[ad_1]
To print this article, all you need is to be registered or login on Mondaq.com.
2016/679 sayılı Genel Veri Koruma
Tüzüğü (“GDPR”)
uyarınca kişisel verilerin Avrupa Ekonomik Alanı
(“AEA”) dışında bulunan
bir üçüncü ülkeye aktarılması,
GDPR’ın 5’inci bölümünde yer alan
koşullara tabidir. Diğer bir deyişle, böyle bir
aktarım için GDPR’ın 5’inci
bölümünde yer alan opsiyonlardan birinin izlenmesi
ya da bu opsiyonlardan birinin uygulama alanı bulması
gerekmektedir.
Bu opsiyonlardan bir tanesi, GDPR’ın 45’inci
maddesi uyarınca verilecek bir yeterli koruma
kararına1 istinaden kişisel verilerin AEA
dışına aktarılmasıdır. Daha evvel,
Avrupa Komisyonu’nun, AEA’dan Amerika Birleşik
Devletleri’ne (“ABD”) kişisel veri
aktarımını sağlayan “Safe
Harbour” isimli kararı mevcuttu ancak bu karar,
Avrupa Birliği Adalet Divanı’nın
“Schrems I” olarak bilinen
kararı2 kapsamında geçersiz
kılındı. Schrems I kararını takiben,
Avrupa Komisyonu’nun “Privacy Shield” isimli
yeterlilik kararı kapsamında AEA’dan ABD’ye
kişisel veri aktarımı mümkün hale
gelmişti ancak bu karar da Avrupa Birliği Adalet
Divanı’nın “Schrems II” olarak
bilinen kararı3 kapsamında geçersiz
hale geldi. Her iki kararda da dikkat çeken husus,
ABD’de kişisel veri sahiplerine GDPR ile eşit
ölçüde koruma sağlanamaması
yönündeki tespitti. Özellikle Schrems II
kararında, Privacy Shield çerçevesinde
aktarılan kişisel verilere ABD’deki kolluk kuvvetleri
ile ulusal güvenlik mercilerinin erişim
sağlayabileceği, ilgili mevzuatta bunu engelleyen ya da
kısıtlayan herhangi bir düzenleme
olmadığı belirtilerek, bu hususa daha da çok
dikkat çekilmiştir.
Hali hazırda, AEA’dan ABD’ye kişisel veri
aktarımına bu aktarıma ilişkin herhangi bir
yeterli koruma kararı yürürlükte
bulunmamaktadır. Bu nedenle, şirketler genel itibariyle
GDPR’ın 5’inci bölümünde
düzenlenen standart sözleşme maddelerine
başvurmaktadır.
13 Aralık 2022 tarihinde, Avrupa Komisyonu tarafından,
AEA ve ABD arasındaki kişisel veri aktarımına
ilişkin olarak taslak bir yeterlilik kararı
(“Taslak Karar“)
yayınlanmış olup4, Taslak
Karar’ın yürürlüğe girmesi ile
birlikte, AEA’daki şirketlerce ABD’deki
şirketlere kişisel veri aktarımı bu karara
istinaden mümkün hale gelecektir.
Taslak Kararı, ABD kolluk kuvvetleri ve ulusal
güvenlik mercilerinin, Taslak Karar kapsamında
aktarılan kişisel verilere hangi koşullar
altında erişebileceğini belirlemekte ve bu
erişimi kamu yararı hedefiyle orantılı ve
amacın gerektiği kadarı ile sınırlı
tutmaktadır.
Ayrıca, Taslak Karar’ın ekinde, ABD Ticaret
Bakanlığı tarafından hazırlanan İlave
İlkeler yer almaktadır.
Taslak Karar ve İlave İlkeler uyarınca, Taslak
Karar kapsamında kendilerine veri aktarılan
başlıca yükümlülükleri
aşağıdaki gibidir:
- Bildirim (Aydınlatma): Veri sahiplerinin
GDPR’da belirtilen yükümlülüklere uygun
olarak aydınlatılmaları gerekir. Bu aydınlatma
ile birlikte, ilgili şirketler Taslak Karar ile
bağlı olduklarını belirtmelidirler. - Seçim Hakkı: İlgili
şirketler, veri sahiplerine, kişisel verilerinin
üçüncü bir tarafa ifşasını
(veri işleyen olarak hareket eden kuruluşlara
ifşalar hariç) veya kişisel verilerinin toplanma
amaçları dışında
kullanılmasını engelleme seçeneği
sunmalıdır. - Sonraki Aktarımlar İçin Hesap
Verebilirlik: Kişisel verilerin
aktarıldığı şirketlerce sonradan
yapılacak aktarımlar, ABD’ye veya başka bir
üçüncü ülkeye yönelik olup
olduğuna bakılmaksızın, yalnızca
sınırlı ve belirli amaçlar için,
üçüncü tarafla yapılan bir
sözleşmeye dayanılarak ve yalnızca
sözleşmenin üçüncü tarafa
İlkelerin gerektirdiği düzeyde koruma
sağlaması durumunda yapılabilmektedir.
İlaveten, veri sorumlusundan veri işleyene böyle bir
aktarım yapıldığında, ek
yükümlülükler olduğu
görülmektedir. - Güvenlik: İlgili şirketler,
kişisel verilerin işlenmesiyle ilgili riskleri ve
kişisel verilerin niteliğini dikkate alarak, kişisel
verilerin kaybolmaması, kötüye
kullanılmaması ve kişisel verilere yetkisiz
erişim yapılmaması, kişisel verilerin yetkisiz
olarak ifşa edilmemesi, değiştirilmemesi ve imha
edilmemesi için makul ve uygun önlemler
almalıdır. - Veri Bütünlüğü ve
Amaçla Sınırlı Olma: Diğer
yükümlülüklerin, yanı sıra,
kişisel veriler, işleme amaçlarıyla ilgili
bilgilerle sınırlandırılmalıdır. Bu
doğrultuda kişisel veriler, toplandıkları
amaç ile uyumlu olmayan veya veri sahibi tarafından
yetkinin dışındaki bir amaç ile bir
şekilde işlenmemelidir. - Erişim: İlgili şirketler,
belirli sınırlı istisnalara tabi olarak, veri
sahiplerinin, kişisel verilerine erişmesine, bunları
düzeltmesine, değiştirmesine veya silmesine olanak
sağlamalıdır. - Sorumluluk: İlgili şirketler
tarafından İlave İlkeler’e uyumu sağlamaya
yönelik bağımsız mekanizmaların
hazırlanması gerektiği belirtilmektedir.
İlave İlkeler ile ilgili dikkat çeken
diğer bir husus; kişisel verinin, GDPR ‘a tabi ve
gerçek kişiye ilişkin kimliği belirli veya
belirlenebilir bilgileri, özel nitelikli kişisel
verilerin ise, GDPR’da belirtilen tanımın
yanında, üçüncü tarafın ilgili
verileri özel nitelikli olarak tanımlaması durumunda
bu verileri de kapsamasıdır. Özel nitelikli
verilerin, toplanma amacı dışındaki farklı
bir amaç için, ancak kişinin açık
rızası ile kullanılabileceği
belirtilmektedir.
Kişisel Verileri Koruma Kurulu’nun
(“Kurul“) karar ve rehberlerinde Avrupa
Birliği mevzuatını sıklıkla göz
önünde bulundurduğu
düşünüldüğünde, ileride
mevzuatta verilerin yurtdışına aktarımı
hususunda yapılabilecek olası bir değişiklik
bakımından Taslak Karar’daki hususlar dikkate
alınabilecektir.
Footnotes
1. Yeterli koruma kararı, Avrupa
Komisyonu tarafından, GDPR uyarınca verilen ve Avrupa
Birliği dışındaki ülkelerin kişisel
verilerin korunmasına ilişkin yeterli koruma
sağlayıp sağlamadığını
gösteren karar anlamına gelmektedir.
2. Avrupa Adalet Divanı, C-362/14
numaralı, 06.10.2015 tarihli Karar (Maximilian Schrems v. Data
Protection Commissioner), https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=59649
3. Avrupa Adalet Divanı, C-311/18
numaralı, 16.07.2020 tarihli Karar (Data Protection
Commissioner v Facebook Ireland Limited and Maximillian Schrems),
https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first∂=1&cid=60115
4. Taslak karar metni, https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
adresinde yer almaktadır.
The content of this article is intended to provide a general
guide to the subject matter. Specialist advice should be sought
about your specific circumstances.
POPULAR ARTICLES ON: Privacy from Turkey
[ad_2]
Source link
