Avrupa Komisyonu, biri “Avrupa Birliği/Avrupa Ekonomik Alanı içerisinde mukim veri sorumluları ve veri işleyenler” arasında ve bir diğeri de “kişisel verilerin üçüncü ülkelere aktarılması” amacıyla kullanılmak üzere iki yeni standart sözleşme maddesi grubunu (“Standard Contractual Clauses” veya “SCC”) kabul etti. 4 Haziran 2021 tarihli Komisyon kararı ile kabul edilen SCC’lerin, Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki yeni gereklilikleri ve Avrupa Adalet Divanı’nın (“CJEU”) Schrems II kararında yer alan önemli noktaları kapsayan bir bakış açısıyla Avrupa Veri Koruma Kurulu (“EDPB”), Avrupa Veri Koruma Denetmeni (“EDPS”) ve üye devletlerin temsilcilerinin ortak görüşleriyle oluşturulduğu anlaşılmaktadır.
Bu yeni maddelerin kabul edilmesi ile beraber, Avrupalı işletmelere daha fazla yasal öngörülebilirlik sağlanacağı, özellikle KOBİ’lerin güvenli veri aktarımı gereksinimlerine uyum sağlamalarına yardımcı olacağı ve kişisel verilerin yasal engeller olmaksızın yurt dışına serbestçe hareket etmesine imkan sağlayacağı öngörülmektedir.
Karara konu yeni SCC’ler ile ilgili olarak Avrupa Komisyonu’nun Başkan Yardımcılarından (“Vice Presidency on Values and Transparency”) Věra Jourová görüşlerini şu şekilde ifade etmiştir:
“Avrupa’da şeffaf olmak ve yasal koruma araçları ile beraber kişisel verilerin serbest dolaşımına imkan sağlamak istiyoruz. Modernize edilmiş SCC’lerin, tüm işletmelere hem Avrupa Birliği içerisindeki faaliyetleri hem de uluslararası veri transferleri için veri koruma yasalarına uyum sağlamak noktasında yardımcı olacağı düşüncesindeyiz.”
Halihazırda 95/46 sayılı Veri Koruma Direktifi kapsamında oluşturulmuş önceki tarihli standart sözleşme maddelerini yurt dışına veri transferi düzenlemelerine dahil eden ve yeni SCC’leri kullanmak isteyen veri sorumluları ve veri işleyenler için 18 aylık bir geçiş süresi sağlanmıştır.
GDPR gereklilikleri kapsamında yeni SCC’lere getirilen önemli yenilikler arasında aşağıdakiler sayılabilir:
GDPR ile tam uyumlu güncelleme;
Birbirinden farklı madde setleri yerine çok çeşitli kişisel veri transferi senaryolarını içeren tek bir giriş noktası işlevi kazandırılması;
İkiden fazla tarafa, SCC’lere katılma ve maddeleri kullanma imkanı sunarak karmaşık veri işleme zincirleri için daha fazla esneklik kazandırılması;
Schrems II kararına uyum sağlanabilmesi için atılması gereken farklı adımlara ve gerektiğinde yurt dışı kişisel veri aktarımı gerçekleştirecek işletmelerin alabileceği şifreleme, pseudoynmleştirme gibi olası ek önlemlerin örneklerine yer verilmesi.
*****
Bilindiği üzere SCC’ler standartlaştırılmış ve önceden onaylanmış, model veri koruma maddeleridir. Bu model maddeler, sözleşmeye dayalı düzenlemelere tarafların iradeleri doğrultusunda dahil edilebilir ve tarafların veri koruma gerekliliklerine uyum sağlamalarına olanak sağlar.
16 Temmuz 2020 tarihinde Avrupa Adalet Divanı – CJEU, Avrupa Birliği-ABD Gizlilik Kalkanı’nı (“Privacy Shield”) geçersiz kılarken, kişisel verilerin Avrupa Birliği/Avrupa Ekonomik Alanı dışındaki işletmelere aktarılmasına ilişkin Avrupa Birliği Standart Sözleşme Maddelerinin geçerliliğini onaylamıştı.
Böylece Avrupa Adalet Divanı, gerçekleştirilen bu güncelleme ile GDPR kapsamındaki uluslararası veri akışlarının Avrupa Birliği SCC’lerini temel almaya devam edeceğine ve bunların hangi koşullar altında kullanılabileceklerine daha fazla açıklık getirmiştir.
Kaynak: https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2847
Sizin için ilginizi çekebilecek bir içerik; Yetki Matrisi ve Kişisel Verilerin Korunması