Gdpr Kapsamında Standart Sözleşme Hükümlerinin (Scc) Rolü

Okuma Süresi: 5 Dakika

Gdpr Kapsamında Standart Sözleşme Hükümlerinin (Scc) Rolü

Genel Olarak

4 Haziran 2021 tarihinde Avrupa Komisyonu; Avrupa Birliği (AB) ülkeleri ile AB’ye üye olmayan ülkeler arasında gerçekleşen veri aktarımına uygulanmak üzere, 2021/914 sayılı Kararı’yla[1] Standart Sözleşme Hükümleri[2] (SCC) kabul etmiştir. Karar’ın ilk maddesine göre uygulama sınırı, Genel Veri Koruma Tüzüğü’ne[3] (GDPR,Tüzük) tabi olan veri sorumluları veya veri işleyenler ile GDPR’a tabi olmayan veri sorumluları veya veri işleyenler arasında gerçekleşen veri transferleri olarak belirlenmiştir. Diğer bir deyişle veri alıcısı[4] AB dışı üçüncü ülke olduğunda, 2021/914 sayılı Karar’ın uygulanabilmesi için GDPR’a bağlı olmaması gereklidir. Ancak veri alıcısının GDPR’a bağlı olduğu durumda ne yapılacağı konusunda boşluk bulunmaktadır.[5]

Bu boşluğun yarattığı belirsizlik yüzünden 26 Ağustos 2024 tarihinde Hollanda Veri Koruma Kurumu (DPA) tarafından Amerika merkezli Uber şirketine 290 milyon para cezasına hükmedilmiştir. Davaya konu olayda; Fransız taksi şoförlerinin kişisel verilerinin uygun güvenceler sağlanmadan Uber şirketine aktarıldığı iddia edilmiştir. DPA, GDPR’ın 5. Bölümüne göre uygun güvenceler sağlanmadığını tespit etmiştir. Buna karşılık Uber, GDPR m.3/2 gereği GDPR’a tabi olduğundan GDPR 5. Bölümün uygulanmasına gerek olmadığını belirtmiş ancak bu savunması DPA tarafından dikkate alınmamıştır. [6]

Uber kararından sonra Avrupa Komisyonu tarafından bu boşluğa ilişkin yeni bir yasa önerisi bildirilmiştir. Yayınlanan yasa önerisiyle beraber, hem veri aktaran[7] hem de veri alıcının GDPR’a bağlı olduğu durumda uygulanacak yeni SCC’ler oluşturulacaktır. Bu hükümler, eski 2021/914 sayılı Karar’da yer alan hükümleri tamamlayıcı niteliktedir. Yeni SCC’lerin 2025 yılının ikinci çeyreğinde yürürlüğe girmesi planlanmaktadır.

Uber uyuşmazlığı ve yeni yasa önerisi öneminin anlaşılması için veri transferi ve GDPR 5. Bölüm ile m.3/2 uygulama kapsamı hakkında kısaca açıklamalar yapılacaktır.

GDPR 5. BÖLÜM ÇERÇEVESİNDE KİŞİSEL VERİLERİN ÜÇÜNCÜ ÜLKELERE TRANSFERİ

GDPR m.44’e göre kişisel verilerin üçüncü ülkeye veya uluslararası organizasyona transferi halinde GDPR 5. Bölüm’de yer alan kuralların uygulanacağı belirtilmiştir. Ancak “kişisel verilerin üçüncü ülke veya uluslararası organizasyonuna transferi” kavramının ne olduğu hakkında GDPR’da açık bir tanım bulunmamaktadır. Avrupa Veri Koruma Kurumu (EDPB) tarafından yayınlanan 2023 tarihli Rehber’e[8] göre:

GDPR m.5. Bölüm anlamında veri transferinin gerçekleşmesi için şu üç şartın varlığı aranmıştır:

(1) GDPR’a tabi olan veri sorumlusu veya veri işleyen (veri aktaran) bulunması,

(2) Veri aktaranın kişisel verileri, diğer veri sorumlusu veya veri işleyene (veri alıcısı) ulaşılabilir kılması,

(3) Veri alıcısının üçüncü ülke veya uluslararası organizasyon olması.

Bu üç şartı içeren herhangi bir veri transferi, GDPR 5. Bölüm’ünde yer alan maddelere uygun gerçekleştirilmelidir.

2023 tarihli Rehber’e göre üçüncü ülke veri alıcısına kişisel verilerini gönderenin doğrudan veri süjesinin kendisi olması halinde (2). şartın sağlanmayacağı belirtilmiştir. (2). şartın sağlanması için üçüncü ülkede bulunan bir veri sorumlusu veya veri işleyen olması gerekmektedir.[9]

GDPR 5. BÖLÜM VE M.3/2’NİN UYGULAMA KAPSAMININ KARŞILAŞTIRILMASI

Bir veri transferi GDPR 5. Bölüm kapsamına girdiğinde, GDPR m.45, m.46 veya m.49 hükümlerine uygun şekilde gerçekleştirilmelidir.  Burada üç aşamalı inceleme söz konusudur. İlk olarak transfer yapılacak ülke hakkında, GDPR m.45’te düzenlenen Komisyon tarafından verilen yeterlilik kararı olup olmadığı incelenmelidir. Yeterlilik kararının bulunmaması halinde GDPR m.46’da yer alan uygun güvencelerden birinin sağlanması yoluyla aktarım yapılabilecektir. Örneğin, GDPR m.46/2-c’ye göre Komisyon tarafından kabul edilen SCC’ler uygun güvencelerden biri olarak sayılmıştır. Bunlardan hiçbiri mümkün değilse GDPR m.49’da belirtilen özel durumlara yönelik derogasyonlardan birinin sağlanması halinde aktarım hukuka uygun sayılacaktır.

Diğer taraftan GDPR m.3, Tüzük’ün bölgesel kapsamını oluşturur. Aynı maddenin 2. fıkrasına göre; EU’ya üye olmayan ülkelerin, mal veya hizmetlerin sunulması veya davranışları izleme faaliyetleri kapsamında EU’ya üye ülke vatandaşlarının kişisel verilerini işlemesi halinde GDPR’a bağlı sayılacağı belirlenmiştir.[10]

2023 tarihli Rehber’e göre; bir veri transferinin GDPR m.3/2 kapsamına girmesi, onun GDPR 5. Bölüm’ünde yer alan yükümlülüklere bağlı olduğu anlamına gelmemektedir.[11] Bu halde GDPR’da yer alan diğer koruma hükümlerine uygun olması aranacaktır. [12]

Rehber’de yer alan örnekte; bir AB vatandaşı, Avrupa pazarına hizmet veren bir üçüncü ülke veri sorumlusu tarafından işletilen web sitesinde online alışveriş yapmaktadır. Web sitesinde yer alan bir formu doldurarak ismini, telefon numarasını ve posta adresini paylaşmıştır. Rehber’e göre, burada kişisel verilerin toplanması veri süjesi tarafından yapılıp veri sorumlusu dahil olmadığından GDPR 5. Bölüm kapsamında veri transferi sayılmayacaktır. Diğer taraftan, üçüncü ülke merkezli veri sorumlusu GDPR m.3/2 bakımından faaliyet sürdürdüğünden Tüzük’e uygun hareket etmesi aranacaktır.[13] Ancak bu yorum tartışmalı olarak görülmektedir.[14] Çünkü ilgili kişilerin verileri, üçüncü ülke web sitesi sahibi olan veri sorumlusu tarafından işlenmektedir. Dolayısıyla veri sorumlusunun dahil olmadığı bir versiyon teknik olarak pek mümkün gözükmemektedir.

Rehber’deki bir başka örneğe göre, bir AB vatandaşı New York’ta otel rezervasyonu yapmak için bir AB seyahat acentesiyle çalışmaktadır.  Seyahat acentesi, vatandaşın kişisel verilerini New York’taki otele iletmektedir. Bu durumda, otel veri sorumlusu ve alıcısı; seyahat acentesi ise veri sorumlusu ve vericisi olarak hareket etmektedir. Bu nedenle, bir veri transferi söz konusu olup diğer tüm şartlar sağlandığından GDPR 5. Bölüm kapsamında sorumlu olacağı belirtilmiştir.[15]

UBER’İN SORUMLULUĞU

Amerika merkezli Uber şirketinin AB taksi şoförlerinin taksi ruhsatlarını, konum verilerini, fotoğraflarını, ödeme bilgilerini, kimlik belgelerini ve bazı durumlarda sürücülerin suç ve tıbbi verilerini topladığı belirtilmektedir.[16] Bu durumda Uber şirketinin veri sorumlusu olarak AB ülkelerine karşı veri alıcısı konumunda olduğu söylenebilecektir. AB pazarına taksicilik hizmeti sağladığından GDPR m.3/2 gereği, GDPR’a bağlı olduğu yorumu da yapılabilecektir. Dolayısıyla Rehber’e ve 2021/914 sayılı Karar’a göre, SCC’leri uygulama zorunda olmadığı anlamına gelmektedir. Ancak DPA bu görüşün aksini belirterek Uber şirketinin GDPR’a bağlı olmadığını, böylelikle 2021/914 sayılı Karar kapsamında olduğunu ve GDPR 5. Bölüm’e göre uygun güvencelerden biri olan SCC’lere yer vermediğinden sorumlu olduğu kararına varmıştır.

SONUÇ

Bir üçüncü ülkenin AB pazarına hizmet vermesine bağlı olarak GDPR’a tabi olup olmadığı konusunda tartışmaların devam ettiği görülmektedir. EDBD tarafından çıkarılan Rehber’in de bu tartışmalara kesin bir çözüm sunmadığı araştırmacılar tarafından belirtilmektedir. 2021/914 sayılı Karar’ın kapsamı nedeniyle GDPR’a tabi olmayan üçüncü ülkelerin sözleşmelerine SCC’leri ekleyememeleri, GDPR 5. Bölüm’e göre hareket etmelerini zorlaştırmaktadır. Bu nedenle Komisyon’un planladığı yeni yasa önerisi, GDPR’a tabi olmayan ülkelere bir çıkış yolu sunmaktadır.

Yazarın “ALGORİTMA HATASI SONUCU BAŞKASINA AİT BİLGİLERE ERİŞİM HAKKINDA KVKK KARARI” isimli yazı için bağlantıdan ulaşabilirsiniz.

  1. Sayı’mızdaki konuk yazarlar Soner Canko ve Av. Burcu TÜMERtarafından yazılan “Açık Bankacılık Uygulamaları; Dünyada ve Türkiye’de Mevzuat Gelişmeleri”isimli yazıyı bağlantıdanokuyabilirsiniz.

————–

[1] Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj (E.T.:03.11.2024).

[2] Standard Contractual Clauses.

[3] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), https://eur-lex.europa.eu/eli/reg/2016/679/oj (E.T.:03.11.2024).

[4] Data Importer.

[5] European Commission, “New Standard Contractual Clauses – Questions and Answers Overview”, https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en (E.T.:03.11.2024).

[6] Kennedys, “International data transfers for Data Importers subject to the EU GDPR: EU Standard Contractual Clauses – Second Wave” https://kennedyslaw.com/en/thought-leadership/article/2024/international-data-transfers-for-data-importers-subject-to-the-eu-gdpr-gdpr-eu-standard-contractual-clauses-sccs-second-wave/ (E.T.:03.11.2024).

[7] Data Exporter.

[8] İlk rehber 18 Kasım 2021 tarihinde yayınlanmıştır. Ayrıntılı bilgi için: https://www.edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf (E.T.:03.11.2024). İkinci versiyonu 14 Şubat 2023 tarihinde yayınlanmıştır. Ayrıntılı bilgi için: https://www.edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf (E.T.:03.11.2024).

[9] 2023 tarihli Rehber, s.8.

[10] T.C. Dışişleri Başkanlığı Avrupa Birliği Başkanlığı tarafından GDPR’ın Türkçe çevirisi için bkz: https://www.ab.gov.tr/siteimages/resimler/Nihai-ABB-HCDB-GDPR.pdf (E.T.:03.11.2024).

[11] 2023 tarihli Rehber, s.6.

[12] DLA PIPER, “EU: Final version of the EDPB-Guidelines 05/2021 on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V of the GDPR” https://privacymatters.dlapiper.com/2023/03/eu-final-version-of-the-edpb-guidelines-05-2021-on-the-interplay-between-the-application-of-art-3-and-the-provisions-on-international-transfers-as-per-chapter-v-of-the-gdpr/ (E.T.:03.11.2024).

[13] 2023 tarihli Rehber, s.18.

[14] European Law Blog, “Exploring the Awkward Secret of Data Transfer Regulation: the EDPB Guidelines on Article 3 and Chapter V GDPR” https://www.europeanlawblog.eu/pub/exploring-the-awkward-secret-of-data-transfer-regulation-the-edpb-guidelines-on-article-3-and-chapter-v-gdpr/release/1 (E.T.:03.11.2024).

[15] 2023 tarihli Rehber, s.19.

[16] BBC, “Uber Fined €290m For Personal Data Transfer” https://www.bbc.com/news/articles/cy76v561g48o (E.T.:03.11.2024).