AB ve Japonya’dan Dünyanın En Büyük Güvenli Veri Akışına Doğru Sağlam Adımlar
Türkiye, AB ile 1996 yılından bu yana yürürlükte olan Gümrük Birliği’nin uzun bir süredir güncellenmesini beklerken; AB, her geçen gün yeni ticaret anlaşmalarına imza atarak, dünya ticaretinde öne çıkan ve özellikle ABD’nin başını çektiği korumacı politikalara meydan okumaya devam ediyor. Son dönemde bu ticaret anlaşmalarının en önemlisi, şüphesiz ki müzakereleri 2013 yılında başlayan ve 8 Aralık 2017 tarihinde tamamlanan AB-Japonya Ekonomik Anlaşması (EOA). Zira bu anlaşma Birliğin tarihindeki en kapsamlı ticaret anlaşması olma niteliğini taşıyor. Dünyanın en büyük ikinci ve dördüncü ekonomisi arasındaki bu anlaşma yürürlüğe girdiğinde küresel hasılanın %28,5’ini kapsayacak ve 600 milyon nüfuslu bir serbest ticaret alanı oluşacak.
Anlaşmanın AB için sadece ticari açıdan değil, temel haklar açısından da bir o kadar önemli olduğu aşikâr. Bu kapsamda verilerin korunması, son yıllarda AB’nin en çok üzerinde durduğu konulardan biri. 25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) ile AB, kişisel verilerin korunması konusunda yepyeni bir çağa geçiş yapmıştı. Özellikle Facebook skandalının ardından, AB vatandaşlarının verilerinin ne kadar korumasız olduğu gözler önüne serilmişti. Hizmet sektöründe kişisel verilerin işlenmesi sıkça karşılaşıldığından ve diğer sektörler için de dikkate değer çıktılar yarattığından, verilerin korunması AB için en az anlaşmanın ticari maddeleri kadar önem taşıyor. Bu nedenle, Japonya ile imzalanan anlaşmanın en önemli maddelerinden biri, 600 milyonluk büyük bir popülasyonun kişisel verilerinin korunması. Ocak 2017’de AB ve Japonya arasında başlayan süreçle beraber, kişisel verilerin ticari amaçlarla aktarılırken en yüksek seviyede korunması garanti edilerek, çalışmalar start almıştı.
AB vatandaşlarının kişisel verilerinin üçüncü ülkelere aktarılabilmesi için iki yol bulunuyor. AB hukuku kapsamında, kişisel verilerin aktarılmasının ilk yolu, AB üyesi olmayan bir ülkenin "esasen eşdeğer" düzeyde veri koruması sağladığını belirten Komisyon "yeterlilik kararı"nın alınması. Bu karar, veri ihracatçısının daha fazla koruma sağlamasına veya herhangi bir yetkilendirme elde etmesine gerek kalmadan, üçüncü ülkelere kişisel verilerin serbest akışını sağlıyor. Yeterlilik kararının yokluğunda ise uluslararası transferler, uygun veri koruma önlemleri sağlayan bir dizi alternatif aktarım aracı vasıtasıyla gerçekleştirilebiliyor. AB, bu zamana kadar yalnızca Andorra, Arjantin, Kanada, Faroe Adaları, Guernsey, İsrail, Man Adası, Jersey, Yeni Zelanda, İsviçre, Uruguay ve ABD gibi üçüncü ülkelerin yeterli koruma sağladığını tanıdı. Japonya ile yapılan bu anlaşmayı diğer ülkelerinkinden ayıran en önemli özellik, bahsi geçen ülkelerle olan yeterlilik kararları tek taraflı tanınıyorken, bu sefer AB ilk kez üçüncü bir ülkenin veri koruma sisteminin yeterli düzeyde olduğunu “karşılıklı” tanıyacak. Bu anlaşma ile dünyanın en büyük güvenli veri akışının tesis edilmesi bekleniyor.
AB ve Japonya, temmuz ayında karşılıklı olarak veri koruma sistemlerini “eşdeğer” tanımayı kabul etmiş, böylece müzakereleri de neticelendirmişken, 5 Eylül’de Komisyon tarafların bu yeterlilik kararının kanunlaştırılması için ilgili iç prosedürlerin başlatılacağını açıkladı. AB için bu prosedür, Avrupa Veri Koruma Kurulu'ndan (EDPB) görüş alınması ve Üye Devletlerin temsilcilerinden oluşan komitenin onayından oluşuyor. Prosedür tamamlandıktan sonra Komisyonun, Japonya ile ilgili yeterlilik kararını kabul etmesi bekleniyor. Taslak bir yeterlilik kararı ve ilgili dosyaların yayımlanması ile birlikte, Japonya’nın kendisine aktarılacak AB kişisel verileri için uygulayacağı ek güvenceler ile Japon kamu yetkililerinin kolluk kuvvetleri ve ulusal güvenlik amaçlı kişisel verilere erişimi konusunda veri koruma seviyesinin AB’ye uygun olacağını taahhüt etmesi gerekiyor. Japonya da aynı şekilde AB’nin veri koruma çerçevesini tanımak için benzer süreçler yürütecek.
Japonya’nın Kişisel Veri Güvenliği Yasası Yeterli mi?
Kişisel bilgilerin doğru işlenmesi için gereken önemin gösterilmesini temel ilkeler aracılığıyla sağlayarak, bireylerin hak ve çıkarlarını korumak amacıyla tasarlanan Japon Kişisel Veri Koruma Yasası (The Act on the Protection of Personal Information - APPI), en eski gizlilik yasalarından biri olarak kabul ediliyor. Özellikle GDPR’ın önünü açtığı gizlilik kanunlarının güçlendirilmesi trendinden nasibini alan APPI ayrıca, yürürlüğe girdiği 2003 yılından 14 yıl sonra, Mayıs 2017’de kapsamlı bir yasa değişikliğine de uğradı.
Hem GDPR hem de APPI, verilerin yalnızca kendi yasalarına eşdeğer kabul edilen yasal sistemlere veya yeterli ihtiyati tedbirlere sahip üçüncü taraflara aktarılabileceği konusunda mutabık. Bir ülke bu gereksinimleri karşılıyorsa veriler, bu iki ülke arasında serbestçe dolaşabilir. Ancak, iki yasa da temel olarak kişisel verilerin korunmasını amaçlarken, bazı noktalarda farklılıklar gösteriyor. İlk farklılığı iki yasa kişisel verinin tanımını yaparken gözlemliyoruz. APPI’ye göre kişisel veri, birden fazla kişisel bilginin veri tabanında kümelenmiş hali. Öte yandan GDPR, tanımlanmış veya tanımlanabilir kişilere ait herhangi bir bilgiyi kişisel veri olarak kabul ediyor. Ancak 2017’de getirilen ek düzenlemelerle birlikte Japonya, kurallarını AB’ye uyumlaştırmaya yönelik bir adım attı. Bu doğrultuda Japonya, AB standartlarına uyum sağlamak amacıyla parmak izi ve yüz tanıma gibi biyometrik verileri de kişisel veri olarak kabul etti. Ayrıca, ehliyet ve pasaport numarası gibi kişilere özgü tahsis edilen harfler veya rakamlardan oluşan Kişisel Tanımlayıcı Kodlar da kişisel veri olarak kabul edilmeye başlandı.
Veri işlemeye ilişkin olarak GDPR kişisel bilginin herhangi bir amaçla işlenmesinde uygulanırken, APPI sadece bilgilerin ticari amaçla işlenmesinde kullanılıyor. APPI ayrıca yetki sınırına ya da uygulama alanına ilişkin ayrıntılı bilgiler içermiyor. Fakat bu iki yasa arasındaki en önemli farklılık, APPI’nin yasanın gözetilmesinden kimi sorumlu tuttuğu. GDPR, yasanın gözetilmesinden hem veri kontrolörlerini hem de veri işlemcilerini sorumlu tutarken, APPI sadece ticari operatörü gerçekleşebilecek bir hatadan sorumlu tutuyor.
APPI, kullanıcıların verilerinin onların rızaları olmadan üçüncü taraflara iletilmesinin önüne geçmediği, yani opt-in (dâhil olmak için önceden rıza belirtilmesi) yerine opt-out (kişinin verilerinin varsayılan olarak kaydolduğu listeden cayma isteği) yöntemine sahip olduğu için, yakın bir zamana kadar rıza konusunda GDPR’dan farklıydı. Yeni getirilen yasal düzenleme ile APPI artık şirketlerin opt-out yöntemini kullanmadan önce Japonya’nın Kişisel Bilgi Koruma Komitesi’ne bilgilendirme yaparak, onay alması zorunluluğunu getirdi. Onay alındığı takdirde şirketler, bilgi aktarımı öncesi verileri anonimleştirmek zorunda. Ancak APPI’nin aksine GDPR, her veri işleme eyleminde veri sahibinin rızasının açıkça alınmasını ve verinin işlenme amacının ve metotlarının detaylandırılmasını gerektiriyor.
Tüm bunların yanı sıra iki yasa da veri ihlalleri durumunda farklı cezalar uyguluyor. GDPR, ceza koşullarını (1) ihlal bildiriminde bulunulmaması, (2) GDPR'ın şartlarının yerine getirilmemesi ve (3) tasarımdan itibaren veri gizliliği (privacy by design) konseptinin ihlal edilmesi olarak belirlerken, APPI cezai koşulunu sadece kişisel bilgilerin yasa dışı kazanç amacıyla kötüye kullanılması olarak belirtiyor. GDPR, veri ihlali halinde şirketlere 20 milyon avro veya hizmet sağlayıcısının küresel gelirinin %4’ü oranında bir ceza keserken, APPI kuralları altında şirketleri en az bir yıl hapis cezası ya da 500 bin yenden başlayan para cezası bekliyor.
AB-ABD Gizlilik Kalkanın Makûs Talihini Japonya Yenebilir mi?
İki ülkenin mevzuatlarının kayda değer şekilde farklılıklara sahip olduğu görülüyor. Özellikle AB-ABD Gizlilik Kalkanı uygulamasının etkinliğinin sorgulandığı şu zamanlarda GDPR’ın temel taşlarından olan bazı maddelerin APPI tarafından yeterince önemli görülmemesi, akıllarda soru işaretleri doğurdu. Komisyon, ekim ayında AB-ABD Gizlilik Kalkanı ilkelerinin etkinliğini gözden geçirmeyi planlıyor. ABD’nin anlaşmanın gerekliliklerine uymadığı kanısına varıldığı takdirde AB, eyleme geçmeye kararlı. Bu da ABD şartları tam anlamıyla yerine getirene kadar taraflar arasındaki veri alışverişinin askıya alınması anlamına geliyor. Henüz bu sorun çözülmemişken, ciddi farklılıkları içeren bir gizlilik yasasına sahip Japonya ile de AB’nin benzer sorunları yaşayıp yaşamayacağı akıllarda soru işareti uyandırıyor. Bu sorunun yanıtını alabilmek için Komisyonun açıklamalarından bazı çıkarımlar yapabiliriz. Bu açıklamalara göre, üçüncü ülkelere veri aktarımı yapılabilmesi için, söz konusu ülkelerin veri koruma sistemlerinin AB’ninki ile aynı olması gerekmiyor; iki sistemin esasen eşdeğerliğe sahip olması yeterli. Bir ülkenin veri koruma çerçevesinin temel eşdeğerliğe sahip olup olmadığı hem kişisel veriler üzerinde uygulanabilecek korumaların hem de ilgili gözetim ve tazminat mekanizmalarının kapsamlı bir değerlendirmesi sonucu kararlaştırılıyor.
Japonya ayrıca veri koruma yetkililerinin Avrupa vatandaşlarından gelmesi olası şikâyetlerin etkili bir şekilde araştırılıp ele alınması ve çözümlenmesi için bir sistem kurmayı kararlaştırdı. Bunların yanı sıra yeterlilik kararı verilen ülkedeki veri koruma düzeyini etkileyebilecek olası gelişmeler herhangi bir zaman kriteri olmaksızın yakından izlenebilir, bunlar doğrultusunda yeterlilik kararı uyarlanabilir ve hatta gerektiğinde fes edilebilir. Bu amaçla Komisyon, kararın kabul edilmesinden iki yıl sonra ve her dört yılda bir yeterlilik kararlarını gözden geçirecek. Bu nedenle iki ülke arasında gerçekleşebilecek bir veri ihlali durumunda tarafların özenli düzenleme ve gözetimleri sonucunda büyük çaplı sorunlar çıkma ihtimali düşük gibi görünüyor. İki taraf da gerekli iç prosedürlerini tamamladığı takdirde, karşılıklı ve akıcı bir kişisel veri aktarımının 2018 sonbaharında faaliyete geçmesi bekleniyor.
N. Melis Bostanoğlu, İKV Uzman Yardımcısı