Max Schrems’in Facebook’a ve aslında Güvenlik Kalkanı'na karşı açtığı savaşta ikinci perde açıldı.
Güvenlik Kalkanı Nedir?
AB ile ABD arasında mevcut olan müstesna ticari ilişkilerin güvenle sürdürülebilmesi kapsamında kişisel verilerin serbestçe dolaşımı amacıyla imzalanan ve yalnızca belirli koşullarda AB'den ABD'ye kişisel verilerin aktarılmasını sağlayan çerçeve anlaşmadır.
Olay neydi?
Max Schrems adlı avukat Avrupa Birliği (AB) ile Amerika Birleşik Devletleri (ABD) arasındaki Güvenlik Kalkanı anlaşmasının Avrupa Birliği Veri Koruma Tüzüğü (GDPR)’nün getirdiği koruyucu mekanizmaları altüst ettiğini iddia ediyor. Nitekim ABD ulusal güvenlik yasaları, hangi koruyucu mekanizma olursa olsun, ulusal güvenlik söz konusu olduğunda tüm verilerin ilgili kamu otoriteleri ile paylaşılmasını sağlıyor. Schrems, İrlanda veri koruma otoritesine şikayette bulunmuş, şikayet üzerine açılan davada İrlanda Yüksek Mahkemesi 12 Nisan 2018 tarihinde Avrupa Birliği Adalet Divanı (ABAD)’na on bir adet soru sormuştu.
Sorular neydi?
Özetle, ABD’de geçerli olan iç hukuk düzenlemelerinin AB düzenlemeleri karşısında ne kadar geçerli olduğu; ulusal güvenlik bahanesiyle veri sorumlularından edinilen verilere AB hukukunun yani GDPR’ın uygulanıp uygulanmayacağı; GDPR’da belirtilen koruma mekanizması olan Standart Sözleşme Maddeleri (SCC) çerçevesinde aktarılan verilerin ABD’nin bu iç hukuk düzenlemeleri karşısında ne kadar geçerli olacağı ve bunlara ilişkin genel çerçevelerin belirlenmesi gibi toplam 11 sorudan en önemlileri olarak karşımıza çıkıyor.
Son durum nedir?
ABAD yaklaşık 8 saat süren duruşmada tarafları dinledi. Buna göre divanın sözcüsü ilk raporunu 12 Aralık’da verecek. Mahkemenin kararı 2020 yılında açıklaması bekleniyor.
Ne olabilir?
ABAD, Güvenlik Kalkanı anlaşmasının yetersiz olduğuna hükmedebilir ve bu mekanizmayı iptal edebilir. Bu da büyük bir ticari kaosa yol açabilir.GDPR koruyucu mekanizmalarının gözden geçirilmesi gerekebilir. Bunlardan şirketleri en çok ilgilendiren SCC. Eğer böyle bir durumda SCC mekanizması iptal edilirse bu bizim gibi ülkeleri de etkileyebilir. Nitekim, GDPR’a göre AB’den bizim gibi üçüncü ülkelere yapılan veri transferleri için Kişisel Verilerin Korunması Kanunu’nda belirtilen düzenlenmenin aksine rıza başlı başına yeterli olmuyor. Ek güvenlik tedbirlerinin taahhüt edilmesi veya sözleşme çerçevesinde teminat altına alınması gerekiyor. SCC’ler özellikle Veri Sorumlusu’nun AB’de Veri işleyenin de üçüncü ülkede olduğu durumlarda kullanılıyor. Örneğin, bir AB ülkesi veri sorumlusuna off-shore call center hizmeti verilmesi bu kapsama giriyor.
Standart Sözleşme Maddeleri (SCC) Nedir?
Avrupa Ekonomik Bölgesi’nden dışarıya aktarılan verilerle ilgili olarak Avrupa şirketlerinin üçüncü yani AEB dışı ülkelerdeki şirketlerle imzalaması gereken sözleşme maddeleridir. Söz konusu maddeler Avrupa Komisyonu tarafından belirlenir ve güncellenir. Özellikle Türkiye gibi AB nezdinde güvenli ülke olarak addedilmeyen ülkelere yapılacak veri transferleri konusunda önemli bir mekanizmadır.
Av. Serhat TURAN