Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”), AB üye devletlerinin veri koruma alanındaki ulusal idari prosedürlerinin birbirlerinden farklılaşması sebebiyle Avrupa Ekonomik Topluluğu genelindeki veri koruma hukuklarının uyumlu hale getirilmesi amacıyla yürürlüğe girmiştir.
Üye devletler bakımından iç hukuka uyarlanması gereği bulunmayan GDPR doğrudan uygulanabilir bir etkiye sahip olmakla birlikte, üye devletlerin kendi iç hukuklarına adapte edilebilmesi bakımından devletlere özgürlük tanıyan 30’dan fazla hükmü bünyesinde barındırması sebebiyle GDPR ile amaçlanan birlik ve teklik yine yakalanamamış olup Tüzüğün üye devletler arasında farklılaşan uyarlamaları pratik sorunları da beraberinde getirmiştir.
Avrupa Komisyonu, “Avrupa Veri Koruma Tüzüğü’nün Uygulanmasına İlişkin Usul Kurallarının Ayrıntılı Olarak Belirlenmesi” adıyla yayınlanan inisiyatifi kapsamında aşağıdakileri beyan etmiştir;
“Bu inisiyatif, sınır ötesi veri aktarımı hallerinde Avrupa Veri Koruma Tüzüğü’nü uygulayan ulusal veri koruma makamları arasındaki iş birliğini kolaylaştıracaktır.
Bu amaçla inisiyatif, ulusal veri koruma makamlarının sınır ötesi veri aktarımı hallerinde uyguladıkları idari prosedürü bazı açılardan uyumlaştıracaktır. Bu durum Tüzük’ün iş birliği ve uyuşmazlık çözümü mekanizmalarının sorunsuz işlemesini destekleyecektir.”
İrlanda Veri Koruma Otoritesi (DPC), İrlanda’nın birçok büyük teknoloji şirketinin Avrupa genel merkezine ev sahipliği yapması sebebiyle kıtadaki çoğu GDPR ihlali vakasını yönetme hakkına sahip olup Komisyonun amacı bu durumu değiştirmektir. İnisiyatif altında belirlenen kurallarla, GDPR madde 60 ve 65 kapsamına giren iş birliği ve uyuşmazlık çözümüne ilişkin hali hazırda yürürlükte olan kuralların açıklığa kavuşturulması ve tamamlanması beklenmektedir.
Avrupa Veri Koruma Kurulu’nun (EDPB) 28 Nisan 2022 tarihli uygulama iş birliğine ilişkin açıklaması uyarınca Yönetim Kurulu üyeleri aşağıdaki hususların verimlilik nedenleriyle ortak soruşturmalar kapsamında sınırlı sayıda Veri Koruma Otoritesi tarafından yürütülebileceği konusunda mutabakata varmıştır;
- Bir dizi niceliksel ve niteliksel kriterin karşılandığı stratejik öneme sahip haller (örneğin, Avrupa Ekonomik Topluluğu’ndaki çok sayıda ilgili kişiyi etkileyen haller, birkaç üye devleti ilgilendiren yapısal ya da tekrarlayan bir soruna ilişkin haller, veri korumanın başka hukuki alanlar kesiştiği haller vb.)
Lider Denetleyici Otorite’nin yönlendirmesi altında, çalışmanın en verimli şekilde ve sabit bir zaman çizelgesi içinde yürütülmesini sağlamak için EDPB nezdinde bir eylem planı oluşturulacaktır.
Veri Koruma Otorite’leri, hızlı ve gayri resmi konsensus oluşturmayı amaçlayan tüm ilgili bilgilerin erken ve sürdürülebilir şekilde paylaşımına özel önem gösterecektir.
Veri Koruma Otoritesi grupları soruşturma ve yaptırım faaliyetlerinde güçlerini birleştirmeye karar verebilir ve çalışmalarını bu gruplar içinde paylaşabilirler. Gerektiğinde, bir EDPB görev gücü oluşturulabilir.
EDPB, madde 62 kapsamındaki ortak soruşturmalar da dahil olmak üzere GDPR’da sağlanan tüm araçların kullanımını kolaylaştıracaktır. Ayrıca ihtiyaç olan durumlarda EDPB görev gücü oluşturulabilir.
EDPB’nin Avrupa Komisyonu’na gönderdiği 10 Ekim 2022 tarihli mektubunda, iş birliği mekanizmasının etkinliğinin en üst düzeye çıkarılması için Veri Koruma Otoriteleri arasında daha fazla uyum sağlanabileceği belirlendi. EDPB Nisan 2022’de kabul edilen açıklaması ile, yakın sınır ötesi iş birliğine yönelik kalıcı taahhüdünü ifade etmiştir.
İş birliği mekanizmasının etkinliğini en üst düzeye çıkarmak için bu tür prosedürel yönlerin uyumlaştırılmasına karar verilmiştir. Bu haller aşağıda belirtilmiştir:
- Prosedürün taraflarının belirlenmesi; şikayetçi ilgili kişinin durumu ve hakları
Bazı üye devletlerde, şikayetçiler prosedürün tarafları olarak kabul edilir ve/veya onların görüşlerinin alınabilmesi için kendilerine belirli haklar verilirken, diğer üye devletlerde bu söz konusu olmayabilir.
Bu süreci bir örnek yapmak için, Lider Denetleyici Otorite’nin sorumlu olduğu durumlarda, şikayetçi ilgili kişiler tarafından söz konusu olan ve ulusal usul kanunlarından kaynaklanan birbirinden farklı muameleler ortadan kaldırılmalıdır.
- Tarafların prosedüre ilişkin hakları
Tarafların tabi olduğu usule ilişkin haklar AB genelinde farklılık gösterdiğinden, GDPR’ın yeknesak uygulaması tarafların usule ilişkin haklarının listelenmesiyle yerine getirilebilir. Bilhassa bu husus, GDPR madde 65(1)(a) kapsamındaki uyuşmazlık çözümü mekanizması açısından yardımcı olabilir.
- Tarafların dosyaya erişimi ve gizlilik
Tarafların yargılama belgelerine erişim hakkı da üye devletler bazında farklı etkilere sahip olup bu husus da hangi belgelerin dosyanın bir parçası olarak kabul edileceğinin belli olmaması nedeniyle GDPR madde 60 kapsamındaki iş birliği mekanizmasını zorlaştırmaktadır.
Bu kapsamda, denetleyici otoritelerin ilgili ve gerekçeli itirazlarını içeren ve resmi hale getirilen görüşler, yorumlar ve tutumlar içeren dökümanların, ticari sırlar gibi işaretli gizli bilgilerle birlikte açıklanması tavsiye edilir.
- Dinlenilme Hakkı
Bu hak, AB Temel Haklar Şartı’nın (EU Charter) 41. Maddesinde yer almakta olup Lider Denetleyici Otorite’nin ile ilgili diğer kurumlarla yapmış olduğu iş birliği uyarınca GDPR’ın 60. Maddesi’nde yansıtılmaktadır.
Dinlenilme hakkının kapsamı, yöntemi ve zamanlamasına ilişkin uyumlaştırılmış kuralların birleştirilmesi gerekmektedir. Mevcut uygulamada, şikayetçinin yalnızca bir karar taslağını inceleyip ona reaksiyon gösterip gösteremeyeceği değil (ve bu yetkinin sağlandığı durumlarda işbu husus öngörülen yaptırımları ve düzeltici tedbirleri içerebilir ya da içermeyebilir), aynı zamanda hakka ilişkin zamanlama da devletler arasında farklılık göstermektedir.
- Prosedürel son tarihler
Şikayetçinin prosedüre “taraf” olarak kabul edilip edilmeyeceği hususu devletler arasında birleştirilmiş değildir ve üye devletlere bağlı olarak şikayetçilere farklı muamele yapılmasını önlemek için prosedürel son tarihler bakımından değişiklikler yapılabilir. GDPR madde 80 (2)’de geçen temsilciye de bireysel şikayetçilerle aynı şekilde muamele edilmelidir.
Hem ulusal düzeyde hem de sınır ötesi düzeyde son tarihi olmayan ve vakıaların sonuçlandırılmasında istenmeyen gecikmelere neden olabilecek pek çok prosedür vardır.
- İlgili denetleyici otoritelerin bilgileri ve yayınlanacak Kurul kararları
Mevcut uygulamada, Üye Devletlerin şeffaflık sorunlarına yol açan farklı kuralları vardır, çünkü bazı Üye Devletler kararların yayınlanmasına izin verirken, diğer Üye Devletler yalnızca temyiz edilemeyen kararları yayınlar.
Girişim şu anda 24 Mart 2023’e kadar geri bildirim sürecindedir ve Komisyon’un 2023’ün ikinci çeyreği için kabul etmesi planlanmaktadır. AB genelinde ulusal yasaların usul kurallarından kaynaklanan karmaşıklık ve gecikmenin ortadan kaldırılacağı ve yasal belirlilik sağlanacağı umulmaktadır. Güçlendirilmiş iş birliğinin getirilmesiyle yürütmenin güvenilirliği ile ve son tarihler getirilecektir.
- İlgili denetleyici otoritelerin bilgileri ve yayınlanacak Kurul kararları
Mevcut uygulamada, üye devletlerin kuralları şeffaflık sorunlarına yol açmaktadır zira bazı üye devletler vermiş olduğu kararların yayınlanmasına izin verirken, diğer üye devletler yalnızca temyiz edilemeyen kararları yayınlamaktadır.
Bu inisiyatifin geri bildirim süreci için son tarihi 24 Mart 2023 olarak belirlenmiş olup, Komisyon tarafından inisiyatifin 2023’ün ikinci çeyreğinde kabul edilmesi planlanmaktadır.
İşbu inisiyatif ile birlikte, AB çapındaki ulusal yasaların usul kurallarından kaynaklanan karmaşıklık ve gecikmenin ortadan kaldırılması ve güçlendirilmiş iş birliğinin getirilmesiyle yürütmenin güvenilirliği ile birlikte yasal kesinliğin sağlanacağı umulmaktadır.
Ayrıca bakınız; https://jurcom.nl/nato-yapay-zeka-stratejisi/
