Categories
AVRUPA ADALET DİVANI KARARLARI

Avrupa Veri Koruma Kurulu (“EDPB”) Avrupa Adalet Divanı’nın verdiği Schrems II kararının daha iyi anlaşılması ve belirsizlerin giderilmesi adına SSS’leri cevaplayarak yayınlamıştır. Kararın önemine binaen soruların çevirisi aşağıda yer verilmiştir. Karar linki için tıklayınız.

 

C-311/18 Davası’nda Avrupa Birliği Adalet Divanı’nın kararı hakkında Sıkça Sorulan Sorular

Veri Koruma Komiseri v Facebook Ireland Ltd ve Maximillian Schrems 

23 Temmuz 2020’de kabul edildi

Bu belge, denetim makamlarının sıkça aldıkları bazı soruların cevaplarını sunmayı amaçlamakta ve  Avrupa Veri Koruma Kurulu’nun (EDPB) Avrupa Birliği Adalet Divanı’nın (“Mahkeme”) kararını incelemeye ve değerlendirmeye devam etmesi sonucu yapılacağı analizlerle geliştirilecek ve tamamlanacaktır.

C-311/18 kararına bu link üzerinden, Mahkeme’nin basın açıklamasına ise bu link üzerinden ulaşabilirsiniz.

  • Mahkeme kararında neye hükmetti?

 

  • Mahkeme, yargılamada Avrupa Komisyonu’nun Standart Sözleşme Hükümleri (“SCCs”) Hakkında 2010/87/EC Kararı’nın geçerliliğini değerlendirmiş ve geçerli olduğuna hükmetmiştir. Aslında, Avrupa Komisyonu’nun söz konusu kararının geçerliliği sadece, sözleşmeye bağlı olmaları şartıyla, verilerin aktarılabileceği üçüncü ülkenin yetkililerinin karardaki standart veri koruma maddeleri ile bağlı olmamasına bakılarak sorgulanmaz.

 

Mahkeme, geçerliliğin, 2010/87/EC Kararı’nın, pratikte, Genel Veri Koruma Tüzüğü’nce (GDPR) AB içinde garanti edilen koruma seviyesine esasen eşdeğer seviyede korumayı mümkün kılan etkili mekanizmaları içerip içermediğine bağlı olduğunu; ve bu tür hükümlerin ihlali durumunda kişisel verilerin aktarılmasının askıya alındığı veya yasaklandığı yahut hükümlere uyulmasını imkansız hale getirdiğini sözlerine ekledi.

 

Bu bağlamda, Mahkeme, özellikle, 2010/87/EC Kararı’nın veri ihracatçısı ve veri alıcısına (“veri ithalatçısı”) herhangi bir aktarımdan önce söz konusu koruma düzeyine ilgili üçüncü ülkede uyulup uyulmadığına bakılmaksızın, transfer koşullarını dikkate alınacak şekilde bildirim yükümlülüğü getirdiğini ve 2010/87/ EC Kararı’nın veri ithalatçısının standart veri koruma hükümlerine uymama konusunda veri ihracatçısına bilgi vermesini ve gereken durumlarda bu hükümde sunulanlara ek önlemleri alması gerektiğini, bunun karşısında veri ihracatçısının veri aktarımını askıya alma ve / veya veri ithalatçısı ile sözleşmeyi feshetmek zorunda olduğunu belirtti.

 

  • Mahkeme ayrıca, AB ile Amerika Birleşik Devletleri (ABD) arasında ön karar alma talebine yol açan ulusal uyuşmazlık bağlamındaki söz konusu transferler için Gizlilik Kalkanı Kararı’nın (AB-ABD Gizlilik Kalkanı tarafından sağlanan korumanın yeterliliğine ilişkin 2016/1250 sayılı Karar) geçerliliğini incelemiştir.

 

Mahkeme, ABD iç hukukunun gerekliliklerinin ve özellikle ABD kamu makamlarının ulusal güvenlik dolayısıyla AB’den ABD’ye aktarılan kişisel verilere erişime için kullandıkları belirli programların,  kişisel verinin korunmasına ilişkin AB hukukunun[1] ortaya koyduğu gerekliliklere esasen eşdeğer seviyede olmayan kısıtlamalara yol açtığını ve bu mevzuatın ilgili kişiye ABD makamlarına karşı mahkemelerde dava edilebilir haklar vermediğini değerlendirdi.

 

Verileri bu ülkeye aktarılarak kişilerin temel haklarına bu derece müdahale edilmesinin bir sonucu olarak Mahkeme, Gizlilik Kalkanı yeterlilik Kararını geçersiz ilan etmiştir.

 

2) Mahkeme kararının Gizlilik Kalkanı dışındaki transfer araçları üzerinde etkisi var mıdır?

 

-Üçüncü ülkeler için Mahkeme tarafından belirlenen eşik, genel olarak, Avrupa Ekonomik Bölgesi (AEB)’nden herhangi bir üçüncü ülkeye veri aktarmak için uygulanan GDPR’ın 46. maddesi kapsamındaki tüm uygun güvenceler için de geçerlidir. Mahkeme tarafından atıfta bulunulan ABD kanunu (örneğin Bölüm 702 FISA ve EO 12333), veri aktarımı için kullanılan araca bakılmaksızın, bu mevzuatın kapsamına giren elektronik olarak ABD’ye yapılan her türlü aktarım için geçerlidir[2].

 

3) Aktarımdaki yasal dayanağımı değerlendirmeden ABD’ye veri aktarmaya devam edebileceğim herhangi bir ek süre var mı?

 

-Hayır, Mahkeme Gizlilik Kalkanı Kararı’nı etkilerini sürdürmeksizin geçersiz kılmıştır, çünkü Mahkeme’nin değerlendirdiği ABD yasası AB’ye esasen eşdeğer düzeyde bir koruma sağlamamaktadır. Bu değerlendirmenin ABD’ye yapılacak herhangi bir aktarımda dikkate alınması gerekir.

 

4) Gizlilik Kalkanı’na bağlı bir ABD veri ithalatçısına verileri aktarıyordum, şimdi ne yapmalıyım?

 

-Bu yasal çerçeveye dayalı transferler yasa dışıdır. ABD’ye veri aktarmaya devam etmek isterseniz, aşağıda belirtilen koşullar altında bunu yapıp yapamayacağınızı kontrol etmeniz gerekir.

 

5) ABD’deki bir veri ithalatçısı ile SCCs kullanıyorum, ne yapmalıyım?

 

-Mahkeme, ABD yasalarının (örneğin Bölüm 702 FISA ve EO 12333) esasen eşdeğer bir koruma düzeyi sağlamadığını tespit etmiştir.

 

Kişisel verileri SCC’ler üzerinden aktarıp aktaramayacağınız, transfer koşullarını ve uygulayabileceğiniz ek önlemleri dikkate alarak yapacağınız değerlendirmenizin sonucuna bağlı olacaktır. SCC’lerle birlikte ek önlemler, aktarımı çevreleyen koşulların duruma göre analiz edilmesinin ardından, garanti ettikleri yeterli koruma seviyesine ABD yasalarının etki etmemesini sağlamalıdır.

 

Aktarımın koşulları ve olası ek önlemler dikkate alınarak uygun güvencelerin alınamayacağı sonucuna varırsanız, kişisel verilerin aktarımını askıya almanız veya sonlandırmanız gerekir. Ancak, bu sonuca rağmen veri aktarmaya devam etmek istiyorsanız, yetkili denetleyici kurumunuza[3] bildirmelisiniz.

 

6) ABD’deki bir kuruluş ile Bağlayıcı Şirket Kuralları (“BCR”) uyguluyorum, ne yapmalıyım?

 

  • Verileri aktarılan kişilerin temel haklarına ABD yasaları tarafından oluşturulan müdahale derecesi nedeniyle Gizlilik Kalkanı’nı geçersiz kılan Mahkemenin kararı ve Gizlilik Kalkanı’nın BCR’ler gibi aktarım methodlarıyla aktarılan verilere garanti getirmek için de tasarlandığı göz önüne alındığında, ABD yasalarının da bu aktarım aracından üstün olması dolayısıyla Mahkeme’nin değerlendirmesi BCR bağlamında da geçerlidir.

 

Kişisel verilerin BCR bazında aktarılıp aktarılmayacağı aktarım koşulları ve uygulayabileceğiniz ek önlemleri dikkate alarak yapacağınız değerlendirmenin sonucuna bağlı olacaktır. BCR’lerle birlikte ek önlemler, aktarımı çevreleyen koşulların duruma göre analiz edilmesinin ardından, garanti ettikleri yeterli koruma seviyesine ABD yasalarının etki etmemesini sağlamalıdır.

 

Aktarımın koşulları ve olası ek önlemler dikkate alınarak uygun güvencelerin alınamayacağı sonucuna varırsanız, kişisel verilerin aktarımını askıya almanız veya sonlandırmanız gerekir. Ancak, bu sonuca rağmen veri aktarmaya devam etmek istiyorsanız, yetkili denetleyici kurumunuza[4] bildirmelisiniz.

 

7) GDPR’ın 46. maddesi kapsamındaki diğer transfer araçları ne olacaktır?

 

  • EDPB, SCC’ler ve BCR’ler dışında kalan transfer araçları hakkında Karar’ın sonuçlarını değerlendirecektir. Karar, GDPR’ın 46. maddesindeki uygun güvenceler için öngörülen standartın “temel denklik” olduğunu açıklığa kavuşturmaktadır.

 

Mahkeme tarafından vurgulandığı üzere, 46. madde GDPR’ın V. Bölümünde yer almaktadır, bu doğrultuda bu maddenin “Bu yönetmelikle garanti edildiği üzere gerçek kişilerin koruma seviyesinin zayıflatılmamasını sağlamak adına bu bölümdeki tüm hükümler uygulanacaktır.” şartını ortaya koyan GDPR’ın 44. maddesi ışığında okunması gerektiği unutulmamalıdır.

 

8) ABD’ye veri aktarmak için GDPR’ın 49. Maddesindeki istisnalardan birine güvenebilir miyim?

 

  • GDPR’ın 49. maddedesinde öngörülen muafiyetler temelinde, yine bu maddede belirtilen şartların sağlanmasıyla AEB’den ABD’ye veri aktarımı halen mümkündür. EDPB, bu hüküm ile ilgili kılavuz ilkelere atıfta bulunur[5].

 

Özellikle, veriler veri sahibinin rızasına dayalı olarak aktanldığında, aşağıdaki hususların sağlanması gerektiği unutulmamalıdır:

  • açık,
  • belirli veri aktarımına veya aktarım kümesine özel (veri aktarıcısı, veri toplandıktan sonra gerçekleşse bile aktarım gerçekleşmeden önce özel onay almayı sağlamalıdır) ve
  • özellikle aktarımının olası riskleri konusunda bilgilendirme (yani, veri sahibinin, verilerinin yeterli koruma sağlamayan ve veriler için güvenceler sağlamaya yönelik yeterli güvencenin uygulanmadığı bir ülkeye aktarılmasından kaynaklanan spesifik riskler hakkında da bilgilendirilmesi gerekir).

 

Veri sahibi ile kontrolör arasında bir sözleşmenin ifası için gerekli olan aktarımlarla ilgili olarak, kişisel verilerin yalnızca ara sıra gerçekleştirilen aktarımlarda aktarılabildikleri akılda tutulmalıdır. Veri aktarımlarının “ara sıra” veya “ara sıra olmayan” şeklinde kategorilendirilmesi duruma göre belirlenmelidir. Her halükarda, bu istisnaya, yalnızca sözleşmenin ifası için aktarımın objektif olarak gerekli olması durumunda başvurulabilir.

 

Kamu yararı gerekçesiyle yapılan aktarımlarla ilgili olarak (AB veya Üye Devletlerin[6] yasasında tanınması gerekir), EDPB, bu istisnanın uygulanabilirliği için temel gereksinimin, kurumun niteliği değil, önemli bir kamu yararının bulunması olduğunu ;ve bu istisnanın “ara sıra” olan veri aktarımlarıyla sınırlı olmadığını, bu durumun ise önemli kamu yararı istisnana dayalı veri aktarımlarının büyük ölçekte ve sistematik bir şekilde yapılabileceği anlamına gelmediğini hatırlatır. Aksine, GDPR 49. maddede belirtildiği üzere istisnaların uygulamada “kural” haline gelmemesi gerektiği şeklindeki genel ilkeye saygı gösterilmeli, ancak belirli durumlarla sınırlandırılmalı ve her veri ihracatçısı aktarımın sıkı gereklilik testini sağladığından emin olmalıdır.

 

9) ABD’den başka bir üçüncü ülkeye veri aktarmak için SCC’leri veya BCR’leri kullanmaya devam edebilir miyim?

 

  • Mahkeme, kural olarak SCC’lerin üçüncü bir ülkeye veri aktarmak için kullanılabileceğini, ancak Mahkeme tarafından ABD’ye aktarım için belirlenen eşiğin herhangi bir üçüncü ülke için geçerli olduğunu belirtmiştir. Aynı şey BCR’ler için de geçerlidir.

 

Mahkeme, pratikte uyulması SCC’ler veya BCR’ler tarafından karşılanan garantilerin sağlanıp sağlanamayacağını belirlemek için ilgili üçüncü ülkede AB yasalarının gerektirdiği koruma düzeyine uyulup uyulmadığını değerlendirmenin veri ihracatçısı ve veri ithalatçısının sorumluluğunda olduğunu vurgulamıştır. Durum böyle değilse, AEB’de sağlanan koruma düzeyine esasen eşdeğer bir koruma için ilave önlemler sağlayıp sağlayamayacağınızı ve üçüncü ülke yasalarının ilave önlemlerin etkilerini etkileyip etkilemeyeceğini değerlendirmelisiniz.

 

  • Ülke mevzuatının bildirimi ve bunun değerlendirilmesi konusunda işbirliği yapmak için veri ithalatçınızla iletişim kurabilirsiniz. Üçüncü ülkedeki veri ithalatçısı veya siz, SCCs veya BCR’lara göre aktarılan verilerin AEB’de garanti edilene esasen eşdeğer bir koruma düzeyi sağlamadığını saptarsanız, aktarımları derhal askıya almalısınız. Bunu yapmamanız durumunda, yetkili denetleyici kurumunuzu[7]Mahkeme tarafından vurgulandığı üzere, üçüncü ülkeye veri aktarımından önce, aktarım yapılacak üçüncü ülkenin veri ihraç edene standart veri koruma hükümlerine veya BCR’a uyma imkânı sunup sunmadığı konusunda kendilerini değerlendirmek veri ithal ve ihraç edenlerin asli yükümlülüğüdür, düzenleme ve denetleme otoriteleri de GDPR’ın işleyişinde ve üçüncü ülkelere aktarım hakkında verilerek diğer kararlarda anahtar role sahiptirler.

 

Mahkeme tarafından istenildiği üzere, farklı kararlardan kaçınmak için, özellikle üçüncü ülkelere transferin yasaklanması gerektiğinde tutarlılığın sağlanması için onlar EDPB ile daha fazla çalışacaklardır.

 

10) Verileri üçüncü ülkelere aktarmak için SCCs veya BCR’lar kullanıyorsam ne tür ek önlemler alabilirim?

 

  • Almanız gereken ek önlemler, olay bazında aktarımın tüm koşulları dikkate alınarak ve üçüncü ülke hukuku değerlendirilerek yeterli koruma bulunup bulunmadığının kontrolünün sağlanması amacıyla planlanmalıdır.

 

Mahkeme, bu değerlendirmeyi yapmanın ve gerekli ek önlemleri sağlamanın veri ihracatçısı ve veri ithalatçısının birincil sorumluluğu olduğunu vurgulamıştır.

 

EDPB şu anda, SCCs’in veya BCR’ların kendi başlarına yeterli düzeyde garanti sağlamayacağı üçüncü ülkelere veri aktarımı için SCCs’e veya BCR’lara ek olarak sağlanabilecek hukuki, teknik veya örgütsel olabilecek ek önlemlerin türünü belirlemek için Mahkeme’nin kararını analiz etmektedir.

 

  • EDPB, bu ek tedbirlerin neler içerebileceğini araştırmakta olup daha fazla rehberlik sağlayacaktır.

 

11) Veri sorumlusu olduğum veriler için bir veri işleyen kullanıyorum, bu veri işleyenin ABD’ye veya başka bir üçüncü ülkeye veri aktarıp aktarmadığını nasıl bilebilirim?

 

  • GDPR madde 28.3 uyarınca, veri işleyeniniz ile yaptığınız sözleşme aktarımlara izin verilip verilmeyeceğini belirtmelidir (örneğin yönetim amacıyla, üçüncü bir ülkeden verilere erişim sağlamak bile, bir transfer sayılmaktadır.).

 

  • Veri işleyenlere, üçüncü kişi veri işleyenlere veri aktarmak üzere alt veri işleyenleri görevlendirme yetkisi de verilmelidir. Çok çeşitli bilgi işlem çözümlerinin, kişisel verilerin (örneğin, depolama veya bakım amacıyla) üçüncü bir ülkeye aktarılmasını ima edebilmesinden ötürü önem vermeli ve dikkatli olmalısınız.

 

12) GDPR madde  28/3 uyarınca imzalanan sözleşme, verilerin ABD’ye veya başka bir üçüncü ülkeye aktarılabileceğini gösteriyorsa, veri işleyen hizmetlerini kullanmaya devam etmek için ne yapabilirim?

 

  • Verileriniz ABD’ye aktarılabiliyorsa, ne ABD yasalarının aktarım araçları tarafından AEB’de sunulan koruma seviyesine esasen eşdeğer derecedeki koruma seviyesini etkilenmemesini sağlayan ek önlemler alınır ne de GDPR Madde 49 uyarınca istisnalar uygulanır; ABD’ye yapılan aktarımları yasaklamak için tek çözüm sözleşmenizde bir değişiklik yapmak veya ek hükümleri müzakere etmektir.

 

  • Verileriniz başka bir üçüncü ülkeye aktarılabiliyorsa, Mahkeme’nin gereklerine ve beklenen kişisel verilerin korunma düzeyine uygunluğunu kontrol etmek için ayrıca üçüncü ülkenin mevzuatını da doğrulamalısınız. Üçüncü bir ülkeye aktarım için uygun bir zemin bulunamazsa, kişisel veriler AEB bölgesi dışında aktarılmamalı ve tüm işleme faaliyetleri AEB’de gerçekleştirilmelidir.

 

 

Avrupa Veri Koruma Kurulu adına

Başkan

Andrea Jelinek

[1] Mahkeme, ABD kamu makamlarının AB’den ABD’ye ulusal güvenlik amacıyla aktarılan kişisel verilere erişimini sağlayan bazı gözetim programlarının, ABD makamlarına verilen güç konusunda herhangi bir sınırlama getirmediğinin veya potansiyel olarak hedeflenmiş ABD dışındaki kişiler için garantilerin sağlanmadığının  altını çizmektedir.

[2] Bölüm 702 FISA, EO 12 333, elektronik iletişime taraf olan bir kişinin rızası olmadan “kamuya açık olmayan bir iletişimin elektronik yollarla elde edilmesi” olarak tanımlanan elektronik gözetim düzenlemesi veya iletişim yerinde gözle görünür bir kişinin rızası olmaksızın, telsiz yön bulma ekipmanının sadece bir vericinin yerini belirlemek için kullanılması halini içermeyen elektronik olmayan bir iletişim durumunda”(3.4; b)) dahil olmak üzere tüm “elektronik iletişim servis sağlayıcısı” için geçerlidir.

[3] Mahkeme kararının özellikle 145. maddesine ve 2010/87/EU Komisyon kararın’ın 4 (g) maddesine ve ayrıca 2001/497/EC Komisyon Kararı’nın  5 (a) maddesine ve 2004/ / 915 / EC sayılı Komisyon Kararının Ek II (c) bendine bakınız.

[4] Mahkeme kararının özellikle 145. maddesine ve 2010/87 / EU Komisyon Kararının 4 (g) maddesine bakınız. Ayrıca bkz.Bölüm 6.3 WP256 rev.01 (Madde 29 Çalışma Grubu, EDPB tarafından onaylanan ve BCR’lerde bulunacak unsurlar ve ilkeleri içeren bir tablo oluşturan Çalışma Belgesi, http://ec.europa.eu/newsroom/article29/ item-detail.cfm? item_id = 614109) ve Bölüm 6.3 WP257 rev.01 (Madde 29 Çalışma Grubu, EDPB tarafından onaylanan İşlemci BCR’larında bulunacak öğeler ve ilkelerle bir tablo oluşturan, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110).

[5] 2016/679 sayılı Tüzük uyarınca 49. Madde muafiyetlerine ilişkin 25 Mayıs 2018’de kabul edilen EDPB  2/2018 Rehberlerine bakınız,   https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf , s.3.

[6] “Üye Devletlere” yapılan atıflar “AEB Üye Devletleri” ne yapılan atıflar olarak anlaşılmalıdır.

[7] Mahkeme kararının özellikle 145. takririne bakınız. SCCs ile ilgili olarak bakınız 2010/87/EU Komisyon Kararı Madde 4 (g) ve ayrıca 2001/497/EC Komisyon Kararı Madde 5 (a) ve 2004/915/EC Komisyon Kararı Ek Set II (c). BCR ‘larla ilgili olarak bakınız Bölüm 6.3 WP256 rev.01 (EDPB tarafından onaylanmıştır) ve Bölüm 6.3 WP257 rev.01 (EDPB tarafından onaylanmıştır).

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.