AB ile Veri Alışverişinde Bulunan Türk Şirketlerin Dikkat Etmesi Gereken Yeni Sözleşmesel Hükümler Yolda

Avrupa Birliği Komisyonu güvenli veri transferini kolaylaştırmak adına bir daha adım atarak AB dışı ülkelere gerçekleştirilen veri aktarımında koruma amaçlı başvurulan Standart Sözleşmesel Hükümler (“SSH”) (Standard Contractual Clauses) hakkında yeni bir taslak çalışması sundu. Yeni taslak, mevcut düzenlemenin ötesine geçerek daha detaylı ve uzun hükümler ve yükümlülükler öngörmekte, ayrıca veri aktaran ve veri alıcısı arasındaki ilişkiyi çok boyutlu düzenleyerek, veri aktarımının daha güvenli bir zeminde gerçekleşmesini hedeflemektedir. Yeni taslağın kabul görmesiyle birlikte AB dışındaki ülkelere gerçekleşecek kişisel veri aktarımlarında, veri alışverişine taraf olan tüm işletmelerin önceden ilgili hükümlere aşina olmasında fayda olacaktır.

Söz konusu taslak çalışma, Avrupa ülkeleri ile veri transferinde bulunan Türk şirketler için ehemmiyet arz ederken aynı zamanda yurt dışına veri aktarımlarında Türkiye’den yeterli korumanın bulunmadığı ülkelere yapılacak olan kişisel veri transferlerinde kullanılan ve Kişisel Verileri Koruma Kurulu (“KVKK”) tarafından önerilen taahhütnamelerde de güncelleme yapılmasını gerektirebilir. Nitekim halihazırda kullanılan taahhütname metinleri mevcut SSH hükümleri dikkate alınarak neredeyse onun tercümesi olarak hazırlanmıştır.

Yeni SSH taslağında yer alan bazı önemli değişiklikler kısaca şu şekildedir:

Sözleşme Tarafları: Mevcut SSH’daki taraflar ve gözetilen iş ilişkileri daha kısıtlıyken yeni taslakta veri aktarımındaki taraflar genişletilerek SSH’ye taraf olabilecekler arttırılmıştır. Dört farklı seçenek sunulan yeni taslağa göre, SSH (i) veri sorumlusu ile veri sorumlusu, (ii) veri sorumlusu ile veri işleyen, (iii) veri işleyen ile veri işleyen ve (iv) veri işleyen ile veri sorumlusu arasında gerçekleşen kişisel veri transferlerinde uygulama bulacaktır. Ayrıca içerilen ek katılım maddeleri ile tarafların daha da genişletilmesine imkan tanınmıştır. Bu sayede örneğin, onward veri aktarımlarında kişisel veri sahibi, veri sorumlusu ve veri işleyen haricinde veri işleyenler adına veri işleyen alt yükleniciler de SSH’lere taraf olabilecek. Diğer bir deyişle ek katılım imkanı sayesinde mevcut taraflara ilaveten başka veri aktarıcıları ve veri alıcıları da aynı sözleşmeye taraf olabilecektir. Böylelikle, kişisel verilerin aktarımına dair koruma alanı daha da genişletilerek güvenli bir ortam sağlanması hedeflenmektedir.

Veri Aktarıcısı ve Alıcısı’nın Yükümlülükleri: Yeni taslak SSH, Avrupa Adalet Divanı’nın 16 Temmuz 2020 tarihli Schrems II kararında Avrupa Birliği’nden ABD’ye yapılacak veri aktarımlarına ilişkin “Gizlilik Kalkanı” Anlaşması’nın iptal edilmesi üzerine gündeme gelmiştir. Buradaki amaç Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca üçüncü taraf ülkelere yapılacak veri aktarımı söz konusu ülkenin ilgili iç hukuk düzenlemelerinde yeterli veri güvenliğinin sağlandığının Komisyon tarafından onaylanması ve yeterli veri güvenliğinin söz konusu olmaması halinde ise SSH’lerin uygulanarak gerekli koruma ve tedbirin sağlanmasıdır.
Komisyon da bu karara atfen, yeni SSH kapsamında veri alıcısı rolündeki kurumlara bazı yeni yükümlülükler getirmektedir. Avrupa Ekonomik Alanı (“AEA”) dışındaki ülkelerde yer alan veri alıcıları Avrupa’dan gerçekleşecek kişisel veri transferlerinde, yeterli veri koruma güvenlik ve tedbirini sağlayabileceğinin garantisini verebiliyor olmalı, kendi iç hukuklarında SSH’ler ile çelişen bir düzenleme olmadığını kontrol etmelidir. Gerek veri aktarıcısı gerekse de veri alıcısı bu yönde tam kapsamlı bir araştırma yapmakla mükelleftir. AEA dışı, üçüncü ülkelerde yer alan veri alıcıları, AB vatandaşlarına ait kişisel verilerin AEA dışındaki idari kurumlar tarafından talep edilmesi halinde, bu talebin hukuka uygunluğunu denetlemek ve bu talebin reddi için mümkün olan hukuki yolların hepsini tükettiğinden emin olmak zorundadır.

Kişisel Veri Sahibinin Bilgilendirilmesi: Veri aktarımına konu olan kişisel veri sahibinin talebi halinde ilgili SSH’lerin bir kopyası kendisine sunulacak ve özellikle veri aktarım amacının değişmesi ya da verinin ifşa edileceği üçüncü kişinin değişmesi durumlarında mutlaka bilgilendirilecektir. Burada rıza alınmasına rağmen bilgilendirme yükümlülüğünün son bulmayacağını görmekteyiz.

Veri Alıcısı Sıfatıyla Veri İşleyenin Sorumluluğu: Gerek asıl veri işleyen gerek alt veri işleyen için GDPR’nin 28. Maddesi ile uyumlu pek çok teknik ve organizasyonel tedbir alma yükümlülüğü getirilmiştir. Ayrıca alt veri işleyen, veri aktarıcısı veya veri sorumlusunun talebi halinde alt veri işleyen sözleşmesini sunmakla yükümlüdür. Mevcut düzenleme ve GDPR uyarınca böyle bir yükümlülük mevcut değilken, alt veri işleyenin de sorumluluk sınırının genişletildiği ve esas olarak asıl veri işleyenin sorumluluğu ile yetinilmediği gözlemlenmektedir.

Yeni SHH taslağının Türk şirketleri nasıl etkileyebileceğine bakacak olursak;

Avrupa’dan, AEA dışında yer alan ülkelere gerçekleşecek veri aktarımlarında başvurulan SSH’ler, veri alıcısı ve veri işleyen sıfatıyla Türkiye’de mukim şirketleri de etkileyecek olup, yeni taslak kabul edildiğinde, veri alıcısına getirilen yükümlülükler de dahil olmak üzere önceden ilgili hükümler hakkında aşinalık şüphesiz önemlidir. Öte yandan yeterli korumanın olmadığı ülkelere Türkiye’den gerçekleşen veri aktarımlarında başvurulan KVKK taahhütnamelerinin büyük ölçüde SSH hükümlerinden uyarlandığını gözetecek olursak, bu doğrultuda bir güncelleme gerekeceğini belirtmekte fayda olacaktır.

Yeni taslak SSH’lerin getireceği değişiklikler ve yükümlülükler hakkında daha detaylı bilgi almak için lütfen hande.aksu@ege-law.com veya info@ege-law.com ile iletişime geçiniz.