Avrupa Komisyonu, AB-ABD Veri Gizliliği Çerçevesine (AB-ABD DPF) ilişkin uzun süredir beklenen yeterlilik kararını kabul etti. Kararı buradan okuyabilirsiniz. | Prighter
Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Picture

AB Komisyonu, AB-ABD Veri Gizliliği Çerçevesi için bir yeterlilik kararı kabul etti

Charlotte Mason

Avrupa Komisyonu, AB-ABD Veri Gizliliği Çerçevesi (EU-U.S. DPF ) ile ilgili uzun süredir beklenen yeterlilik kararını kabul etti.

Bu, 10 Temmuz 2023 itibariyle, AB’den ABD’ deki** AB-ABD DPF’ye** katıldığı onaylanmış kuruluşlara kişisel veri aktarımlarının, herhangi bir ek aktarım aracına (ör. SCC’ler veya BCR’ler) dayanmaya gerek kalmadan ve bir aktarım etki değerlendirmesi yapmak veya başka tamamlayıcı tedbirleri değerlendirmek zorunda kalmadan bu yeterlilik kararına dayandırılabileceği anlamına gelmektedir.

Kararın arka planı

AB-ABD DPF, Avrupa Adalet Divanı’nın (ABAD) Temmuz 2020’de aldığı kararla (C-311/2 “Schrems II”) kişisel verilerin AB’den ABD’ye aktarılmasına yönelik bir mekanizma olarak geçersiz kıldığı Gizlilik Kalkanı Çerçevesi’nin yerine geçmiştir. Bu kararda ABAD, ABD’deki veri alıcılarının AB’de sunulanlara esasen eşdeğer bir veri koruma standardı sağlayabilmesini engelleyen ABD yasalarıyla ilgili önemli sorunlar tespit etmiştir. Bu sorunlar arasında, ABD istihbarat kurumlarının Yabancı İstihbarat Gözetim Yasası’nın 702. bölümü (F ISA 702 ) ve 12333 sayılı İcra Emri kapsamında, AB’deki veri sahipleri için uygun gözetim veya yasal telafi mekanizmaları olmaksızın kişisel verilere erişme konusundaki geniş kapsamlı yetkileri de yer almaktadır.

Ekim 2022’de Başkan Biden, ABD istihbarat kurumlarının verilere erişimini ulusal güvenliği korumak için gerekli ve orantılı olanla sınırlamak için yeni bir dizi kural ve bağlayıcı güvence oluşturan ve ABD istihbarat kurumlarını yeni gizlilik ve sivil özgürlükler standartlarının etkili bir şekilde denetlenmesini sağlamak için prosedürler benimsemeye yönlendiren ‘Amerika Birleşik Devletleri Sinyal İstihbarat Faaliyetleri için Güvencelerin Artırılması’ konulu 14086 sayılı İdari Emri (EO) imzaladı. Ayrıca, AB’deki bireylerin ABD istihbarat kurumlarının erişimiyle ilgili şikayetlerini araştırmak ve çözmek için yeni kurulan ve bağımsız bir Veri Koruma İnceleme Mahkemesi de dahil olmak üzere iki kademeli yeni bir tazminat sistemi oluşturdu.

Büyük ölçüde EO 14086’ya dayanan AB-ABD DPF, ABD Ticaret Bakanlığı (DoC) ve Avrupa Komisyonu tarafından ABD kuruluşlarına AB ile tutarlı veri koruması sağlarken Avrupa Birliği’nden ABD’ye kişisel veri aktarımları için güvenilir mekanizmalar sağlamak üzere geliştirilmiştir.

AB-ABD Gizlilik Çerçevesi nasıl çalışır?

Çerçeveden faydalanmak için ABD merkezli kuruluşlar, AB-ABD DPF’nin temel gizlilik ilkelerine uyma taahhütlerini belgelendirmelidir. Bu ilkeler büyük ölçüde amaç sınırlaması, veri doğruluğu, veri minimizasyonu ve güvenlik gibi ilkeler de dahil olmak üzere AB GDPR’den gelen kavramlardan oluşmaktadır. Hassas kişisel verileri işleyen ABD kuruluşları, bu tür bilgileri korumak için özel önlemler almalıdır. Çerçeve’nin şeffaflık yükümlülükleri, sertifikalı kuruluşların gizlilik bildirimleri aracılığıyla katılımlarını kamuya açık bir şekilde teyit etmelerini ve diğer bilgilerin yanı sıra AB bireylerinin tazminat haklarını ortaya koymalarını gerektirmektedir.

Sertifikasyon, Veri Gizliliği Çerçevesi web sitesi üzerinden çevrimiçi olarak yapılabilmektedir. Süreç kendi kendini belgelendirme şeklinde olsa da, her başvuru DoC tarafından onaylanmalıdır ve gözden geçirilip kabul edilene kadar aktif değildir. Yeniden belgelendirme, Gizlilik Kalkanı’nda olduğu gibi kuruluş büyüklüğüne göre derecelendirilen geçerli ücretlerin ödenmesiyle birlikte yıllık olarak gereklidir. Sertifika almak isteyen kuruluşlar için temel gereklilikler burada bulunabilir. Başvuru süreci şu anda açıktır, ancak kaç kuruluşun kaydolmak için acele edeceği ve bunun DoC’de başvuruların incelenmesi ve onaylanması açısından ne gibi bir yığılma yaratabileceği henüz belli değildir.

Standart Sözleşme Maddeleri (SCC’ler) ne olacak?

AB-ABD DPF kapsamında belgelendirme gönüllülük esasına dayanmaktadır. AB-ABD DPF katılımcısı olmayan ABD merkezli kuruluşlara yapılan aktarımlar yeterlilik kararına dayandırılamaz ve bu nedenle ihracatçının SCC’ler veya Bağlayıcı Şirket Kuralları gibi uygun koruma tedbirlerini uygulamaya koyması ve SCC’leri kullanırken aktarım etki değerlendirmeleri (TIA) yapması gerekmeye devam edecektir. Bununla birlikte, Avrupa Veri Koruma Kurulu (EDPB) yakın zamanda*“ABD Hükümeti tarafından ulusal güvenlik alanında uygulamaya konulan tüm güvencelerin (tazminat mekanizması dahil), kullanılan aktarım aracından bağımsız olarak ABD’ye aktarılan tüm veriler için geçerli olduğunu”* söyledi. Bu, bir TIA yürütürken ve seçilen 46. Madde aktarım aracı olarak SCC’lerin etkinliğini değerlendirirken, AB’den ABD’ye veri ihraç eden bir şirketin Komisyon tarafından yeterlilik kararında yürütülen değerlendirmeyi dikkate alabileceği anlamına gelir. Bu noktada, ABD veri transferleri için SCC’ler kullanılırken hala ek güvencelere ihtiyaç duyulup duyulmadığı bir soru işareti olarak kalmaktadır, ancak EDPB’nin kılavuzu, ABD yasalarında yapılan reformların, ABD merkezli şirketlere aktarılan verilere verilen koruma düzeyinin değerlendirilmesi söz konusu olduğunda SCC’lere güvenmeye devam edenlere fayda sağlayacağını kesinlikle göstermektedir.

AB-ABD Gizlilik Kalkanı Çerçevesi ne olacak?

DoC, sertifikalarını koruyan Gizlilik Kalkanı katılımcılarının AB-ABD DPF’ye hemen güvenebileceklerini doğruladı. Bu kuruluşların, AB-ABD DPF ilkelerine (Gizlilik Kalkanı ilkelerini yakından takip eden) bağlı kaldıklarından emin olmaları ve daha da önemlisi, gizlilik bildirimlerini 10 Ekim 2023 tarihine kadar AB-ABD DPF’ye ve ilkelerine güvendiklerini yansıtacak şekilde güncellemeleri gerekecektir. Gizlilik Kalkanı’na atıfta bulunan tüm veri işleme anlaşmalarının da değiştirilmesi gerekecektir.

AB-ABD DPF’ye geçiş, bir kuruluşun yeniden belgelendirme son tarihini değiştirmeyecektir (yani, Gizlilik Kalkanı yeniden belgelendirmeleri ileriye dönük olarak AB-ABD DPF için geçerli olmaya devam edecektir). AB-ABD DPF ilkelerine uymak istemeyen kuruluşlar bir geri çekilme sürecini tamamlamalıdır. Sertifikasyonun geçerliliğini yitirmesine izin vermek geri çekilme olarak sayılmayacak ve yine de Gizlilik Kalkanı kapsamında yaptırım uygulanmasına neden olabilecektir.

Birleşik Krallık ve İsviçre ne olacak?

AB-ABD DPF’sine ilişkin AB yeterlilik kararı Birleşik Krallık’ın yararına değildir. Birleşik Krallık geçtiğimiz ay Birleşik Krallık-ABD Veri Köprüsü taahhüdünü yineledi ve ABD’li kuruluşlar halihazırda AB-ABD DPF’nin Birleşik Krallık Uzantısı için sertifika alabilirler, ancak bu tür kuruluşlar Birleşik Krallık tarafından bir yeterlilik kararı kabul edilene kadar Birleşik Krallık ve Cebelitarık’tan ABD’ye veri aktarımları için Birleşik Krallık Uzantısına güvenemeyeceklerdir. Birleşik Krallık Uzantısına katılım için öncelikle AB-ABD DPF’ye katılım gerekmektedir.

İsviçre-ABD DPF, ayrı bir kendi kendine sertifikasyon gerektiren bağımsız bir çerçevedir (AB-ABD DPF için sertifikasyon ile aynı süreci takip etmesine rağmen). Ayrıca, İsviçre-ABD Gizlilik Kalkanı Çerçevesi üyelerinin İsviçre-ABD DPF’ye geçiş yapabilmeleri ve katılmak isteyenlerin de bunu yapabilmeleri için halihazırda faaliyettedir. Ancak, Birleşik Krallık’ta olduğu gibi, İsviçre’nin yeterlilik kararı açıklanana kadar İsviçre-ABD DPF’sine dayanarak İsviçre’ye transfer yapılamaz.

Yelkenler fora mı yoksa buzdağları mı görünüyor!

Herkesin aklındaki soru, ABD’ye transferler için bir gizlilik çerçevesine yönelik bu üçüncü girişimin ne kadar süreceği. NOYB, AB-ABD DPF’sine tepkisini ortaya koyarak çok geçmeden yeni bir yasal meydan okuma göreceğimizi ima etti ve Max Schrems son olayları köstebek gününe benzetti:

“Deliliğin tanımının aynı şeyi tekrar tekrar yapıp farklı bir sonuç beklemek olduğunu söylerler. Tıpkı ‘Privacy Shield’ gibi bu son anlaşma da maddi değişikliklere değil, siyasi çıkarlara dayanıyor. Mevcut Komisyon bir kez daha bu karmaşanın bir sonraki Komisyon’un sorunu olacağını düşünüyor gibi görünüyor. FISA 702’nin ABD tarafından bu yıl uzatılması gerekiyor ancak yeni anlaşmanın açıklanmasıyla birlikte AB, FISA 702’de reform yapılmasını sağlayacak gücünü kaybetti.”

AB-ABD DPF’nin gelecekte geçersiz kılınması olasılığı, katılıp katılmamayı değerlendiren kuruluşlar için dikkate alınması gereken bir husus olabilir.