Avrupa Birliği Komisyonu (Komisyon), Avrupa Birliği (AB) ile Amerika Birleşik Devletleri (ABD) arasındaki kişisel veri aktarımına yönelik anlaşma metnini 10 Temmuz 2023’te kabul etti.
Avrupa
Ekonomik Alanı (AEA)’ndaki bir veri işleyicisinden ya da denetleyicisinden ABD’li
özellikle global şirketlere aktarılan veriler için yeterli koruma
yükümlülükleri düzenlenen bu “AB-ABD Veri Gizliliği Çerçevesi” (EU-U.S.
Data Privacy Framework -DPF) bu bağlamda AB ile ABD arasındaki üçüncü
anlaşma niteliği taşıyor.
Daha önce Avrupa Adalet Divanı’nın kabul ettiği Schrems I kararı ile Safe Harbour (Güvenli Liman) ve Schrems II kararı ile Privacy Shield (Gizlilik Kalkanı) uygulamalarına rağmen, Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Rules - GDPR) kapsamında ABD’li şirketlere veri aktarımı konusunda ABD’nin yeterli düzeyde koruma sağlayamadığı, muhtelif AB üyesi Veri Koruma Otoriteleri tarafından başlatılan, özellikle Google (yeni Alphabet) ve Meta (eski Facebook) gibi global ve yüksek kullanıcı sayısına sahip şirketler hakkındaki soruşturmalardan ve verilen kararlardan anlaşılmaktaydı. Söz konusu düzenlemeler de yeterlilik düzeyini sağlayamadığı için Avrupa Adalet Divanı tarafından 2020’de iptal edilmiş ve bu boşluk ‘Standart Sözleşme Klozu’ (Standard Contractual Clause -SCC) ve daha sonra ‘Bağlayıcı Şirket Kuralları’ (Binding Corporate Rules – BCR) olarak düzenlemelerle giderilmeye çalışıldı.
DPF, 10 Temmuz 2023 tarihi itibariyle yürürlüğe girmiş olup, bu tarih itibariyle AEA’daki kamu ve özel kuruluşlardan ABD’li sertifikalı şirketlere, ek veri koruma önlemleri almaya gerek olmadan ücretsiz ve güvenli olarak veri aktarılmasına izin verilmektedir.
Bu durumda; Meta’nın yeni sosyal medya platformu olan Threads’in GDPR kapsamındaki koruma endişeleri ve AB’de yeni kabul edilen Dijital Pazar Yasası (Digital Market Act – DMA) çerçevesindeki rekabet endişeleri nedeniyle AEA’da kullanımını sağlamadığı şu dönemde, Komisyon tarafından kabul edilen DPF’nin getiridiği yükümlülükler nelerdir?
- ABD istihbarat servislerinin verilere erişimlerini sınırlayan bağlayıcı korumalar getirildi.
- ABD istihbarat servislerinin hukuka aykırı kişisel veri işleme şikayetlerini bireyler önce ABD tarafında sivil özgürlükleri koruma görevlisine, ardından yeni oluşturulan Veri Koruma İnceleme Mahkemesi’ne (Data Protection Review Court -DPRC) sivil özgürlükleri koruma görevlisinin kararına itiraz etmek için başvurabilecekler.
- ABD’li şirketlere sertifika yükümlülüğü getirildi. Bu kapsamda ABD’li şirketler, veri saklama ve koruma amacı gibi gizlilik ilkesi kapsamındaki yükümlülüklerini taahhüt ettikleri bir sertifika sistemi olacak ve sertifikası olan şirketler, Komisyon’un Ticaret Bakanlığı (Department of Commerce) tarafından duyurulacak.
- AB’li kişisel veri sahipleri, ABD’deki sertifikalı şirketlere aktarılacak verilerinin silinmesi ve düzeltilmesi, gibi herhangi bir gerekçe ileri sürmeye gerek olmaksızın haklarını direkt olarak talep edebilecekler.
- AB’den ABD’ye veri aktaran sertifikalı şirketler için ABD Federal Ticaret Komisyonu’na (Federal Trade Commission) ve Ulaştırma Bakanlığı’na (Department of Transportation) DPF çerçevesindeki yükümlülüklerine uygun faaliyette bulunmalarını sağlama yükümlülüğü getirildi. Ayrıca Ticaret Bakanlığı da (Department of Commerce) DPF’nin etkin yönetimi ve denetimini sağlamakla yükümlü tutuldu.