A-

A+

Schrems II’de Savcı Standard Contractual Clause’lar geçerli dedi

Schrems II olarak anılan, Veri Koruma Otoritesi v Facebook Ireland ve Schrems davasıyla ilgili İrlanda Yüksek Mahkemesi, Avrupa Birliği Adalet Divan’ın (Court of Justice of European Union)  AB dışına veri aktarımına imkan veren Decision 2010/87 Standard Contractual Clause’ların (“SCC”) geçerliliği konusunda  görüşünü istemişti. Bu görüş talebi, Avrupa Birliği’nin İşleyişine Dair Anlaşma’nın (Treaty on the Functioning of the European Union) 267. maddesinde düzenlenen ön karar (preliminary ruling) müessesinin işletilmesi yoluyla yapılmıştı.

Halihazırda ön karar talebine dair inceleme süreçleri devam ediyor. Ama Advocate General Saugmandsgaard Øe’nin konuya dair merakla beklenen savcılık görüşü bugün yayınlandı. Adalet Divanı açısından bağlayıcı olmayan görüşte Øe, SCC’lerin geçerli olduğuna dair kanaatini bildirdi.

Savcının görüşü neden önemli? AB ülkeleri dışına veri aktarımlarının hukuka uygunluğu açısından dayanılabilen bir kaç mekanizma var. Türkiye gibi güvenli kabul edilmeyen ülkelere yapılan veri aktarımları açısından en yaygın kullanılan mekanizma da SCC’ler. Adalet Divan’ın SCC’leri Schrems’in iddiaları doğrultusunda geçersiz bulması halinde, özellikle ticari faaliyetleri kapsamında yurtdışına veri transferleri konusunda SCC’lere dayanan şirketler, birden hukuka aykırı veri transfer ediyor duruma düşebilirler. Ama Savcı Øe’nin bugün yayınlanan görüşü sonrası bu risk çok azalmış görülüyor.

Diğer yandan, bunu Facebook için bir zafer diye algılamamak gerekir. Zira görüş, çok net şekilde SCC’ler kapsamında ilgili kişilerin haklarının korunması açısından GDPR’a denk bir korumanın temin edilmesinin veri sorumlusunun yükümlülüğü olduğunu belirtiyor. Bu itibarla, SCC’ler  tahtındaki yükümlülüklerle, transfer edilen ülkenin kanunları  tahtındaki yükümlükler arasında ihtilaf doğması nedeniyle SCC hükümlerine uyulamaması durumda; veri sorumlusunun veya veri sorumlusu yerine getirmezse ilgili veri koruma otoritesinin, veri transferini durdurma veya yasaklama yükümlülüğü olduğunun (bunun ihtiyari olmadığının) altını çiziyor.

Bu görüş, Adalet Divanı tarafından da benimsenirse, SCC’ler kapsamında veri aktarımlarının hepsinin geçersiz sayılması riskini ortadan kaldırdığı gibi, ilgili ülkelerin yerel mevzuatında resmi makamlar ve yabancı devletler tarafında bilgi paylaşılması taleplerine dair süreçler olduğunda veri sorumlusu tarafından öncelikle talep açısından SCCa aykırılık olup olmadığının değerlendirilmesini  gerektirecek. Veri sorumlularının SCC’lar kapsamında yükümlülüklerini hafife almamaları ve resmi kurumlardan gelen taleplerin yerine getirilmesi bakımında kişilerin haklarını koruma taahhütlerini teminen gerekli prosedürleri geliştirmeleri gerekli. Bu yükümlülüklerini ihlal ediyor olmaları halinde ise veri koruma otoritelerinin yaptırımların maruz kalmaları ise kaçınılmaz olacak.

Savcının görüşünün tam metnine buradan ulaşabilirsiniz. Oldukça uzun bir metin ama tüm yönleriyle SCC’leri ve AB dışına veri aktarımının hukuki dayanaklarını anlamak için okumanızı tavsiye ederiz.