2016/679 sayılı Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca kişisel verilerin Avrupa Ekonomik Alanı (“AEA”) dışında bulunan bir üçüncü ülkeye aktarılması, GDPR’ın 5’inci bölümünde yer alan koşullara tabidir. Diğer bir deyişle, böyle bir aktarım için GDPR’ın 5’inci bölümünde yer alan opsiyonlardan birinin izlenmesi ya da bu opsiyonlardan birinin uygulama alanı bulması gerekmektedir.

Bu opsiyonlardan bir tanesi, GDPR’ın 45’inci maddesi uyarınca verilecek bir yeterli koruma kararına[1] istinaden kişisel verilerin AEA dışına aktarılmasıdır. Daha evvel, Avrupa Komisyonu’nun, AEA’dan Amerika Birleşik Devletleri’ne (“ABD”) kişisel veri aktarımını sağlayan “Safe Harbour” isimli kararı mevcuttu ancak bu karar, Avrupa Birliği Adalet Divanı’nın “Schrems I” olarak bilinen kararı[2] kapsamında geçersiz kılındı. Schrems I kararını takiben,  Avrupa Komisyonu’nun “Privacy Shield” isimli yeterlilik kararı kapsamında AEA’dan ABD’ye kişisel veri aktarımı mümkün hale gelmişti ancak bu karar da Avrupa Birliği Adalet Divanı’nın “Schrems II” olarak bilinen kararı[3] kapsamında geçersiz hale geldi. Her iki kararda da dikkat çeken husus, ABD’de kişisel veri sahiplerine GDPR ile eşit ölçüde koruma sağlanamaması yönündeki tespitti. Özellikle Schrems II kararında, Privacy Shield çerçevesinde aktarılan kişisel verilere ABD’deki kolluk kuvvetleri ile ulusal güvenlik mercilerinin erişim sağlayabileceği, ilgili mevzuatta bunu engelleyen ya da kısıtlayan herhangi bir düzenleme olmadığı belirtilerek, bu hususa daha da çok dikkat çekilmiştir.

Hali hazırda, AEA’dan ABD’ye kişisel veri aktarımına bu aktarıma ilişkin herhangi bir yeterli koruma kararı yürürlükte bulunmamaktadır. Bu nedenle, şirketler genel itibariyle GDPR’ın 5’inci bölümünde düzenlenen standart sözleşme maddelerine başvurmaktadır.

13 Aralık 2022 tarihinde, Avrupa Komisyonu tarafından, AEA ve ABD arasındaki kişisel veri aktarımına ilişkin olarak taslak bir yeterlilik kararı (“Taslak Karar”) yayınlanmış olup[4], Taslak Karar’ın yürürlüğe girmesi ile birlikte, AEA’daki şirketlerce ABD’deki şirketlere kişisel veri aktarımı bu karara istinaden mümkün hale gelecektir.

Taslak Kararı, ABD kolluk kuvvetleri ve ulusal güvenlik mercilerinin,  Taslak Karar kapsamında aktarılan kişisel verilere hangi koşullar altında erişebileceğini belirlemekte ve bu erişimi kamu yararı hedefiyle orantılı ve amacın gerektiği kadarı ile sınırlı tutmaktadır.

Ayrıca, Taslak Karar’ın ekinde, ABD Ticaret Bakanlığı tarafından hazırlanan İlave İlkeler yer almaktadır. 

Taslak Karar ve İlave İlkeler uyarınca, Taslak Karar kapsamında kendilerine veri aktarılan başlıca yükümlülükleri aşağıdaki gibidir:

  • Bildirim (Aydınlatma): Veri sahiplerinin GDPR’da belirtilen yükümlülüklere uygun olarak aydınlatılmaları gerekir. Bu aydınlatma ile birlikte, ilgili şirketler Taslak Karar ile bağlı olduklarını belirtmelidirler.
  • Seçim Hakkı: İlgili şirketler, veri sahiplerine, kişisel verilerinin üçüncü bir tarafa ifşasını (veri işleyen olarak hareket eden kuruluşlara ifşalar hariç) veya kişisel verilerinin toplanma amaçları dışında kullanılmasını engelleme seçeneği sunmalıdır.
  • Sonraki Aktarımlar İçin Hesap Verebilirlik: Kişisel verilerin aktarıldığı şirketlerce sonradan yapılacak aktarımlar, ABD’ye veya başka bir üçüncü ülkeye yönelik olup olduğuna bakılmaksızın, yalnızca sınırlı ve belirli amaçlar için, üçüncü tarafla yapılan bir sözleşmeye dayanılarak ve yalnızca sözleşmenin üçüncü tarafa İlkelerin gerektirdiği düzeyde koruma sağlaması durumunda yapılabilmektedir. İlaveten, veri sorumlusundan veri işleyene böyle bir aktarım yapıldığında, ek yükümlülükler olduğu görülmektedir.
  • Güvenlik: İlgili şirketler, kişisel verilerin işlenmesiyle ilgili riskleri ve kişisel verilerin niteliğini dikkate alarak, kişisel verilerin kaybolmaması, kötüye kullanılmaması ve kişisel verilere yetkisiz erişim yapılmaması, kişisel verilerin yetkisiz olarak ifşa edilmemesi, değiştirilmemesi ve imha edilmemesi için makul ve uygun önlemler almalıdır.
  • Veri Bütünlüğü ve Amaçla Sınırlı Olma: Diğer yükümlülüklerin, yanı sıra, kişisel veriler, işleme amaçlarıyla ilgili bilgilerle sınırlandırılmalıdır. Bu doğrultuda kişisel veriler, toplandıkları amaç ile uyumlu olmayan veya veri sahibi tarafından yetkinin dışındaki bir amaç ile bir şekilde işlenmemelidir.
  • Erişim: İlgili şirketler, belirli sınırlı istisnalara tabi olarak, veri sahiplerinin, kişisel verilerine erişmesine, bunları düzeltmesine, değiştirmesine veya silmesine olanak sağlamalıdır.
  • Sorumluluk: İlgili şirketlertarafından İlave İlkeler’e uyumu sağlamaya yönelik bağımsız mekanizmaların hazırlanması gerektiği belirtilmektedir.

İlave İlkeler ile ilgili dikkat çeken diğer bir husus; kişisel verinin,  GDPR ‘a tabi ve gerçek kişiye ilişkin kimliği belirli veya belirlenebilir bilgileri, özel nitelikli kişisel verilerin ise, GDPR’da belirtilen tanımın yanında, üçüncü tarafın ilgili verileri özel nitelikli olarak tanımlaması durumunda bu verileri de kapsamasıdır. Özel nitelikli verilerin, toplanma amacı dışındaki farklı bir amaç için, ancak kişinin açık rızası ile kullanılabileceği belirtilmektedir.

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) karar ve rehberlerinde Avrupa Birliği mevzuatını sıklıkla göz önünde bulundurduğu düşünüldüğünde, ileride mevzuatta verilerin yurtdışına aktarımı hususunda yapılabilecek olası bir değişiklik bakımından Taslak Karar’daki hususlar dikkate alınabilecektir.


[1] Yeterli koruma kararı, Avrupa Komisyonu tarafından, GDPR uyarınca verilen ve Avrupa Birliği dışındaki ülkelerin kişisel verilerin korunmasına ilişkin yeterli koruma sağlayıp sağlamadığını gösteren karar anlamına gelmektedir.

[2] Avrupa Adalet Divanı, C-362/14 numaralı, 06.10.2015 tarihli Karar (Maximilian Schrems v. Data Protection Commissioner), https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=59649 

[3] Avrupa Adalet Divanı, C-311/18 numaralı, 16.07.2020 tarihli Karar (Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems), https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=60115

[4] Taslak karar metni, https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf adresinde yer almaktadır.

Naz Ergörün
Avukat | [email protected]
Behiç Ateş Gülenç
Avukat | [email protected]