Avrupa Birliği-Amerika Birleşik Devletleri Veri Gizliliği Çerçevesi kapsamında kişisel verilerin yeterli düzeyde korunmasına ilişkin 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü uyarınca 10 Temmuz 2023 tarihli Komisyon Uygulama Kararı (Adequacy decision for the EU-US Data Privacy Framework, “DPF Yeterlilik Kararı”), Avrupa Komisyonu (“Komisyon”) tarafından veri aktarımının güvenliğini ve alıcı ülkenin Avrupa Birliği (“AB”) veri koruma standartlarına uygunluğunu doğrulayan bir karardır. Söz konusu DPF Yeterlilik Kararı ile AB’den Amerika Birleşik Devletleri’ne (“ABD”) kişisel veri aktarımının önünü açılmış oldu. DPF Yeterlilik Kararı derhal yürürlüğe girecek şekilde, AB’deki veri ihracatçılarından DPF Yeterlilik Kararı’na uygunluğu onaylayan ABD’li veri ithalatçılarına transatlantik veri aktarımları için yeni bir yasal temel sağlamaktadır.
Veri Gizliliği Çerçeve Listesi
DPF Yeterlilik Kararı madde 1 uyarınca, ABD’nin, AB’den ABD’deki kuruluşlara aktarılan ve “AB-ABD Veri Gizliliği Çerçeve İlkeleri”ne (“DPF” veya “DPF İlkeleri”) uyumu belgeleyenler ve ABD Ticaret Bakanlığı tarafından muhafaza edilen ve kamuya açıklanacak olan “Veri Gizliliği Çerçeve Listesi”nde yer alan kişisel veriler için yeterli düzeyde koruma sağlanacaktır. DPF Yeterlilik Kararı’na konu olan kişisel veri aktarımları, Veri Gizliliği Çerçevesi Listesine girdiği tarihten itibaren güvence altına alınmış olacaktır. ABD Ticaret Bakanlığı, AB-ABD DPF Yeterlilik Kararı’ndan gönüllü olarak ayrılan veya yıllık yeniden belgelendirmelerini tamamlamayan kuruluşları Veri Gizliliği Çerçeve Listesinden çıkaracaktır. Ancak Veri Gizliği Çerçeve Listesi’nde olan kuruluşlar ise, DPF Yeterlilik Kararı kapsamında aldıkları kişisel veriler için DPF İlkeleri’ni uygulamaya devam etmeli ve bunu yapma taahhütlerini yıllık olarak ABD Ticaret Bakanlığı’na teyit etmelidir. Bir kuruluşun Veri Gizliliği Çerçevesi Listesinden çıkarılması halinde, artık AB’den kişisel veri almak için DPF Yeterlilik Kararından yararlanma hakkına sahip olmadığı anlamına gelecektir. Bu doğrultuda, aktarıma konu olan söz konusu kişisel veriler bakımından başka bir yetkili yolla (örneğin, Standart Sözleşme Maddeleri kullanarak) “yeterli” koruma sağlayacaklarını veya kişisel verileri iade edeceklerini veya sileceklerini taahhüt etmeleri gerekecektir.
Daha önce Gizlilik Kalkanı’nda (Privacy Shield) ve Güvenli Liman’ında (Safe Harbour) olduğu gibi, DPF Yeterlilik Kararı yalnızca DPF uyarınca yapılan transatlantik veri aktarımları için geçerli olup; ABD’ye yapılan tüm kişisel veri aktarımlarını kapsamamaktadır. Bununla birlikte, DPF Yeterlilik Kararı, ABD devlet kurumları tarafından AB kişisel verilerine erişimle ilgili belirli endişelerin üstesinden gelmeye yardımcı olmaktadır. ABD istihbarat toplama reformları Standart Sözleşme Maddeleri (Standard Contractual Clauses) SCC veya Bağlayıcı Şirket Kuralları (Binding Corporate Rules, BCR) gibi mekanizmalar altında aktarılan kişisel veriler de araştırılmasına da imkan sağlamaktadır. Bu doğrultuda, söz konusu bu mekanizmalar altındaki aktarımlar da DPF Yeterlilik Kararı’nın gerekçelerinden yararlanabilecektir.
Komisyon, DPF Yeterlilik Kararı’nın, Gizlilik Kalkanı altında var olan mekanizmaya kıyasla önemli iyileştirmeler getirdiğini vurgulamaktadır. DPF kapsamındaki veri aktarımlarının yeterliliğini belirlemek için Komisyon, Yürütme Karar 14086 (“Yürütme Kararı”) kapsamında getirilen değişiklikleri ayrıntılı olarak değerlendirmekte ve yeni bağlayıcı önlemlerin Avrupa Adalet Divanı’nın Schrems II kararında dile getirilen tüm endişeleri de ele aldığı sonucuna varmaktadır:
- ABD Hükümeti’nin kişisel verilere erişimi ile ilgili olarak, Komisyon, ABD yasalarının cezai kolluk kuvvetleri ve ulusal güvenlik amaçları için kişisel verilere erişim ve bunların kullanımı ile ilgili çeşitli sınırlamalar ve önlemler içermektedir. ABD İstihbarat Topluluğu tarafından AB verilerine erişimi gerekli ve orantılı olarak sınırlayan gözetim ve tazminat mekanizmaları sağlamaktadır. Ayrıca Komisyon, ABD İstihbarat Topluluğu’nun Merkezi İstihbarat Teşkilatı (CIA), Federal Soruşturma Bürosu (FBI), Ulusal Güvenlik Ajansı (NSA) ve İç Güvenlik Bakanlığı (DHS) gibi Yürütme Kararı’na karşı Adalet Divanı’nın endişelerini ele alan önlemlerini uygulayan çeşitli ABD kurumlarını ilgilendiren politika ve prosedürleri benimsediğini belirtmektedir.
- Yargı yolu kapsamındaki seçeneklerle ile ilgili olarak Komisyon, yeni kurulan Veri Koruma İnceleme Mahkemesi’nin (Data Protection Review Court, “DPRC”) AB vatandaşlarının erişebileceği bağımsız bir mahkeme olduğunu belirtmektedir. DPF Yeterlilik Kararı, AB ve İzlanda, Lihtenştayn ve Norveç’in 30 Haziran 2023 tarihinde ABD Başsavcısı tarafından “Nitelikli Devletler” olarak eklenmesi dolayısıyla söz konusu bu yeni yargı mekanizmasının Avrupa Ekonomik Alanı’nda yer alan bireyler için etkili bir şekilde kullanılabileceğine işaret etmektedir.
DPF Yeterlilik Kararı’nın işleyişi, Avrupa veri koruma makamlarının (Data Protection Authority, “DPA”) temsilcileri ve yetkili ABD makamları ile birlikte Komisyon tarafından yürütülen periyodik incelemelere tabi olacaktır. DPF Yeterlilik Kararı’nın madde 3 uyarınca, Komisyon, DPF Kararı’nın uygulanmasını sürekli olarak izlemelidir. Komisyon, yeterli bir koruma seviyesinin artık sağlanmadığına dair göstergelere sahip olduğunda, yetkili ABD makamlarını bilgilendirecek ve gerekirse yeterlilik kararını askıya almaya, değiştirmeye veya yürürlükten kaldırmaya veya kapsamını sınırlamaya karar verebilecektir. İlk gözden geçirme, Yürütme Emri’nin ilgili tüm unsurlarının tam olarak uygulandığını ve uygulamada etkili bir şekilde çalıştığını doğrulaması için Temmuz 2024’te gerçekleştirilecektir.
Kendini Belgelendirme Sertifikası Mekanizması (Self-Certification Mechanism)
Kendini Belgelendirme Sertifikası Mekanizması (Self-Certification Mechanism) kapsamında, ABD’de DPF Yeterlilik Kararı’nı uygulamak isteyen alıcılar, DPF İlkeleri’ne bağlılıklarını öncelikle kendileri onaylamalıdır. DPF İlkeleri, Gizlilik Kalkanı çerçevesi altında oluşturulan ilkelerin güncellenmiş ve daha da doğrulanmış bir versiyonunu sunmaktadır. Gizlilik Kalkanı kapsamında halihazırda sertifikalandırılmış olan kuruluşlar, DPF kapsamında, Kendini Belgelendirme Sertifikası almak için ilgili kuruluşun gizlilik politikası geliştirmesi, bağımsız bir başvuru mekanizması tanımlaması ve ABD Ticaret Bakanlığı’nın https://www.dataprivacyframework.gov/s/ alan adlı internet adresinden erişilebilen kendi kendini sertifikalandırması gerekmektedir. DPF internet sitesinde sertifikalı şirketlerin bir listesi de yer almakta olup; böylece AB merkezli veri ihracatçıları, ABD’li bir veri ithalatçısının DPF Yeterlilik Kararı kapsamındaki korumalardan yararlanıp yararlanmadığını kolayca kontrol edebilecektir. Bu doğrultuda, ABD’den AB’ye veri akışı olması halinde; söz konusu Kendini Belgelendirme Sertifikası başvurusunun yapılması gerekmektedir.
ABD’den aktarımı gerçekleştirilirken; DPF Yeterlilik Kararı’nın korumalarından yararlanılabilmesi için kuruluşların Kendini Belgelendirme Sertifikası Mekanizması kapsamında kendi kendini sertifikalandırması ve DPF İlkeleri’ne uyum çalışmasını yürütmesi gerekmektedir. ABD veri ithalatçılarının gizlilik bildirimlerine DPF İlkeleri’ne uyma taahhüdünü her halükarda DPF İlkeleri’nin yürürlük tarihinden itibaren en geç üç ay olan 10 Ekim 2023 içinde yansıtılmalıdır. Bu doğrultuda;
- Gizlilik Kalkanı kapsamında zaten sertifikalandırılmış kuruluşlar, DPF Yeterlilik Kararı kapsamında olası bir yeniden sertifikasyon için sonraki adımlar ve DPF İlkeleri’ni de uygulamak için gizlilik bildirimlerinde yapılacak revizyonlarla ilgili olarak ABD Ticaret Bakanlığı tarafından iletişime geçilecektir.
- DPF Yeterlilik Kararı kapsamında kişisel verileri aktarmak isteyen AB’deki veri ihracatçısı olarak ise; DPF Yeterlilik Kararı internet sitesindeki aktarımdan önce ABD’deki alıcının DPF Yeterlilik Kararı kapsamında sertifikalandırılıp sertifikalandırılmadığını ve ilgili veri aktarımlarının bu sertifika kapsamında olup olmadığını kontrol etmesi gerekecektir.
Son olarak, DPF yeterlilik kararı, Transfer Etki Değerlendirmesi’ndeki (Transfer Impact Assestment “TIA”) yeterlilik değerlendirmesinin yerini aldığından, DPF tarafından kapsanan aktarımlar için AB-ABD veri aktarımları için bir TIA’ya teknik olarak ihtiyaç duyulmayacaktır. Bununla birlikte, mevcut TIA’lar (örneğin, Standart Sözleşme Maddeleri kapsamında madde 14 uyarınca hazırlanan), ABD gözetim yasalarındaki değişiklikleri gözden geçirilmelidir. TIA’ların, DPF Yeterlilik Kararı tarafından kapsanmayan ABD’ye veya diğer üçüncü ülkelere gerçekleştirilen veri aktarımlarında uygulanması gerekliliği devam etmektedir.
DPF Yeterlilik Kararı’na bu linkten ulaşabilirsiniz.