E-Bülten No 03/23

İrlanda Veri Koruma Komisyonu tarafından açıklanan ceza, Avrupa Birliği'nin Genel Veri Koruma Tüzüğü’nün (GDPR) yürürlüğe girmesinden bu yana bir şirkete verilen en ağır ceza olma niteliğine sahip. Pazartesi günü açıklanan karar sadece Facebook için geçerli olup Meta'nın da sahibi olduğu Instagram ve WhatsApp için geçerli değil. Meta kararı temyize götüreceğini ve Facebook'un Avrupa Birliği'ndeki hizmetlerinde hemen bir kesinti olmayacağını söyledi. Kararla birlikte Meta'ya uyum sağlaması için beş aylık bir süre tanındı. Şirketin temyize gitmesi ise uzun bir yasal süreci beraberinde getirecek.

      Ceza neden verildi?

      Esasında uygulanan idari ceza AB ile ABD arasında veri transferleri yapılması için AB Komisyonu’nunca verilen ABD’de yeterli veri koruma sağlandığına dair kararların iptali ile sonuçlanan Schrems I ve Schrems II kararlarının bir devamı olarak görülebilir. 2008 yılında ABD’de Dış Güvenlik İstihbarat Kanununda (Foreign Intelligence Surveillence Act-FISA) yapılan değişiklikle * istihbarat kurumlarına dijital yazışmalar da dahil olmak üzere ABD sınırları dışında yaşayan yabancılara karşı istihbari çalışma yapma yetkisi verildi ve elektronik iletişim hizmeti sunan kuruluşlara bu amaçla kendilerinden talep edilen verileri Amerikan kurumlarına sağlama mükellefiyeti getirilmişti. Bu kanuna göre ABD Başsavcısı ya da Ulusal İstihbarat Direktörü’nün yazılı talebi üzerine FISC olarak bilinen ve kararlarını gizli olarak açıklayan mahkemenin vereceği kararla ABD vatandaşı olmayan ve ABD toprakları dışında yaşayan kişilerin bir yıl süreyle takip edilmesi mümkün olup hangi kişilerin takibe alınacağının belirtilmesi şart olmadığı gibi makul şüphe şartı da aranmamakta. Kararın verilmesinin ardından iletişim kayıtlarının alınması için tüm elektronik iletişim hizmeti veren kuruluşların talep eden yetkili kurumlara derhal gerekli bilgi ve belgeleri sunması gerekmekte. Hizmet sunucularının gelen yazılı emirlere gizli bir şekilde uyması ve kullanıcıları bilgilendirmemesi de yasal bir zorunluluk. Elektroınik iletişim hizmetleri sağlayıcıları teriminin içerisinde telekomünikasyon hizmet sunucularının yanı sıra facebook, Google, Instagram gibi elektronik iletişim hizmeti sunan tüm kuruluşlar dahildir. 2013 yılında Snowden tarafından yapılan ifşalarla ortaya çıkan PRISM ve UPSTREAM mekanizmalarına göre ise elektronik iletişim hizmeti sunucularının yardımıyla doğrudan veri akışlarının toplanması söz konusu. UPSTREAM ise dolaylı olarak internet hizmetinin alt yapısını oluşturan sunuculardan yukarı yönde iletişim kayıtlarının tespiti söz konusudur. Esas itibariyle ağ kablolarından geçen veriler kopyalanarak filtrelenmekte ve depolanmaktadır. 

      Schrems II kararında† ABAD, yukarıda açıklanan düzenlemelerin geniş çaplı ve her hangi bir güvence olmaksızın istihbarat faaliyetlerine imkan sağlaması nedeniyle ABD’de GDPR ile eş değerli bir korumanın söz konusu olmadığına hükmederek bu ülkeye veri transferine imkan sağlayan Privacy Shield sistemini iptal etti. Bu sisteme dahil olan ABD’li firmalar Avrupa Ekonomik Alanında bulunan kişilerin verilerini ABD’ye aktarma imkanına sahipti. ABAD’ın bahse konu kararında Standart Sözleşme Hükümleri’nin gerekli tedbirlerin alınması koşuluyla kullanılabileceğine hükmedilmişti. 

      Facebook karar sonrasında GDPR Md. 46’da ön görülen standart sözleşme hükümleri ve 49. Maddede ön görülen derogasyonlara dayanarak ABD’ye veri aktarmaya devam etmekteydi.  İrlanda Veri Koruma Komisyonu (DPC) tarafından yapılan denetim neticesinde Schrems II kararında belirtilen koşullara uyulmaksızın aktardığı tespit edilmiştir. Buna göre Facebook ABD’de eşdeğer düzeyde bir koruma sağlandığını ve alınan ek tedbirlerle eksikliklerin etkilerinin azaltıldığını farz ederek veri aktarımına devam etmiştir. GDPR’ın 108 sayılı gerekçesine göre üçüncü ülkede GDPR ile eşdeğer bir veri koruması sağlandığına dair bir yeterlilik kararının olmaması durumunda, 46(1) maddesi uyarınca veri sorumlusu veya veri işleyen tarafından veri koruma mevzuatından kaynaklanan gereksinimlerine uyum sağlanması ve AB sınırlarında söz konusu olduğu gibi veri sahiplerinin haklarını kullanabilmesini temin etmek amacıyla makul önlemlerin alınması gerekmektedir. (Schrems II kararı paragraf 95) 

      Avrupa Veri Koruma Kuruluna göre‡ AB üyesi olmayan ve kişisel veriler için yeterli koruma sağlanmayan bir ülkeye veri aktarımı yapmadan önce depolama ve transfer anında şifreleme, anonimleştirme gibi teknik tedbirler alınmalı. Ayrıca ek sözleşme hükümleri ile en azından veri aktaran tarafın aktarılan yerde GDPR ile uyumlu olmayacak uygulamalar hakkında bilgi sahibi olmasının sağlanması ve itiraz edebilmesi ve en azından veri aktarımını askıya almasını sağlayacak düzenlemeler yapılması gerekmektedir. Son olarak idari düzenlemelerle veri aktarımına katılan çalışanların eğitilerek denetlenmesi ve sürekli uygulamanın izlenerek gecikmeksizin etkin tedbirlerin alınması tavsiye edilmektedir. 

      Yeterlilik kararı ya da standart sözleşme hükümleri gibi tedbirlerin söz konusu olmadığı durumlarda AB dışına veri aktarımı yapılabilmesi için ise geri kalan tek yasal zemin spesifik durumlar için ön görülmüş istisnai haller olup aşağıda sıralanmıştır: 

      (a) veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle söz konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;

      (b) aktarımın veri sahibi ile veri sorumlusu arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;

      (c) aktarımın veri sorumlusu ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;

      (d) aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;

      (e) aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;

      (f) veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;

      (g) aktarımın AB veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya Üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.

      Yukarıda sayılan derogasyonlar dar bir şekilde yorumlanmakta olup Avrupa Veri Koruma Kurulu aldığı bağlayıcı kararda Facebook kullanıcı verilerinin AB'den ABD'ye sistematik, toplu, mükerrer ve devamlı bir şekilde aktarımı için uygun hukuki gerekçe olmadığına hükmetmiştir. (Binding Decision 1/2023 on the dispute submitted by the Irish SA on data transfers by Meta Platforms Ireland Limited for its Facebook service (Art. 65 GDPR)

      Facebook kullanıcı verilerinin gerekli tedbirler alınmaksızın ABD’ye aktarılması bakımından ana kuruluş olan Metanın en azından dolaylı kast (dolus eventualis) ile hareket ettiği değerlendirmiş ve ihlalin 300 milyondan fazla kullanıcıyı ilgilendirmesi nedeniyle rekor bir cezaya hükmedilmiştir. 

      Verilen karar aslında Facebook’un Avrupa’daki genel merkezinin bulunması nedeniyle birincil yetkili olan İrlanda Veri Koruma Kurulunca istenmemiş ancak ilgili diğer denetim kurumlarının itirazı üzerine nihai yetkili olan Avrupa veri Koruma Kurulunca alınmıştır. Facebook’un İrlanda’yı seçmesinin nedeni vergi başta olmak üzere idari standartların daha esnek olmasıdır. Ancak Almanya gibi yüksek standart uygulayan ülkelerin yetkili kurumları sürece müdahil olarak one-stop-shop (tek durak noktası) prensibi ile en düşük koruma sağlayan ülkenin mevzuatından yararlanılması önlenmiştir. Aksine burada söz konusu olan en yüksek standardı uygulayan ülkelerin diğerlerini zorladığı trading up olarak bilinen olgudur. Zira GDPR’a göre tüm veri koruma kurulları istişare etmeli ve ihtilaf halinde Avrupa veri Koruma Kurulunun Kararı bağlayıcı olmaktadır. (GDPR Md. 60-65) 

      Deux Ex Machina? Mahremiyet Çerçevesi (Privacy Framework) 

      Facebook’a veri aktarımını durdurması için beş aylık bir süre verilmişitir. Dolayısıyla karar derhal yürülüğe girmemiştir. Öte yandan Avrupa Birliği ve Amerikalı yetkililer, Meta'nın kullanıcılar hakkındaki bilgileri ABD ve Avrupa arasında taşımaya devam etmesi için yeni yasal korumalar sağlayacak bir veri paylaşım anlaşmasını müzakere ediyor. Geçen yıl bunun için bir ön anlaşma duyurulmuştu. Ancak AB’nin veri koruma kuralları, ulusal güvenlik yasaları ve diğer düzenlemelerin bir sonucu olarak şirketlerin, verileri dünyanın dört bir yanındaki veri merkezlerine serbestçe taşınmasına izin vermek yerine, toplandıkları ülke içinde depolamaya zorluyor.

* 50 U.S.C. 1881a metin için bkz: https://www.govinfo.gov/app/details/USCODE-2014-title50/USCODE-2014-title50-chap36-subchapVI-sec1881a

†  C‑311/18 sayılı ve 16 Temmuz 2020 tarihli karar Data Protection Commissioner vFacebook Ireland Ltd, Maximillian Schrems,

‡ 01/2020 sayılı AB ile eşdeğer kişisel very koruması sağlanmasını temin etmek için gerekli olan very transferlerinde kullanılacak ek tedbirlere ilişkin tavsiye kararı (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)