İngiltere'de Uluslararası Veri Aktarımı
Hazırlayanlar: Guden Uluslararası Hukuk Bürosu
Hazırlayanlar: Guden Uluslararası Hukuk Bürosu
A. Giriş:
Günümüzde; işletmeler, kuruluşlar ve bireyler küreselleşen ticari hayatın gereklilikleri doğrultusunda uluslararası arenada kişisel veri aktarımları yapmaktadırlar. Dolayısıyla bu uluslararası aktarımlar yapılırken kişisel verilerin korunması hususu önem kazanmaktadır.
Buna ilişkin olarak; Uluslararası Veri Aktarım Anlaşması (IDTA) ve Avrupa Birliği Standart Sözleşme Maddelerine ilişkin (SCC) Ek yayınlanmıştır. Aynı zamanda; verilerin ilgili olduğu kişiler için doğru ve ulaşılabilir korumayı sağlarken değerlendirmenin makul ölçüler çerçevesinde gerçekleştirilmesi amacıyla Avrupa Veri Koruma Kurulu tarafından öne sürülen alternatif yaklaşıma açıklık getirmek için TRA (Transfer Risk Değerlendirmeleri) Kılavuzu yayınlanmıştır. Bunun uygulanabilirliğini sağlayabilmek için de altı soruluk bir TRA Aracı hazırlanmıştır.[1]
Bu konu, işbu bilgi notunda Birleşik Krallıktaki şirketlerin Türkiye'ye veri göndermesi durumu perspektifinde açıklanmaya çalışılacaktır.
B. Birleşik Krallıktaki Şirketlerin Türkiye'ye Veri Göndermesi Durumu:
Birleşik Krallık GDPR' si, (AB Genel Veri Koruma Regülasyonu) Birleşik Krallık dışında bulunan alıcılara yapılan sınırlı kişisel veri aktarımları hakkında kurallar içermektedir. Birleşik Krallık GDPR kurallarına uymanın bir yolu; Birleşik Krallık GDPR 46. Maddesinde listelenen "uygun güvencelerdir". Bu aşamada, 46. Maddenin ilgili koşullara uyumluluk göstermesi ve aktarım koşullarının elverişli olması durumunda, Birleşik Krallık veri koruma rejimi kapsamında, kişiler için ilgili korumaların zarar görüp görmeyeceğini değerlendirmek amacıyla transfer risk analizi yapılması gerekmektedir. Bu konuda; Schrems II kararı, Madde 46 transfer mekanizmasına güvenmeden önce bir risk değerlendirmesi yapılması gerektiğine işaret etmek suretiyle; sınırlı transferlere ilişkin kurallarda risk değerlendirmelerinin rolünü doğrulamıştır.[2]
I. Transfer Risk Değerlendirmesi (TRA) Nedir?
Transfer risk değerlendirmesi yapmak; sınırlı aktarımların yapılmasında Madde 46 mekanizmasının, kişiler için uygun güvenceler ve etkili haklar sağlayacağından emin olunması işlevini görür. Transfer risk değerlendirmesinin insan hakları boyutuyla gözetilmesi gereken birtakım riskleri vardır. Bu risklere yönelik olarak; ICO'nun Transfer risk değerlendirmesine yönelik yaklaşımları ve EDPB tarafından benimsenen yaklaşım olmak üzere iki farklı yaklaşım bulunmaktadır. ICO'nun yaklaşımı; verilerin ilgili olduğu kişilerin, aktarımın belirli koşullarındaki konumunu karşılaştıran bir değerlendirmeyi esas almaktadır. Bu hususta da; verinin Birleşik Krallıkta kalması ve önerilen transferin devam etmesi tartışılmaktadır. Burada temel konu, verilerin Birleşik Krallık'ta kalması durumundaki riske kıyasla, aktarım sonucunda insanların mahremiyetine ve diğer insan haklarına yönelik riskte herhangi bir artış olup olmadığı hususudur. Bu yaklaşım Transfer Risk Değerlendirmesi (TRA) araçlarında ele alınan yaklaşımdır. EDPB tarafından benimsenen yaklaşım ise; riskleri değerlendirmek için Birleşik Krallık yasalarının ve uygulamalarının (Birleşik Krallık GDPR dahil) ithalatçı ülkenin yasa ve uygulamalarıyla karşılaştırıldığı bir değerlendirmeyi içerir.
II. Transfer Risk Değerlendirmesi Ne Zaman Yapılmalıdır?
Sınırlı bir transfer yapılıyorsa ve IDTA, Ek veya BCR'ler gibi Madde 46 transfer mekanizmalarından birine dayanılıyorsa, bir TRA gerçekleştirilmesi gerekir.
Denetleyici ve işlemcinin sınırlı aktarımı yapması halinde TRA'yı yalnızca işlemci tamamlamalıdır.
Alıcının verileri üçüncü taraflara göndermesi halinde, bunun kullanılan IDTA, Ek, BCR veya diğer Madde 46 aktarım mekanizmasına ne kadar uygun olduğuna bakılması gerekmektedir.
Bir dizi bağlantılı, tekrarlı veya benzeri sınırlı transfer yapılması halinde, her bir kısıtlı transfer için bir TRA veya hepsini kapsayan bir TRA gerçekleştirebilmektedir.
III. Transfer Risk Değerlendirmesinin Kapsamı Nedir?
Hangi tür risk değerlendirmesi yapılırsa yapılsın, kapsamın makul ve orantılı olması gerekmektedir. Bu hususta daha kapsamlı bilgi için ICO'nun Transfer Risk Değerlendirilmesi araçlarının incelenmesi önem arz etmektedir.[3]
IV. Transfer Risk Değerlendirmesi Araçları:
ICO'nun TRA aracı, bir TRA gerçekleştirmenin bir yolunu ortaya koyan, soruları ve rehberliği içeren bir şablon belgedir. TRA aracının kullanılması zorunlu olmamakla birlikte; yol gösterici olması açısından önemli bir belge olduğuna dikkat çekmek gerekir. Bu kapsamda belirlenen altı tane soru vardır.
Soru 1: Sınırlı transferin özel koşulları nelerdir?
Soru 2: Aktarılan kişisel bilgilerdeki kişiler için risk düzeyi nedir?
Soru 3: Kişisel bilgilerdeki genel risk düzeyi ve kuruluşun yapısı dikkate alındığında makul ve orantılı bir soruşturma düzeyi nedir?
Soru 4: Transfer, hedef ülkedeki insanlar için insan hakları ihlali riskini önemli ölçüde artırıyor mu?
Soru 5:
(a) Hem aktaran kurum hem de bilgilerin ilgili olduğu kişiler Birleşik Krallıktaki ithalatçıya karşı Madde 46 aktarım mekanizmasını uygulayabilme imkanına sahip midir?
(b) Birleşik Krallık dışında bir yaptırıma ihtiyaç duyulabilirse, hakkında bilgi bulunan kişiler hedef ülkede (veya başka bir yerde) 46. Madde aktarım mekanizmasını uygulayabilme imkanına sahip midir?
Soru 6: Sınırlanmış aktarım kurallarının istisnalarından herhangi biri "önemli risk verileri" için geçerli midir?
"Önemli risk verileri", Soru 4 ve 5'te Madde 46 aktarım mekanizmanızın tüm uygun korumaları sağlamadığı veriler olarak tanımlanan verilerdir.
TRA aracını kullanarak, Madde 46 aktarım mekanizmanızın tüm kişisel veriler için uygun güvenceler ve etkili, uygulanabilir veri konusu hakları sağlamayacağına kanaat getirilirse o zaman sınırlı veri aktarımı yapılmamalıdır.
C. Sonuç:
Birleşik Krallıktan Türkiye'ye veri gönderilmesi hususunda Birleşik Krallık GDPR 46. Maddesinde listelenen "uygun güvenceler" dikkate alınmak suretiyle transfer risk değerlendirilmesi yapılması gerekmektedir.
[1] https://ico.org.uk/about-the-ico/media-centre/news...
[2] https://curia.europa.eu/juris/liste.jsfnum=C-311/18
[3] Transfer risk assessment tool
Günümüzde; işletmeler, kuruluşlar ve bireyler küreselleşen ticari hayatın gereklilikleri doğrultusunda uluslararası arenada kişisel veri aktarımları yapmaktadırlar. Dolayısıyla bu uluslararası aktarımlar yapılırken kişisel verilerin korunması hususu önem kazanmaktadır.
Buna ilişkin olarak; Uluslararası Veri Aktarım Anlaşması (IDTA) ve Avrupa Birliği Standart Sözleşme Maddelerine ilişkin (SCC) Ek yayınlanmıştır. Aynı zamanda; verilerin ilgili olduğu kişiler için doğru ve ulaşılabilir korumayı sağlarken değerlendirmenin makul ölçüler çerçevesinde gerçekleştirilmesi amacıyla Avrupa Veri Koruma Kurulu tarafından öne sürülen alternatif yaklaşıma açıklık getirmek için TRA (Transfer Risk Değerlendirmeleri) Kılavuzu yayınlanmıştır. Bunun uygulanabilirliğini sağlayabilmek için de altı soruluk bir TRA Aracı hazırlanmıştır.[1]
Bu konu, işbu bilgi notunda Birleşik Krallıktaki şirketlerin Türkiye'ye veri göndermesi durumu perspektifinde açıklanmaya çalışılacaktır.
B. Birleşik Krallıktaki Şirketlerin Türkiye'ye Veri Göndermesi Durumu:
Birleşik Krallık GDPR' si, (AB Genel Veri Koruma Regülasyonu) Birleşik Krallık dışında bulunan alıcılara yapılan sınırlı kişisel veri aktarımları hakkında kurallar içermektedir. Birleşik Krallık GDPR kurallarına uymanın bir yolu; Birleşik Krallık GDPR 46. Maddesinde listelenen "uygun güvencelerdir". Bu aşamada, 46. Maddenin ilgili koşullara uyumluluk göstermesi ve aktarım koşullarının elverişli olması durumunda, Birleşik Krallık veri koruma rejimi kapsamında, kişiler için ilgili korumaların zarar görüp görmeyeceğini değerlendirmek amacıyla transfer risk analizi yapılması gerekmektedir. Bu konuda; Schrems II kararı, Madde 46 transfer mekanizmasına güvenmeden önce bir risk değerlendirmesi yapılması gerektiğine işaret etmek suretiyle; sınırlı transferlere ilişkin kurallarda risk değerlendirmelerinin rolünü doğrulamıştır.[2]
I. Transfer Risk Değerlendirmesi (TRA) Nedir?
Transfer risk değerlendirmesi yapmak; sınırlı aktarımların yapılmasında Madde 46 mekanizmasının, kişiler için uygun güvenceler ve etkili haklar sağlayacağından emin olunması işlevini görür. Transfer risk değerlendirmesinin insan hakları boyutuyla gözetilmesi gereken birtakım riskleri vardır. Bu risklere yönelik olarak; ICO'nun Transfer risk değerlendirmesine yönelik yaklaşımları ve EDPB tarafından benimsenen yaklaşım olmak üzere iki farklı yaklaşım bulunmaktadır. ICO'nun yaklaşımı; verilerin ilgili olduğu kişilerin, aktarımın belirli koşullarındaki konumunu karşılaştıran bir değerlendirmeyi esas almaktadır. Bu hususta da; verinin Birleşik Krallıkta kalması ve önerilen transferin devam etmesi tartışılmaktadır. Burada temel konu, verilerin Birleşik Krallık'ta kalması durumundaki riske kıyasla, aktarım sonucunda insanların mahremiyetine ve diğer insan haklarına yönelik riskte herhangi bir artış olup olmadığı hususudur. Bu yaklaşım Transfer Risk Değerlendirmesi (TRA) araçlarında ele alınan yaklaşımdır. EDPB tarafından benimsenen yaklaşım ise; riskleri değerlendirmek için Birleşik Krallık yasalarının ve uygulamalarının (Birleşik Krallık GDPR dahil) ithalatçı ülkenin yasa ve uygulamalarıyla karşılaştırıldığı bir değerlendirmeyi içerir.
II. Transfer Risk Değerlendirmesi Ne Zaman Yapılmalıdır?
Sınırlı bir transfer yapılıyorsa ve IDTA, Ek veya BCR'ler gibi Madde 46 transfer mekanizmalarından birine dayanılıyorsa, bir TRA gerçekleştirilmesi gerekir.
Denetleyici ve işlemcinin sınırlı aktarımı yapması halinde TRA'yı yalnızca işlemci tamamlamalıdır.
Alıcının verileri üçüncü taraflara göndermesi halinde, bunun kullanılan IDTA, Ek, BCR veya diğer Madde 46 aktarım mekanizmasına ne kadar uygun olduğuna bakılması gerekmektedir.
Bir dizi bağlantılı, tekrarlı veya benzeri sınırlı transfer yapılması halinde, her bir kısıtlı transfer için bir TRA veya hepsini kapsayan bir TRA gerçekleştirebilmektedir.
III. Transfer Risk Değerlendirmesinin Kapsamı Nedir?
Hangi tür risk değerlendirmesi yapılırsa yapılsın, kapsamın makul ve orantılı olması gerekmektedir. Bu hususta daha kapsamlı bilgi için ICO'nun Transfer Risk Değerlendirilmesi araçlarının incelenmesi önem arz etmektedir.[3]
IV. Transfer Risk Değerlendirmesi Araçları:
ICO'nun TRA aracı, bir TRA gerçekleştirmenin bir yolunu ortaya koyan, soruları ve rehberliği içeren bir şablon belgedir. TRA aracının kullanılması zorunlu olmamakla birlikte; yol gösterici olması açısından önemli bir belge olduğuna dikkat çekmek gerekir. Bu kapsamda belirlenen altı tane soru vardır.
Soru 1: Sınırlı transferin özel koşulları nelerdir?
Soru 2: Aktarılan kişisel bilgilerdeki kişiler için risk düzeyi nedir?
Soru 3: Kişisel bilgilerdeki genel risk düzeyi ve kuruluşun yapısı dikkate alındığında makul ve orantılı bir soruşturma düzeyi nedir?
Soru 4: Transfer, hedef ülkedeki insanlar için insan hakları ihlali riskini önemli ölçüde artırıyor mu?
Soru 5:
(a) Hem aktaran kurum hem de bilgilerin ilgili olduğu kişiler Birleşik Krallıktaki ithalatçıya karşı Madde 46 aktarım mekanizmasını uygulayabilme imkanına sahip midir?
(b) Birleşik Krallık dışında bir yaptırıma ihtiyaç duyulabilirse, hakkında bilgi bulunan kişiler hedef ülkede (veya başka bir yerde) 46. Madde aktarım mekanizmasını uygulayabilme imkanına sahip midir?
Soru 6: Sınırlanmış aktarım kurallarının istisnalarından herhangi biri "önemli risk verileri" için geçerli midir?
"Önemli risk verileri", Soru 4 ve 5'te Madde 46 aktarım mekanizmanızın tüm uygun korumaları sağlamadığı veriler olarak tanımlanan verilerdir.
TRA aracını kullanarak, Madde 46 aktarım mekanizmanızın tüm kişisel veriler için uygun güvenceler ve etkili, uygulanabilir veri konusu hakları sağlamayacağına kanaat getirilirse o zaman sınırlı veri aktarımı yapılmamalıdır.
C. Sonuç:
Birleşik Krallıktan Türkiye'ye veri gönderilmesi hususunda Birleşik Krallık GDPR 46. Maddesinde listelenen "uygun güvenceler" dikkate alınmak suretiyle transfer risk değerlendirilmesi yapılması gerekmektedir.
[1] https://ico.org.uk/about-the-ico/media-centre/news...
[2] https://curia.europa.eu/juris/liste.jsfnum=C-311/18
[3] Transfer risk assessment tool