Privacy Shield) Kararı’nın SCC Kararı’na dayanılarak ABD’ya aktarılan verilere sağlanan korumanın uygunluğuna ilişkin değerlendirmeye nasıl bir etkisi vardır?

Adalet Divanı, Schrems II Kararı’nı 16 Temmuz 2020 tarihinde yayınladı ve yukarıdaki sorulara aşağıdaki şekilde cevap verdi.

Veri Koruma Seviyesi Kriterlerine İlişkin:

Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) (“GDPR”) uyarınca AB Komisyonu tarafından verilmiş bir uygunluk kararının olmadığı üçüncü taraf ülkelere veri aktarımı ancak (i) veri sorumlusu veya veri işleyenin ‘uygun koruma’ sağlaması, (ii) ilgili kişilerin haklarını kullanmasının mümkün olduğu ve (iii) etkili yasal çözümlerin mevcut olması halinde yapılabilir. AB Komisyonu tarafından alınan SEC Kararı’nın ekinde yer alan standart veri koruma maddeleri ile söz konusu ‘uygun koruma’ sağlanabilir.

Kişisel verilerin üçüncü taraf ülkelere aktarılabilmesi için ilgili kişilere GDPR uyarınca AB’de teminat altına alınan korumaya eşdeğer bir koruma sağlanmış olmalıdır.

Veri koruma seviyesinin uygunluğu değerlendirilirken aşağıdaki hususlar dikkate alınmalıdır:

Veri işleyen ve veri sorumlusu arasındaki sözleşme maddeleri,
Verilerin aktarıldığı üçüncü taraf ülkenin kamu kuruluşlarının aktarılan veriye erişimi,
Veri aktarılan üçüncü taraf ülkenin hukuk sistemi.

Veri Koruma Otoritesinin Yetkilerine İlişkin:

Adalet Divanı, yetkili bir veri koruma otoritesinin alacağı tutumu söz konusu kişisel veri aktarımının koşullarını göz önünde bulundurarak belirlemekte yetkili olduğunu söylemekle beraber her türlü koşulda GDPR’ın tam olarak uygulanması için üzerine düşen yükümlülükleri yerine getirmekle mesul olduğunun da altını çiziyor.

2016/2297 sayılı Uygulama Kararı uyarınca SCC Kararı, veri koruma otoritelerinin ilgili veri aktarımının AB veya ulusal veri koruma kanunlarını ihlal ettiğini düşünmeleri halinde veri akışını durdurma veya yasaklama yetkilerini ortadan kaldırmaz. Ancak yetkili veri koruma otoritesi AB Komisyonu’nun üçüncü taraf bir ülke ile ilgili verdiği uygunluk kararına da uymakla yükümlüdür. Schrems Kararı’na gönderme yapılarak, üye devletler ve onların kurumlarının Adalet Divanı tarafından geçersiz kılınmadığı sürece AB Komisyonu’nun uygunluk kararlarına aykırı önlemler alamayacakları belirtiliyor.

Yukarıda belirtilenlerle beraber Adalet Divanı, Schrems II Kararı’nda AB Komisyonu tarafından alınmış bir uygunluk kararının, kişisel verileri üçüncü bir ülkeye aktarılmış veya aktarılabilecek ilgili kişinin veri işlemeye ilişkin haklarının korunmasıyla ilgili şikayette bulunma hakkını engelleyemeyeceğine de hükmediyor ve böyle bir durumda, gerekli olması halinde yetkili veri koruma otoritesinin uygunluk kararının geçerliliği ile ilgili ön karar alınması için ulusal mahkemelere başvuruda bulunması gerektiğini ekliyor.

Sonuç olarak, Adalet Divanı’nın bu soruya cevabı “AB Komisyonu’nun geçerli bir uygunluk kararı yoksa yetkili veri koruma otoritesi standart sözleşme maddelerine dayanarak üçüncü ülkeye yapılan veri aktarımını, sözleşme maddelerinin söz konusu üçüncü taraf ülkede uygulanamayacağı ve AB mevzuatının ön gördüğü veri korumasının başka yollarla sağlanamayacağı sonucuna varırsa, durdurmalı veya yasaklamalıdır” şeklinde oluyor.

Standart Sözleşme Maddeleri ve SCC Kararı’na İlişkin:

Standart sözleşme maddeleri uygun seviyede koruma sağlamanın yollarından biri olmakla beraber veri aktaran veri sorumlusu veya veri işleyen uygun korumayı temin etmek için gerekli olan ilave önlemleri de almalıdır. Eğer, AB’de yerleşik bir veri sorumlusu veya veri işleyen uygun veri korumasını temin etmek için ilave önlemler alamıyorsa, yetkili veri koruma otoritesi ilgili üçüncü taraf ülkeye yapılan veri aktarımını askıya almalı veya sonlandırmalıdır. Özellikle, ilgili üçüncü taraf ülkenin kanunlarının verinin aktarıldığı tarafa standart sözleşme maddelerine aykırı yükümlülükler yüklediği durumlarda veri koruma otoritesi devreye girmelidir.

Buradan yola çıkarak, Adalet Divanı, standart sözleşme maddelerinin üçüncü taraf ülkelerin kurumları için bağlayıcı olmamasının, kararın geçerliliğini etkileyecek başka bir bulgu olmadığından, tek başına SCC Kararı’nın geçerliliğini etkilemeyeceği sonucuna varıyor. SCC Kararı ve standart sözleşme maddeleri geçerliliğini koruyor.

**Gizlilik Kalkanı’na (Privacy Shield) İlişkin:**

Gizlilik Kalkanı (Privacy Shield) Kararı uyarınca “Birleşik Devletler, Avrupa Birliği’nden Birleşik Devletler’de bulunan ve AB-ABD Gizlilik Kalkanı kapsamında olan organizasyonlara aktarılan kişisel veriler için uygun seviyede koruma sağlamaktadır”. AB Komisyonu’nun ABD’nin uygun seviyede koruma sağladığına hükmeden Gizlilik Kalkanı (Privacy Shield) Kararı üye devletlerin veri koruma otoriteleri için bağlayıcıdır. Adalet Divanı, karar geçerli olduğu sürece bir veri koruma otoritesinin ABD’nin uygun seviyede koruma sağlamadığı gerekçesiyle Gizlilik Kalkanı’na uyan bir organizasyona yapılan veri aktarımını askıya alamayacağını veya yasaklayamayacağını belirtiyor.

Bununla beraber, yukarıda da değinildiği gibi yetkili bir veri otoritesine bir uygunluk kararının geçerliliğinin sorgulandığı bir şikayette bulunulması ve veri koruma otoritesinin de ilgili şikayette yer alan iddiaları yerinde bulması halinde ilgili kararın geçerliliği ile ilgili Adalet Divanı’dan ön karar istenmesi için ulusal mahkemelere başvurmalıdır.

Adalet Divanı, Schrems II Kararı’nda kişisel verilerin, verinin nasıl kullanılacağından bağımsız olarak resmi otoritelere aktarımının Bildirge’de düzenlenen temel haklara müdahale sayıldığına karar veriyor. Bildirge’de tanınan hak ve özgürlüklere dair kısıtlamalar kanunda düzenlenmiş olmalı ve orantılılık ilkesine uygun olarak sadece AB tarafından tanınan genel çıkar amaçlarına veya diğerlerinin hak ve özgürlüklerinin korunması ihtiyacına uygun olmalıdır.

GDPR uyarınca AB Komisyonu üçüncü taraf bir ülkedeki koruma seviyesinin uygunluğunu değerlendirirken kişisel verileri aktarılan ilgili kişiler için “ilgili kişinin etkili ve yasal olarak uygulatılabilir haklarını” dikkate almalıdır. ABD’de kullanılan gözetleme programları yabancı istihbaratın kullanımı ile ilgili herhangi bir kısıtlama öngörmediği gibi ABD vatandaşı olmayan fakat bu programlar tarafından hedeflenen kişiler açısından herhangi bir güvence sağlamamakta, ilgili kişilerin yetkililere karşı mahkemede öne sürebilecekleri hakları bulunmamaktadır. Dolayısıyla, Gizlilik Kalkanı (Privacy Shield) Kararı, GDPR’ a aykırı olarak Bildirge’den kaynaklanan koruma seviyesine eş değer bir koruma sağlayamamaktadır.

Bunları dikkate alarak, Adalet Divanı, AB Komisyonu’nun, Gizlilik Kalkanı (Privacy Shield) Kararı’nı verirken GDPR’ın gerekliliklerini göz ardı ettiği sonucuna vararak Gizlilik Kalkanı (Privacy Shield) Kararı’nı geçersiz kılıyor. Gizlilik Kalkanı (Privacy Shield) AB’den ABD’ye yapılan ve yapılacak kişisel veri aktarımları için dayanak olmaktan çıkıyor.

^[1] The Court of Justice of the European Union

^[2] Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)

^[3] Standard Contractual Clauses Decision https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087

^[4] Charter of Fundamental Rights of the European Union

Veri Koruma Seviyesi Kriterlerine İlişkin:

Veri Koruma Otoritesinin Yetkilerine İlişkin:

Standart Sözleşme Maddeleri ve SCC Kararı’na İlişkin:

**Gizlilik Kalkanı’na (Privacy Shield) İlişkin:**

Bize Yazın

Hizmetler

Önerilen Yazılar

FinTech Alanında Elektronik Sözleşmelerin Hukuki Çerçevesi: Türkiye ve Avrupa’da Geçerlilik ve İcra Edilebilirlik

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Startup Yatırımları: Yatırımcı ve Girişimcinin El Kitabı

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Hakkında Bilmeniz Gerekenler

Ters Hak Ediş (Reverse Vesting) Nedir?

Sınırda Karbon Düzenleme Mekanizması (CBAM) ve Türkiye Üzerinde Etkileri

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

Due Diligence ve Data Room Hakkında Bilmeniz Gereken Temel Unsurlar

Finansmana Hızlı Erişim Yöntemi Olarak Paya Dönüştürülebilir Borç (Convertible Debt)

İletişim

Veri Koruma Seviyesi Kriterlerine İlişkin:

Veri Koruma Otoritesinin Yetkilerine İlişkin:

Standart Sözleşme Maddeleri ve SCC Kararı’na İlişkin:

Gizlilik Kalkanı’na (Privacy Shield) İlişkin:

Bize Yazın

Footer

Hizmetler

Önerilen Yazılar

İletişim

LINKEDIN

**Gizlilik Kalkanı’na (Privacy Shield) İlişkin:**