Avrupa Komisyonu 10 Temmuz 2023 tarihinde Avrupa Birliği’ndeki veri sorumlusu ve ya veri işleyenlerin ABD’deki sertifikalı kuruluşlara kişisel veri aktarımına ilişkin kuralları netleştiren AB-ABD Veri Gizliliği Çerçevesini (EU-US Data Privacy Framework “DPF”) kabul etti.
Başkan Ursula von der Leyen şunları söyledi: “Yeni AB-ABD Veri Gizliliği Çerçevesi, Avrupalılar için güvenli veri akışını sağlayacak ve Atlantik’in her iki yakasındaki şirketlere yasal kesinlik getirecektir. Geçen yıl Başkan Biden ile vardığım prensip anlaşmasının ardından ABD, yeni çerçeveyi oluşturmak üzere daha önce benzeri görülmemiş taahhütleri hayata geçirdi. Bugün, vatandaşlarımıza verilerinin güvende olduğuna dair güven sağlamak, AB ve ABD arasındaki ekonomik bağlarımızı derinleştirmek ve aynı zamanda ortak değerlerimizi yeniden teyit etmek için önemli bir adım atıyoruz. Bu anlaşma, birlikte çalışarak en karmaşık meselelerin üstesinden gelebileceğimizi göstermektedir.”
Komisyon, yeni önlem ve uygulamaların Privacy Shield’de var olanlardan çok daha fazlası olduğunu açıklarken, gizlilik aktivisti Max Schrems’in liderliğindeki noyb, Framework’ün büyük ölçüde başarısız Privacy Shield’in kopyası olduğu için itiraz edeceklerini açıkladı.
Çerçeve kapsamında neler belirlenmiştir?
Komisyon, AB-ABD veri transferinin, ABD Ticaret Bakanlığı tarafından yayınlanan Veri Gizliliği Çerçevesi Listesinde yer alan kuruluşlar için yeterli düzeyde koruma sağladığını beyan etmektedir.
Framework’ün, Avrupa Adalet Divanı’nın kararına uyum sağlamak amacıyla, özellikle ABD İstihbarat Servisi’nin AB verilerine erişiminin sadece gerekli ve orantılı işleme ile sınırlı olması ve AB bireylerinin başvurabileceği bir merci olan Veri Koruma İnceleme Mahkemesi’nin (DPRC) kurulması gibi yeni bağlayıcı kurallar açıkladığı belirtiliyor.
Komisyon’un da teyit ettiği üzere, bu yeni rejim kapsamında DPRC, verilerin toplanmasının bu yeni güvencelere aykırı olduğunu tespit etmesi halinde aktarılan verileri silebilecektir.
Yürürlüğe girdiği tarihten bu yana, transatlantik veri transferlerine tabi olan ABD kuruluşlarının listeye dahil edilmesi gerekmekte olup, GDPR’ın 46. Maddesinde belirtilen mekanizmalar uygulanmaksızın işleme faaliyeti yeterlilik kararı kapsamında gerçekleştirilebilecektir.
Verileri aktarılan veri sahiplerinin bu işlemenin DPF’e uygunluğuna itiraz etmeleri halinde bu itirazlarını dile getirmelerine olanak tanıyan çeşitli telafi mekanizmaları bulunmaktadır.
Ulusal güvenlik alanındaki telafi mekanizması, veri sahiplerinin ulusal veri koruma otoritesine sunulacaktır. Bu şikayet EDPB’ye iletildikten sonra, EDPB de şikayeti ABD makamlarına aktaracaktır.
İlkelerin kişisel veri, veri işleme, veri sorumlusu ve veri işleyenleri 2016/679 sayılı Tüzük (AB) ile aynı şekilde tanımladığı görülmektedir.
Sistem bir dizi gizlilik ilkesine dayanmaktadır. Bir kuruluşun sertifika alabilmesi için Federal Ticaret Komisyonu (FTC) veya ABD Ulaştırma Bakanlığı’nın (DoT) soruşturma ve yaptırım yetkileri kapsamına girmesi gerekmektedir ve bu nedenle ilkeler sertifikasyondan hemen sonra geçerli olacaktır. Bu şekilde, ABD şirketleri, verilerin silinmesi – işleme amacı için artık gerekli olmadığı durumlar vb. gibi bir dizi gizlilik yükümlülüğüne uyacaklarını taahhüt edeceklerdir.
Ayrıca, ABD yasal çerçevesinin, ABD kamu makamları tarafından ulusal güvenlik amaçları için belirlenen gerekli ve orantılı ile sınırlı işleme kapsamını belirlemek için çeşitli güvenceler sağladığı temin edilmiştir.
Sonuç olarak Komisyon, bu tür yeni güvencelerin getirildiğini ve işlemenin ABD’nin ulusal güvenlik amaçları ile AB veri sahiplerinin hakları arasında orantılı olacağını ileri sürmüştür.
noyb yeni çerçeveye ilişkin endişelerini dile getiriyor
AB-ABD Veri Gizliliği Çerçevesi’nin kabul edilmesinin hemen ardından Max Schrems şunları söyledi: “Bu yasal pinpon oyunundan bıkmış ve yorulmuş olmamıza rağmen, çekmecede halihazırda bir meydan okuma için çeşitli seçeneklerimiz var. Şu anda bu konunun önümüzdeki yılın başında Adalet Divanı’na geri dönmesini bekliyoruz. Adalet Divanı o zaman yeni anlaşmanın içeriğini gözden geçirirken anlaşmayı askıya bile alabilir. Yasal kesinlik ve hukukun üstünlüğü adına Komisyon’un yaptığı küçük iyileştirmelerin yeterli olup olmadığına dair bir cevap alacağız. Geçtiğimiz 23 yıl boyunca tüm AB-ABD anlaşmaları geriye dönük olarak geçersiz ilan edildi ve işletmelerin geçmişteki tüm veri transferlerini yasadışı hale getirdi – şimdi bu pinpon oyununa iki yıl daha ekleyecek gibi görünüyoruz.”
Noyb, “Geçmişte ABAD, 2015 yılında C-362/14 (“Schrems I”) sayılı kararıyla Safe Harbor olarak adlandırılan Komisyon Kararını ABD gözetim yasaları nedeniyle iptal etmiştir. Noyb, Avrupa Komisyonu’nun 2016 yılında AB-ABD Veri Transferlerine ilişkin “Privacy Shield” adlı Kararı kabul ettiğini ve bu kararın da 2020 yılında ABAD tarafından C-311/18 (“Schrems II”) sayılı kararla büyük ölçüde aynı gerekçelerle geçersiz kılındığını” ifade etmiş.
Komisyon ABD ile varılan anlaşmanın sonucundan memnun olsa da, Çerçeve’ye yakın bir gelecekte – büyük olasılıkla Çerçeve’nin Avrupa Komisyonu tarafından Avrupa veri koruma makamları ve yetkili ABD makamlarının temsilcileriyle birlikte ilk kez gözden geçirilmesinden önce – itiraz edileceği söylenebilir.
