EU GDPR ve UK GDPR Kapsamında Sınır Ötesi Veri Aktarımı Etki Değerlendirmesi
EU GDPR Kapsamında Kişisel Verilerin Aktarılması
GDPR madde 44 ve 50, kişisel verilerin üçüncü taraflara veya uluslararası kuruluşlara aktarılmasını ele almaktadır. Avrupa Komisyonu’nun “Yeterlilik Kararı”, devam eden bir uluslararası kişisel veri aktarımı konusunda yasallığını belirlemek için bakılacak ilk yerdir.
Bir yeterlilik kararı olmadan, veri sorumlusu veya veri işleyen, veri sahibine uygun korumalar sağlayarak üçüncü bir ülkedeki veri koruma eksikliğini telafi etmek için adımlar atmalıdır. Bağlayıcı şirket kurallarının benimsenmesi, Komisyon tarafından yayınlanan standart veri koruma hükümleri, bir denetim otoritesi tarafından kabul edilen standart veri koruma klozları veya bir denetim organı tarafından onaylanan sözleşme klozları, kabul edilebilir önlemlerin birkaç örneğidir.
Transfer Etki Değerlendirmesi – TIA Nedir?
Gizlilik alanında, “Transfer Etki Değerlendirmesi” (TIA) nispeten yeni bir kavramdır. Avrupa Komisyonu tarafından Haziran 2021’de yayınlanan yeni standart sözleşme maddelerinin (SCC) 14. Maddesi, bir TIA gerçekleştirme gerekliliğini belirlemektedir.
Kişisel veri aktarımı süreçlerinde bir TIA, bir veri denetleyicisi veya veri işlemcisi tarafından Komisyon tarafından yeterlilik kararına konu olmayan Avrupa Ekonomik Alanı dışındaki bir ülkeye yapılan bir transferin etkisinin ve güvenlik etkilerinin değerlendirilmesidir.
Bir transfer etki değerlendirmesi (TIA), aşağıdakileri değerlendirmek için kuruluşlar tarafından yapılmalıdır:
- Üçüncü ülke devlet kurumlarının erişim taleplerinin kullanılabilirliği;
- Üçüncü ülkenin hukuk sistemi;
- Üçüncü ülkenin hukuk sistemini fiilen uygulaması;
- Kuruluşların devlet erişim taleplerini reddetme yetkisi varsa;
- Yasal olarak bağlayıcı uluslararası anlaşmalar (108. Sözleşme gibi) imzalanmışsa;
- Gizlilik ve veri koruma için ayrı bir denetim otoritesi kurulmuşsa;
- Veri sahipleri için mevcut yasal yollar varsa ve bu çözüm yollarının ulusal sınırların ötesine ne ölçüde uzandığı.
Bir TIA, kuruluşlara güvendikleri aktarım aracının aktarımın özel koşullarında etkili olup olmayacağını belirlemede yardımcı olabilir, ancak GDPR kapsamında bulunanlara kabaca eşdeğer bir veri koruma seviyesini garanti etmek için gerekli olabilecek ek adımları da vurgulayacaktır.
Birleşik Krallık – UK GDPR
Kişisel veri aktarımı süreçlerinde Birleşik Krallık’ta da yapmanız gereken önemli işlemler bulunmaktadır. Madde 46 transfer mekanizmasına bağlıysanız risk transfer değerlendirmesi yapmalısınız. Bu risk değerlendirmesi, Birleşik Krallık veri koruma çerçevesi kapsamındaki bireyler için ilgili korumaların, aktarımın koşulları ve seçtiğiniz Madde 46 aktarım mekanizmasının uygulanması göz önüne alındığında tehlikeye girip girmeyeceğini belirlemenize yardımcı olacaktır.
Transfer Risk Değerlendirmesi – TRA Nedir?
Bir TRA yürüterek, Madde 46 devir mekanizmasının, kısıtlı transferinizin özel koşullarındaki kişiler için gerekli korumaları ve etkili, uygulanabilir hakları sunacağından emin olabilirsiniz.
TRA’nızın dikkate alması gereken iki ana risk kategorisi vardır:
• Hedef ülkelerdeki bireylerin haklarına, bilgiye erişimi olan ancak Madde 46 aktarım prosedürüne tabi olmayan üçüncü tarafların, özellikle de hükümet ve kamu kurumlarının oluşturduğu tehditler,
• 46. maddede tanımlanan devir sürecinin uygulanmasına yönelik zorluklardan kaynaklanan insan haklarına yönelik tehditler.
TRA Ne Zaman Yapılmalıdır?
Kısıtlı bir kişisel veri aktarımı gerçekleştiriyorsanız ve IDTA veya BCR’ler de dahil olmak üzere Madde 46 aktarım yöntemlerinden birini kullanmak istiyorsanız, bir TRA gerçekleştirmeniz gerekir.
Kaynakça: https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2847
Ayrıca bakınız; AB-ABD Veri Aktarımında Son Düzlük: Gizlilik Kalkanı 2.0
GDPR Uyum hizmetlerimiz kapsamında daha ayrıntılı bilgi için iletişime geçebilirsiniz.
