İKTİSADİ KALKINMA VAKFI
E-Bülteni
İKTİSADİ KALKINMA VAKFI
E-Bülteni
5-11 EKİM 2015

İKV`DEN ANALİZ

ABAD, ABD ile AB Arasında Veri Akışını Düzenleyen Güvenli Limanı Geçersiz Kıldı

AB’nin en yüksek yargı makamı ABAD, 6 Ekim 2015 tarihinde verdiği kararında, ABD merkezli özel şirketler ile AB arasında karşılıklı veri akışının önünü açan Güvenli Liman Anlaşması’nı (Safe Harbour) geçersiz kıldı. ABD ile AB arasındaki Güvenli Liman mekanizmasıyla, aralarında Google, Yahoo, Twitter, Facebook, Microsoft gibi bilişim devlerinin de yer aldığı 4 bin kadar ABD merkezli şirket, mekanizmanın öngördüğü koşulları yerine getirdikleri takdirde AB vatandaşlarına ait kişisel verileri, ABD’deki merkezlerine aktarabiliyordu.

Maximilian Schrems v Data Protection Commissioner C-362/14 başlıklı davanın tarafı Max Schrems, Avrupa’daki merkezi İrlanda’da bulunan Facebook’un, vatandaşların kişisel verilerini, hukuk dışı şekilde ABD’ye aktardığı iddiasıyla, yetkili İrlanda mahkemelerine dava açtı. İlgili İrlanda Mahkemesi’nin, Facebook’un ABD’ye veri aktarımının Güvenli Liman mekanizmasına dayandığına hükmetmesinin ardından Schrems, davasını ABAD’a taşıdı. ABAD, 6 Ekim 2015 tarihinde açıkladığı kararda, Güvenli Liman Anlaşması’nın geçersiz olduğuna ve ABD’nin Avrupa standartlarında bir veri güvenliği mevzuatına sahip olmadığına hükmetti. ABAD’ın kararına göre, üçüncü ülkelerin AB ile karşılıklı veri akışı sağlayabilmesi için AB Temel Haklar Şartı’na ve ilgili AB Yönergesi’ne uyumlu kişisel verilerin korunması mevzuatına sahip olması gerekiyor. Öte yandan ABAD, kişisel verilerin korunması gibi temel haklara ve gizliliğe ilişkin bir konuda, Güvenli Liman gibi ikili anlaşmaların, AB üye ülke yetkili makamlarını veri güvenliği ihlallerini soruşturmaktan alıkoyamayacağını öne sürdü.

Karar, kişisel verilerin korunması alanında mücadele eden hak savunucuları ve aktivistler tarafından tarihi bir zafer olarak kabul ediliyor. Fakat meselenin ekonomik boyutu, önümüzdeki dönemde uluslararası ticaret çevrelerinde büyük bir kaygıya sebep olacak gibi görünüyor. Avrupa Komisyonu’nun Adalet ve İçişlerinden Sorumlu Eski Üyesi Viviane Reding, Kasım 2013 tarihinde konuya ilişkin yaptığı açıklamalarda, 2020 yılında AB vatandaşlarının kişisel verilerinin potansiyel değerinin yıllık 1 trilyon avroya ulaşabileceğini ifade etmişti.

ABAD kararının ardından Avrupa Komisyonunun Birinci Başkan Yardımcısı Frans Timmermans ve Avrupa Komisyonunun Adalet, Tüketiciler ve Cinsiyet Eşitliğinden Sorumlu Üyesi Vera Jourova, konuya ilişkin bir basın toplantısı düzenledi. Timmermans, yaptığı açıklamada, kararın, AB çapında temel hakların garanti altına alınmasına yönelik önemli bir adım olduğunu belirtti. Timmermans, bu kararla birlikte, AB ile ABD arasındaki veri akışını düzenlemeye yönelik daha güvenli ve etkin mekanizmaların oluşturulması için çalışmalara devam edeceklerini belitti. Timmermans, Komisyon’un bu alandaki önceliklerini şöyle özetledi: transatlantik veri paylaşımında, kişisel verilerin koruma altına alınması transatlantik veri paylaşımının devamlılığının sağlanması, AB iç pazarında hukukun bir bütün halinde uygulanmasının sağlanması.

 AB ile ABD arasında veri paylaşımı alanındaki görüşmelerin devam edeceğini belirten Jourova, Avrupa Komisyonu’nun 2013 yılından bu yana ABD’ye 13 yeni somut tavsiyede bulunduğunu ve veri güvenliğine yönelik önemli aşama kaydedildiğini söyledi. Komisyon, sürecin devamında, ABD şirketlerinin, Güvenli Liman Kararı sonrasında AB ile veri akışını sağlama konusunda AB üye ülke ulusal veri koruma kurumları ile işbirliği içerisinde olacaklarını ve şirketlere destek sağlayacaklarını ifade etti.

Sürecin Devamında Ne Olacak?

Güvenli Liman Anlaşması’nın yanı sıra, hâlihazırda AB ile ABD arasındaki veri paylaşımını düzenleyen çeşitli mekanizmalar varlığını koruyor. Fakat bu mekanizmaların önemli bir bölümü adli ve cezai süreçlerde veri paylaşımının önünü açıyor. Özellikle yakın tarihte üzerinde anlaşmaya varılan Şemsiye Anlaşma, bunun en güncel örneği. ABD şirketleri tarafından ticari amaçlarla kişisel verilerin kullanımının önünün açılabilmesi için, ABD’nin mutlak surette AB standartlarında kapsayıcı bir kişisel verilerin korunması mevzuatı oluşturması gerekiyor. Yani Güvenli Liman mekanizmasını durduran bu karar aslında, sadece verilerin ticari amaçlarla kullanımını sınırlandıran bir sonuç. Öte yandan benzer statülerdeki anlaşmalar kapsamında, ABD ve AB arasındaki veri akışının nasıl düzenlendiğinin de değerlendirmeye alınması gerekiyor.

ABD ile AB arasında müzakere edilen mega ticaret anlaşması TTYO kapsamında e-ticaret, bulut bilişim, fikri mülkiyet, uluslararası mali veriler ve PNR gibi konular tartışılırken, kişisel verilerin korunması ve gizlilik meselesinin mutlak surette masaya yatırılacağı da aşikar. Dolayısıyla ABAD’ın bu kararının, transatlantik ticaret ilişkilerinde birtakım belirsizliklere sebep olacağını söylemek şimdiden mümkün.