İKTİSADİ KALKINMA VAKFI
E-Bülteni
İKTİSADİ KALKINMA VAKFI
E-Bülteni
16-31 TEMMUZ 2020

KÜRESEL GÜNDEM: ABAD’ın AB-ABD Gizlilik Kalkanı Anlaşması Kararı: Transatlantik Veri Akışında Yeni Düzen

ABAD’ın AB-ABD Gizlilik Kalkanı Anlaşması Kararı: Transatlantik Veri Akışında Yeni Düzen

AB’nin en yüksek mahkemesi olan AB Adalet Divanı (ABAD), 16 Temmuz 2020 tarihinde sosyal medya platformu Facebook'a karşı açılan Transatlantik Veri İhlali davasını onaylayarak, AB ve ABD arasında uygulanan Gizlilik Kalkanı Anlaşması’nı iptal etti. Kararın gerekçesi AB vatandaşlarının kişisel verilerinin ABD’ye birçok durumda yasadışı bir şekilde gönderilmesi ve şirketlerin Avrupa'dan toplayarak ABD'ye gönderdiği kişisel verilerin AB'de olduğundan daha az korunması olarak açıklandı. Karar taraflar arasında yeni bir uzlaşıya varana kadar  Gizlilik Kalkanı sistemiyle ABD’ye yapılacak veri transferlerinin durdurulacağı anlamına geliyor.

Güvenli Liman Anlaşması ve Dava Süreci

Avusturyalı hukukçu ve aktivist Max Schrems, toplamda 25 bin kişinin desteğini arkasına alarak, ABD Ulusal Güvenlik Kurumu NSA'in veri toplama programı PRIZMA'ya dahil olmaktan AB yasaları altında kullanıcıların verilerini yasadışı kaçırmaya kadar bir dizi suçlama yönelterek 2015 yılında Facebook’a karşı dava açmıştı. Max Schrems, Facebook'tan kitlesel gözetlemeyi ve Facebook kullanıcısı dahi olmayan insanlar hakkında veri toplamayı durdurmasını, herkesin anlayabileceği uygun bir gizlilik politikası benimsemesi istediğini belirtmişti.

Schrems, davayı Facebook'un İrlanda’nın başkenti Dublin'de  bulunan Avrupa merkezine karşı açmıştı. Sosyal medya devinin 1 milyardan fazla kullanıcısının  %80'inin verileri Dublin’deki merkezinde kayıtlı bulunuyor. İrlandalı yetkililerin dava neticesinde herhangi bir adım atmamasından dolayı, dava ABAD’a taşınmıştı.

Açılan dava sonucunda,  AB ile ABD arasında verilerin aktarılmasına ilişkin 2000 yılında yürürlüğe giren Güvenli Liman Anlaşması, ABAD’ın 6 Ekim 2015 tarihinde aldığı karar ile iptal edildi.

AB-ABD Gizlilik Kalkanı Anlaşması Nedir?

Güvenli Liman Anlaşması’nın iptal edilmesinden sonra yine aynı amaca sahip ve anlaşmanın bir üst modeli olma özelliği taşıyan Gizlilik Kalkanı Anlaşması yürürlüğe koyuldu. 12 Temmuz 2016 tarihinde Avrupa Komisyonu tarafından onaylanan Gizlilik Kalkanı Anlaşması ile AB vatandaşlarının kişisel verilerinin korunması ve şirketlere netlik kazandırılması amaçlanıyordu. Anlaşma ile bir yandan kişisel verileri ABD'ye aktarılan tüm AB vatandaşlarının temel hakları korunurken diğer yandan da transatlantik veri iletimine dayanan şirketlere de hukuki netlik kazandırılıyordu.  Anlaşmanın imzalanmasının en önemli nedenlerden biri de Avrupa ve Amerika kıtaları arasındaki veri akışını en iyi ve en güvenli şartlarda yapılmasını sağlamaktı.

Daha sıkı uygulanan güçlü veri koruma standartları, hükümetin verilere erişimine yönelik tedbirler ve şikâyet halinde bireylere dönük rahat telafi imkânı sunAn bu yeni çerçeve ile verileri Atlantik ötesine aktarılan tüketicilerin güveninin yeniden tesis edilmesi amaçlandıBöylece, Avrupalıların kişisel verilerinin korunması için en yüksek standartların uygulamaya koyuluyordu.

AB-ABD Gizlilik Kalkanı aşağıdaki ilkelere dayanıyor:

  • Verileri kullanan şirketlerin üstlendiği kapsamlı yükümlülükler
  • ABD hükümetinin erişimine ilişkin net tedbirler ve şeffaflık yükümlülükleri
  • Bireysel hakların etkili bir şekilde korunması
  • Yıllık ortak gözden geçirme mekanizması

Anlaşma kapsamında ABD Ticaret Bakanlığı, şirketlerin uymayı taahhüt ettikleri kurallara uygun hareket etmesini sağlamak üzere, katılan şirketlere ilişkin düzenli güncelleme ve gözden geçirme çalışmaları yürütüyor. Kurallara uymayan şirketlere yaptırımlar uygulanıyor ve bu şirketler listeden çıkartılıyor. Verilerin üçüncü taraflara iletilmesine ilişkin kuralların sıkılaştırılması ile Gizlilik Kalkanı altındaki bir şirketten veri iletilmesi halinde aynı düzeyde koruma garanti ediliyor.

ABD hükümetinin erişimine ilişkin net tedbirler ve şeffaflık yükümlülükleri ilkesi ile ABD, kolluk kuvvetleri ve ulusal güvenlik alanlarında görev yapan resmi makamların tabi olacakları net sınırlamalar, tedbirler ve denetim mekanizmaları konusunda AB'ye güvence veriyor.

Anlaşmanın üçüncü ilkesi olan bireysel hakların etkin bir şekilde korunması kapsamında verilerinin kötüye kullanıldığını düşünen vatandaşlar, kolaylıkla erişilebilen ve uygun maliyetli birkaç uyuşmazlık çözümü mekanizmasından faydalanabiliyor. Bireyler ayrıca AB vatandaşları tarafından yapılan şikâyetlerin soruşturulmasını ve çözülmesini sağlamak amacıyla Federal Ticaret Komisyonu ile birlikte çalışacak olan Ulusal Veri Koruma Makamlarına da müracaat edebilme hakkına sahip.

Anlaşmanın son ilkesi olan yıllık ortak gözden geçirme mekanizması da, kanunların uygulanması ve ulusal güvenlik sebebiyle veriye erişime dair taahhütler ve güvenceler dâhil olmak üzere, Gizlilik Kalkanı’nın işleyişini inceliyor.  Avrupa Komisyonu ve ABD Ticaret Bakanlığı gözden geçirme sürecini yürütürken ABD ve Avrupa Veri Koruma Makamlarından gelen ulusal istihbarat uzmanları ile işbirliği yapıyor.

Max Schrems’in her iki anlaşmanın da iptal edilmesinde öncü rolü oynamasından dolayı Güvenli Liman Anlaşması Schrems I ve Gizlilik Kalkanı Anlaşması Schrems II diye adlandırılıyor.

Anlaşmanın İptalinin Firmalara Etkileri

Bu karar aynı zamanda AB’de birçok kullanıcısı bulunan ve Gizlilik Kalkanı Anlaşması’nı kullanan başta Facebook, Microsoft, Apple ve Yahoo olmak üzere beş binden fazla şirket için de büyük önem arz ediyor. Gizlilik Kalkanı sistemini kullanan beş binden fazla şirketin %65’i KOBİ’lerden oluşuyor. ABAD tarafından alınan karardan sonra bu tarz şirketlerin gözetim yasalarını ciddi oranda değiştirmesi gerekiyor.

Karar, birçok şirketin Avrupalı müşterilerinin verilerini nasıl sakladıklarını ve topladıklarını yeniden düşünmeleri gerektiği anlamına geliyor. Şirketler, gelecekte Avrupa'da yüksek maliyetli veri merkezleri kurmak veya Avrupa'daki çalışmalarını azaltmak gibi zor seçimlerle karşı karşıya kalacak.

Alınan bu karardan sonra akıllara gelen sorulardan bir tanesi şirketlerin kullanıcılarının kişisel verilerini ABD'ye aktarıp aktaramayacakları ve reklam amaçlı olarak orada işleyip işleyemeyecekleri. Alınan karar veri aktarımını zorlaştırsa da, ABD'ye veri aktarımının sonu geldiği anlamına gelmiyor. Bundan sonra bu tarz bir veri transferi yapmak isteyen şirketler standart sözleşme hükümlerini uygulamak zorunda olacaklar. Şirketler, standart sözleşme hükümlerine göre kullanıcı verilerini AB vatandaşlarından ABD'ye ve diğer ülkelere aktarmaya devam edebilecek. Bununla birlikte aynı zamanda, veri koruma yetkililerinin, alıcı ülkedeki standart sözleşme hükümlerine pratikte uyulmadığını görmeleri veya buna ilişkin herhangi bir şüphe duymaları halinde, veri aktarımlarını askıya almak veya yasaklamak zorunda olduğunu da vurguluyor.

Anlaşmanın İptaline AB ve ABD Çevresinden Gelen Tepkiler

ABAD tarafından alınan karar AB ve ABD’de farklı yorumlara sebep oldu. Karar AB çevrelerinde olumlu karşılanırken, ABD’de ise hayal kırıklığına sebep oldu.

AB Komisyonunun Değerler ve şeffaflıktan Sorumlu Başkan Yardımcısı Vera Jourová, karara istinaden Amerikalı meslektaşlarıyla yakından çalışacaklarını ve Brüksel’in bu konudaki önceliğinin, transatlantik veri trafiği durumunda kişisel verilerin korunmasını garanti etmek olduğunu vurguladı. AB cephesinde anlaşmanın zaten başından beri tartışmalı olduğu ve alınan kararın AB’nin dijital temel hakları için büyük bir zafer olduğu ifade ediliyor.

Almanya Federal Veri Koruma Görevlisi Ulrich Kelber, Avrupalı ??meslektaşlarıyla gelecekteki eylem seyri hakkında görüştüğünü belirterek, AB vatandaşlarının temel haklarının güçlendirilmesinin beklendiğini ve ABD ile veri alışverişi için özel koruyucu önlemler alınması gerektiğinin altını çizdi. Kelber, ABAD’ın veri koruma denetleme otoritelerinin rolünü doğruladığını ve güçlendirdiğini belirterek, artık her veri işleminin ABAD’ın koyduğu şartları karşılayıp karşılamadığının kontrol edilmesi gerektiğini belirtti.

Karardan çok hoşnut kalmayan ABD’de ise 2016 yılından beri Başkanlık görevini yürüten Donald Trump, alınan kararın siber saldırıları yapanların işine yarayacağını ifade etti.

ABD’deki Bilgisayar ve İletişim Endüstrisi Birliği tarafından yapılan açıklamada, alınan kararın Atlantik'in her iki tarafındaki binlerce irili ufaklı şirket için yasal belirsizlik yarattığı, Transatlantik ekonominin temelini oluşturan veri akışlarının devam etmesini sağlamak için AB ve ABD’nin AB yasalarına uygun olarak hızla sürdürülebilir bir çözüm geliştirmesi gerektiği belirtildi.

AB-ABD ilişkilerinin iyi olmadığı ve COVID-19 krizinin yarattığı ekonomik tahribatın henüz tam geçmediği bir dönemde ABAD tarafından alınan kararın her iki bölge arasındaki ilişkiye nasıl etki edeceği ve karardan etkilenen beş binden fazla şirketin bundan sonraki sürece nasıl adapte olacağı merakla bekleniyor.

Zafer Can Dartan, İKV Uzman Yardımcısı