Avrupa Komisyonu’nun Yeni Standart Sözleşme Maddeleri ile ilgili Soru ve Cevapları
Bu yazı, Avrupa Komisyonu tarafından yayınlanmış olan metnin çevirisi olup aşağıdan orijinal metne ulaşabilirsiniz.
GİRİŞ
4 Haziran 2021’de Avrupa Komisyonu, biri Avrupa Ekonomik Alanı (EEA) içindeki veri sorumluları ve veri işleyenler arasındaki kullanım için, diğeri ise kişisel verilerin EEA dışındaki ülkelere transfer edilmesi için olmak üzere iki set standart sözleşme maddesi kabul etti. Bu Soru-Cevap dökümanının amacı, paydaşların uyum çalışmalarına yardımcı olmak için standart sözleşmelerin kullanımı hakkında pratik rehberlik sağlamaktır. Bu belgedeki bilgiler yasal tavsiye niteliğinde değildir. Bunun yerine genel bilgilendirme amaçlı sunulmuştur. AB veri koruma hukukuna uygunluğun denetlenmesi ve uygulanması, veri sorumluları ve veri işleyenler açısından ulusal denetim otoriteleri ve mahkemelerin yetki alanına girer.
Bu Soru-Cevap’lar, standart sözleşmelerin kabul edilmesinden sonraki ilk aylarda çeşitli paydaşlardan alınan geri bildirimlere dayanmaktadır. Bu sayfa, içeriği yeni sorular ortaya çıktıkça güncellenecek şekilde ‘dinamik’ bir bilgi kaynağı olarak tasarlanmıştır.
I. STANDART SÖZLEŞME MADDELERİ
GENEL
-
Standart Sözleşme Maddeleri nedir?
Standart sözleşme maddeleri (standart sözleşmeler), veri sorumlularının ve veri işleyenin AB veri koruma hukuku kapsamındaki yükümlülüklerine uyum sağlamasına olanak tanıyan, önceden onaylanmış model veri koruma maddeleridir. Veri Sorumluları ve veri işleyenler bu maddeleri ticari ortaklarıyla yaptıkları sözleşmelere dahil edebilirler. standart sözleşmeleri kullanmak zorunlu değildir. Maddeler, veri koruma gerekliliklerine uyumun gönüllü olarak gösterilmesi için kullanılabilir ve bu durumda standart sözleşmelere uyulması yönünde bağlayıcı bir sözleşme taahhüdü gerektirir.
Avrupa Komisyonu, (1) veri sorumlusuları ve veri işleyenler arasındaki ilişki ve (2) EEA dışındaki ülkelere kişisel veri transferi için standart sözleşmeler kabul etme yetkisine sahiptir.
-
Avrupa Komisyonu hangi Standart Sözleşme Maddelerini kabul etti?
4 Haziran 2021’de Komisyon iki set Standart Sözleşme Maddesi (standart sözleşme) kabul etti:
- Veri Sorumluları ve veri işleyenler arasındaki ilişki için standart sözleşmeler, 2016/679 sayılı Tüzük’ün (Genel Veri Koruma Tüzüğü, GDPR) ve 2018/1725 sayılı Tüzük’ün (AB kurumları, organları, ofisleri ve ajanslarına uygulanan Veri Koruma Tüzüğü, EUDPR) 28(3) ve (4) maddelerindeki gereklilikleri karşılamaktadır. Bu nedenle, bu standart sözleşmeler hem kamu hem de özel kuruluşlar tarafından kullanılabilir. Standart sözleşmeler, EEA genelinde veri sorumlusuları ve veri işleyenler arasındaki ilişki için tutarlı bir yaklaşım sağlar.
- Kişisel verilerin EEA dışındaki ülkelere transferi için standart sözleşmeler, GDPR’nin bu tür transferler için getirdiği gerekliliklere uyum sağlar.
-
Standart sözleşmelerin kullanmanın avantajları nelerdir?
Standart sözleşmeler, önceden onaylanmış ve standart hale getirilmiş olmaları nedeniyle kullanımı kolay, “hazır bir araç” sunar. Bu durum, özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler) veya her ticari ortaklarıyla bireysel sözleşme müzakere edecek kaynaklara sahip olmayan şirketler için önemlidir.
-
Avrupa Komisyonu, standart sözleşmeleri geliştirirken hangi süreci izledi?
İki standart sözleşme setini hazırlarken, Komisyon, sahadaki gerçekleri ve ihtiyaçları daha iyi anlamak ve mevcut standart sözleşmeleri kullanma konusundaki pratik deneyimlerinden öğrenmek amacıyla paydaşlardan geri bildirim talep etti. Komisyon, GDPR Çok Paydaşlı Uzman Grubu, geniş çaplı bir kamuoyu danışma süreci (veri transferlerine ilişkin SCC’ler için buraya ve veri sorumluları ile veri işleyenler arasındaki SCC’ler için buraya bakın), özel çalıştaylar/yuvarlak masa toplantıları ve bağımsız bir dış araştırma yoluyla çeşitli paydaşlardan (sanayi, sivil toplum, hukuk profesyonelleri ve akademisyenler dahil) ayrıntılı geri bildirim aldı.
-
Avrupa Komisyonu, bir süre sonra yeni standart sözleşmelerin nasıl çalıştığını değerlendirecek mi?
GDPR’nin 97. Maddesi, Komisyonun GDPR’nin uygulanmasını her dört yılda bir gözden geçirmesini gerektirir (2020 değerlendirme raporu burada mevcuttur: Avrupa Komisyonu’nun Avrupa Parlamentosu ve Konseye iletişimi – Genel Veri Koruma Tüzüğü’nün iki yıllık uygulanması). Bir sonraki incelemenin 2024 yılına kadar yapılması bekleniyor ve bu inceleme, standart sözleşmelerin pratik uygulamasını da kapsayacak.
İMZALAMA, DEĞİŞTİRME VE DİĞER SÖZLEŞME HÜKÜMLERİYLE İLİŞKİSİ
-
Tarafların standart sözleşmeleri imzalaması için özel gereklilikler var mı?
GDPR ve EUDPR’nin gerekliliklerini karşılamak veya bir transfer aracı olarak standart sözleşmeleri kullanmak için tarafların, standart sözleşmelere uymayı taahhüt eden yasal bağlayıcı bir anlaşmaya girmesi gerekmektedir. Bu amaçla, tarafların standart sözleşmelerin eklerini doldurmaları ve bir bütün olarak maddelerin bir parçası olan Ek I’i imzalamaları gerekmektedir. Taraflar, iletişim bilgilerini ve maddelerdeki rollerini (veri sorumlusu ve veri işleyen veya veri aktaran ve veri alıcısı) belirtmek zorundadır. Standart sözleşmeler, imzaların nasıl formalize edileceği konusunda herhangi bir gereklilik içermez (örneğin elektronik imzanın kullanılıp kullanılmayacağı). Bu, anlaşmayı düzenleyen ulusal (medeni/sözleşme) hukukuna bırakılmıştır.
-
Standart sözleşmelerin metni değiştirilebilir mi?
Standart sözleşmelerin metni değiştirilemez, yalnızca: (i) metinde sunulan modüller ve/veya belirli seçenekler seçilebilir, (ii) gerekli yerlerde metin tamamlanabilir (köşeli parantezlerle belirtilmiştir), (iii) ekler doldurulabilir, veya (iv) verilerin korunma düzeyini artıran ek güvenceler eklenebilir. Bu adaptasyonlar, temel metnin değiştirilmesi olarak kabul edilmez.
Veri Sorumluları ve veri işleyenler için standart sözleşmeler: Taraflar, standart sözleşmelerin metnini kendileri değiştirdiği takdirde (aşağıda belirtilen adaptasyonların ötesinde), bir AB düzenlemesi tarafından sağlanan yasal güvencelere dayanamazlar.
Veri transferleri için standart sözleşmeler: Taraflar, standart sözleşmelerin metnini kendileri değiştirdiği takdirde, (ilgili modüller ve/veya seçenekler seçilmediği ve köşeli parantezler ve ekler doldurulmadığı sürece) bu değiştirilmiş maddeler, veri transferleri için yasal bir temel olarak kullanılamaz, aksi takdirde ulusal bir veri koruma otoritesi tarafından ad hoc maddeler olarak onaylanmalıdır (GDPR Madde 46(3)(a) uyarınca).
-
Standart sözleşmelere ek maddeler eklenebilir mi veya standart sözleşmeler daha geniş bir ticari sözleşmeye dahil edilebilir mi?
Taraflar, standart sözleşmelere ek maddeler ekleyebilir veya bunları daha geniş bir ticari sözleşmeye dahil edebilirler, ancak diğer sözleşme hükümleri standart sözleşmelere doğrudan veya dolaylı olarak aykırı olmamalı ya da veri sahiplerinin haklarına zarar vermemelidir.
Örnek: standart sözleşmeler tarafların birbirlerini bilgilendirmelerini veya işbirliği yapmalarını gerektiriyorsa, taraflar iletişimin/pratikte işbirliğinin nasıl gerçekleşeceğini belirten ek maddeler üzerinde anlaşabilirler.
Örnek: Uluslararası veri transferleri için standart sözleşmeler, veri ihlali durumunda veri alıcısının gecikmeksizin veri aktaranı bilgilendirmesi gerektiğini belirtir. Taraflar, bu bilgilendirmenin hangi zaman çerçevesinde yapılacağını (örneğin, ihlalin farkına varılmasından itibaren en geç 72 saat içinde) belirtebilirler, ancak genel yaklaşımı (örneğin, gereksiz gecikme olmadan) zayıflatmamaları gerekir.
-
Taraflar, kendi durumlarına uymayan modülleri ve/veya seçenekleri silebilir mi?
Standart sözleşmelere dayanarak taraflar yalnızca kendi durumlarına uygun maddeler üzerinde anlaşmalıdır. Uygulanmayan modüller ve/veya seçenekler silinmelidir.
Örnek 1: Bir veri sorumlusu, uluslararası veri transferleri için standart sözleşmeleri kullanarak başka bir veri sorumlusuna kişisel verileri transfer etmek istiyor. Standart sözleşmelerde modüllerin belirtilmediği tüm genel maddeler (örneğin, Bölüm I) ve Standart sözleşmelerin Modül 1 ile ilgili olan maddeleri alınmalıdır. Yalnızca diğer modüllerle ilgili olan tüm maddeler silinebilir.
Örnek 2: Veri sorumluları ve veri işleyenler arasındaki Standart sözleşmelerin 7.7. Maddesinde (alt veri işleyenlerin kullanımı), tarafların veri alıcısı alt işleyici atamasına yetki vermek için iki seçenekten birini seçmesi gerekir. Eğer Seçenek 1 seçilirse, Seçenek 2 silinmelidir.
Örnek 3: Avrupa Ekonomik Alanı’nda (EEA) yerleşik bir şirket, veri sorumlusu olarak, EEA’da yerleşik bir veri işleyen ile sözleşmesel bir ilişki kurmak istiyor. GDPR’nin 28(3) ve (4) Maddelerine uyum sağlamak için, veri sorumluları ve veri işleyenler arasındaki ilişkide Standart sözleşmeler kullanılabilir. Bu durumda, metin boyunca GDPR’ye atıfta bulunan SEÇENEK 1 seçilmeli ve EUDPR’ye uyumu içeren SEÇENEK 2’ye yapılan atıflar metinden çıkarılmalıdır.
-
Standart sözleşmeler ticari bir sözleşmeye nasıl dahil edilmelidir?
Standart sözleşmelere dayanabilmek ve şeffaflığı sağlamak için, tüm taraflarca imzalanmalı ve sözleşmeye dahil edilmelidir. Ayrıca, tarafların durumuna (örneğin, kapsanan veri transferlerine) uygulanmalı ve ekler doldurularak hangi modüllerin, seçeneklerin ve spesifikasyonların seçildiği açıkça belirtilmelidir.
TARAFLARDAKİ DEĞİŞİKLİKLER
-
“Docking Maddesi” olarak bilinen hükmün amacı nedir?
Docking maddesi, tarafların standart sözleşmelere ek tarafların gelecekte sözleşmeye katılmasını kabul edebilecekleri isteğe bağlı bir hükümdür. Bu, taraflara sözleşmenin yaşam döngüsü boyunca veri işleme düzenlemelerine katılan taraflarla ilgili değişiklikler olması durumunda (örneğin, işleme zincirinin genişletilmesi gerektiğinde) ek esneklik sağlar.
Örnek: Bir veri işleyen, aynı hizmetleri birden fazla veri sorumlusuna sunuyor. GDPR’nin 28. Maddesi’ne uygun standart sözleşmeleri bir veri sorumlusu ile imzaladıktan birkaç yıl sonra, her iki taraf da ikinci bir veri sorumlusunun sözleşmeye katılmasını kabul eder ve docking maddesini kullanırlar.
Örnek: Bir veri sorumlusu, uluslararası standart sözleşmeler kullanarak üçüncü bir ülkeye veri transferi yapmaktadır (Modül 2 kullanılarak). Veri işleyen bir alt işleyen atamak istediğinde, taraflar alt işleyenin başlangıçta imzalanan standart sözleşmelere katılabileceğini kabul ederler (Modül 3 kullanılarak).
-
Docking maddesi pratikte nasıl çalışır? Yeni tarafların katılımına izin vermek için herhangi bir resmi gereklilik var mı?
Bir veya birden fazla yeni taraf, mevcut tüm tarafların rızasıyla standart sözleşmelere katılabilir. Bu rızanın resmi hale getirilmesi, standart sözleşmeler tarafından düzenlenmemiştir, ancak standart sözleşmeleri düzenleyen ulusal hukuk hükümlerine uygun olmalıdır. Örneğin, ulusal sözleşme hukuku kapsamında izin veriliyorsa, bir taraf diğerlerinin adına yeni bir tarafın katılımını kabul etmek üzere atanabilir. Bu yetkilendirme formalize edildikten sonra, yeni taraf Ekler’i doldurmalı ve katılımın geçerli olması için Ek I’i imzalamalıdır. standart sözleşmelere eklenen tarafları sadece ana anlaşmayı değiştirmek yeterli değildir.
-
Yeni bir taraf standart sözleşmelere katıldığında ne olur? Dikkate alınması gereken resmi prosedürler var mı?
Standart sözleşmelere katıldıktan sonra yeni taraf, rolüne (örneğin veri aktaran veya alıcısı, veri sorumlusu veya veri işleyen olarak) uygun tüm hak ve yükümlülükleri üstlenir. Diğer taraflar da aynı anda yeni tarafa karşı ilgili haklara ve yükümlülüklere sahip olur (örneğin, veri sahibi taleplerine yanıt verme konusunda yardım etme yükümlülüğü gibi).
Yeni tarafların eklenmesi durumunda standart sözleşmelerin Ekleri güncellenmelidir. Örneğin, yeni taraflar katıldığında bu taraflar ve rolleri listelenmeli ve ilgili olduğunda transferlerin tanımı ve uygulanan teknik ve organizasyonel önlemler buna göre güncellenmelidir.
II. VERİ SORUMLUSU VE VERİ İŞLEYENLER ARASINDA STANDART SÖZLEŞME MADDELERİ
-
Ulusal veri koruma otoriteleri tarafından kabul edilen standart sözleşmeler ile Komisyon tarafından kabul edilen standart sözleşmeler arasındaki fark nedir?
GDPR’nin 28(8) maddesi, ulusal veri koruma otoritelerine veri sorumluları ve veri işleyenler arasındaki ilişki için standart sözleşmeler kabul etme yetkisi verir. Bir veri koruma otoritesi standart sözleşmeleri kabul ederse, bu maddeler yalnızca o otoritenin yetki alanında geçerlidir. Diğer veri koruma otoritelerinin bu standart sözleşmelerin geçerliliğini kabul edip etmeyecekleri, bu otoritelerin bireysel kararlarına bağlıdır.
Buna karşılık, GDPR’nin 28(7) maddesi uyarınca Komisyon tarafından kabul edilen standart sözleşmeler, tüm EEA genelinde kullanılabilir ve EEA veri koruma otoriteleri için bağlayıcıdır. Komisyon tarafından kabul edilen standart sözleşmelerin geçerliliği, yalnızca Avrupa Birliği Adalet Divanı önünde itiraz edilebilir. Bu maddeler, EEA genelinde uyumlu bir yaklaşım sağlar ve bir AB düzenlemesinin sağladığı yasal kesinliği sunar.
-
Veri sorumlusu, veri işleyene verdiği talimatları hangi biçimde vermelidir?
Madde 7.1’e göre “Veri işleyen yalnızca veri sorumlusuden aldığı belgelenmiş talimatlar doğrultusunda kişisel verileri işler.” standart sözleşmeler, talimatların hangi biçimde verilmesi gerektiğini belirtmez, bu nedenle veri sorumlusu, bu talimatları uygun görülen herhangi bir biçimde (örneğin yazılı veya sözlü olarak, çevrimiçi araçlar ve teknik sinyaller yoluyla) verebilir, ancak talimatların belgelenmesi şarttır.
-
Veri işleyen, veri sorumlusuna görevlendirdiği alt işleyenlerin isimlerini bildirmek zorunda mıdır?
Evet. Madde 7.7 ‘Alt veri işleyenlerin kullanımı’ kapsamında taraflar iki seçenekten birini seçmek zorundadır:
- Seçenek 1: ÖNCEDEN BELİRLİ YETKİLENDİRME veya
- Seçenek 2: GENEL YAZILI YETKİLENDİRME.
Her iki durumda da veri işleyen, veri sorumlusuna alt veri işleyenlerin isimlerini vermek zorundadır, böylece veri sorumlusu seçilen alt işleyenleri yetkilendirme konusunda karar verebilir. Veri işleyenin yalnızca alt veri işleyenlerin kategorilerini vermesi yeterli değildir. Taraflar, veri işleyenin belirli bir yetkilendirme talebini sunması için gereken süreyi (Seçenek 1) veya veri sorumlusunu herhangi bir değişiklik hakkında yazılı olarak bilgilendirmesi için gerekli süreyi (Seçenek 2) kararlaştırabilir.
-
Veri Sorumlusu, veri işleyene alt veri işleyenlerin görevlendirilmesi için genel yetki vermişse, sonraki alt veri işleyen değişikliklerine nasıl itiraz edebilir?
Standart sözleşmelerin Madde 7.7’sine göre Seçenek 2’yi seçmiş olan taraflar, veri işleyenin yazılı olarak veri sorumlusu ile üzerinde anlaşılmış alt veri işleyen listesindeki herhangi bir değişiklik hakkında bilgi vermesi gerektiğini belirtmiştir. Denetleyici bu değişikliklere itiraz ederse, veri işleyen yeni alt veri işleyen(ler)i görevlendiremez.
-
Veri işleyenin veri ihlali durumunda veri sorumlusunu bilgilendirmesi gereken süre nedir?
Standart sözleşmeler, veri işleyenin veri sorumlusunu veri ihlali hakkında bilgilendirmesi gereken süreyi belirtmez. Madde 9.2’ye göre bu bilgilendirme “gereksiz gecikme olmaksızın” yapılmalıdır. Bu nedenle, tarafların bu süreyi kendi özel veri işleme koşullarını göz önünde bulundurarak belirlemeleri gerekir.
-
Veri işleyen, standart sözleşmeler kapsamındaki gerekliliklere uyduğunu denetim dışındaki diğer yollarla da gösterebilir mi?
Evet. veri işleyen, standart sözleşmeler kapsamındaki yükümlülüklerine uyduğunu, GDPR’nin 40. maddesi uyarınca onaylanmış bir “Code of Conduct” ya da GDPR’nin 42. maddesi uyarınca onaylanmış bir sertifikasyon mekanizmasına uyarak veri sorumlusuna gösterebilir. Aynı zamanda, bu durum veri sorumlusunun, standart sözleşmeler kapsamındaki veri işleme faaliyetlerinin bir inceleme veya denetim yoluyla gözden geçirilmesi konusunda karar verme yetkisini etkilemez.
III. ÜÇÜNCÜ ÜLKELERE VERİ TRANSFERLERİ İÇİN STANDART SÖZLEŞME MADDELERİ
Modernizasyonun Nedenleri ve Başlıca Yenilikler
-
Komisyon, uluslararası veri transferleri için önceki standart sözleşmeleri neden modernize etti?
Önceki Veri Koruma Direktifi (95/46/EC Direktifi) uyarınca, Komisyon üç set standart sözleşme kabul etmişti: ikisi EEA’dan bir veri sorumlusundan EEA dışındaki bir veri sorumlusuna yapılan transferler için (2001/497/EC ve 2004/915/EC Komisyon Kararları) ve biri EEA’dan EEA dışındaki bir veri işleyene yapılan transferler için (2010/87/EU Komisyon Kararı). GDPR yürürlüğe girdikten sonra bu standart sözleşmeler kullanılmaya devam etmiştir. Ancak, GDPR’nin yeni yasal çerçevesine uygun hale getirilmesi ve AB Adalet Divanı’nın gelişen içtihatlarına (örneğin, Schrems II davasındaki C-311/18 sayılı karar) uygun hale getirilmesi için bu standart sözleşmelerin güncellenmesi gerekti.
Ayrıca, önceki standart sözleşmeler modern dijital ekonominin gerçeklerine artık uyum sağlamıyordu; uzun ve genellikle karmaşık işleme zincirlerine sahip çeşitli işleme yapıları ve bazen değişen roller bulunuyordu. Bu nedenle, standart sözleşmelerin “mimarisi” modernize edilmeli, kullanıcı dostu hale getirilmeli, ek transfer senaryolarını kapsamalı (örneğin, bir veri işleyenden bir alt veri işleyenye yapılan transferler) ve sözleşmenin yaşam döngüsü boyunca tarafların katılımına olanak tanıyarak daha fazla esneklik sağlamalıydı.
-
Önceki standart sözleşmelere kıyasla başlıca yenilikler nelerdir?
Önceki Veri Koruma Direktifi uyarınca kabul edilen standart sözleşmelerdeki temel unsurlar, modernize edilen maddelerde de korunmuştur. Örneğin, önceki standart sözleşmelerde olduğu gibi, modernize edilmiş standart sözleşmeler de temel veri koruma ilkeleri, güvenlik yükümlülükleri, üçüncü taraf yararlanıcı hakları ve EEA veri koruma otoriteleri ve mahkemelerinin yetkilerine tabi olma taahhütleri içerir. Aynı zamanda önemli değişiklikler de getirilmiştir.
Birincisi, standart sözleşmelerin “mimarisi” güncellenmiştir:
Standart sözleşmeler ek transfer senaryolarını kapsamaktadır: Önceki standart sözleşmelerin uygulama kapsamı, yalnızca veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene yapılan veri transferleri ile sınırlıyken, modernize edilmiş standart sözleşmeler en önemli transfer durumlarını kapsamaktadır: veri sorumlusundan veri sorumlusuna (Modül 1), veri sorumlusundan veri işleyene (Modül 2), veri işleyenden veri işleyene (Modül 3) ve veri işleyendenn veri sorumlusuna (Modül 4).
İki transfer senaryosunu kapsayan üç ayrı standart sözleşme seti yerine, dört transfer senaryosunu kapsayan modüler bir yapıya sahip tek bir standart sözleşme seti oluşturulmuştur. Taraflar, durumlarına uygun olan modülü seçerek genel maddelerle (spesifik transfer senaryosundan bağımsız olarak geçerli olan maddeler) birleştirir.
Standart sözleşmeler artık sözleşmenin yaşam döngüsü boyunca yeni tarafların katılmasına izin veren bir docking maddesi içermektedir.
Standart sözleşmeler, belirli transferlerle ilgili somut bilgilerin sağlanacağı eklerle desteklenmiştir. Örneğin, tarafların listesi ve rolleri, her bir transferin amaçlarının açıklaması, güvenlik önlemleri, hassas verileri korumak için uygulanan güvenceler vb.
İkincisi, maddi olarak birkaç yenilik getirilmiştir:
Standart sözleşmeler, GDPR’nin getirdiği yeni gereklilikleri yansıtmaktadır, bu gereklilikler arasında veri sahiplerinin hakları, veri ihlali bildirimleri ve ileriye yönelik transfer kuralları ile ilgili daha ayrıntılı maddeler yer almaktadır.
Veri Sorumlusundan veri işleyene veya veri işleyenden alt veri işleyene yapılan veri transferleri için, GDPR’nin 28. maddesinin gereklilikleri standart sözleşmelere dahil edilmiştir. Şirketler, bu nedenle, GDPR’nin 28. maddesine uymak için ayrı bir sözleşme imzalamak zorunda değildir.
AB Adalet Divanı’nın Schrems II kararını uygulayan maddeler: standart sözleşmelere taraf olanlar, belirli transfer koşullarını, hedef ülkenin yasalarını ve kişisel verileri korumak için alınan ek güvenceleri belgeleyen bir “transfer etki değerlendirmesi” yapmalıdır.
Kamu yetkililerinin veri transferlerine erişimi durumunda yeni yükümlülükler: örneğin, veri aktaranlara bilgi sağlama ve yasa dışı taleplerle mücadele etme yükümlülüğü.
-
“Eski” standart sözleşmeleri (1995 Veri Koruma Direktifi kapsamında kabul edilen) hala kullanan veri aktaran ve veri alıcıları, yeni standart sözleşmelere geçmek zorunda mı?
27 Eylül 2021’den sonra imzalanan veri transferi anlaşmalarının yeni standart sözleşmelere dayanması gerekir.
Önceki standart sözleşmeler kapsamında veri transferi anlaşması yapanlar, 27 Aralık 2022’ye kadar yeni standart sözleşmelere geçmek için bir geçiş dönemi tanınmıştır. Ancak, sözleşme ile yönetilen veri işleme operasyonları değiştirilirse, kuruluşlar bu tarihten önce de yeni standart sözleşmelere geçmek zorundadır.
UYGULAMA KAPSAMI VE TRANSFER SENARYOLARI
-
Standart sözleşmeler hangi transferler için kullanılabilir?
Standart sözleşmeler, GDPR’ye tabi olan veri sorumlusu veya veri işleyenlerin, faaliyetleri GDPR’ye tabi olmayan EEA dışındaki veri sorumlusu veya veri işleyenlere kişisel veri transferi yapması için kullanılabilir.
İlk olarak, standart sözleşmeler EEA’daki veri sorumlusu ve veri işleyenler tarafından EEA dışına veri transferi için kullanılabilir, özellikle:
- EEA’daki bir veri sorumlusu tarafından, kişisel verileri GDPR’ye tabi olmayan bir veri sorumlusuna veya veri işleyenye transfer etmek için.
- EEA’daki bir veri işleyen tarafından, kişisel verileri GDPR’ye tabi olmayan bir alt veri işleyene veya işlediği veriler adına veri sorumlusuna transfer etmek için.
Örnek: Çek Cumhuriyeti’nde bir şirket, çalışanlarının verilerini Singapur’daki bir bordro sağlayıcısına transfer etmek için standart sözleşmeleri kullanabilir.
İkinci olarak, AB veri koruma kurallarının doğrudan uygulanabilirliği, EEA dışındaki veri sorumlusu ve veri işleyenlerin bazı işleme faaliyetlerine kadar genişletilmiştir. Bu, özellikle EEA pazarını hedef alan mal veya hizmet sunmaları nedeniyle olabilir. Bu nedenle, GDPR’ye tabi olan bu veri sorumlusu ve veri işleyenler de standart sözleşmeleri, bu işleme operasyonlarına ilişkin veri transferleri için kullanabilirler:
- GDPR’ye tabi olan bir EEA dışı veri sorumlusu tarafından, GDPR’ye tabi olmayan bir veri sorumlusuna veya veri işleyenye veri transferi yapmak için.
- GDPR’ye tabi olan bir EEA dışı veri işleyen tarafından, GDPR’ye tabi olmayan bir alt veri işleyene veya işlediği veriler adına veri sorumlusuye veri transferi yapmak için.
Örnek: Tayland’daki bir seyahat acentesi, GDPR’nin 3(2) maddesi uyarınca doğrudan GDPR’ye tabidir, çünkü Avrupa müşterilerine turist seyahat paketleri sunmaktadır (bu paketler, EEA’da kullanılan dillerde sunulmakta, Avrupa turistlerinin ihtiyaçlarına ve tercihlerine göre uyarlanmakta ve Euro veya EEA’da kullanılan diğer para birimleri ile ödeme yapılabilmektedir). Tayland’da konaklama düzenlemek için ajansın yerel bir otelle süregelen bir anlaşması vardır. standart sözleşmeler (Modül 1), Avrupa turistlerinin kişisel verilerini otelle paylaşmak için kullanılabilir.
-
Bu standart sözleşmeler, işleme operasyonları doğrudan GDPR’ye tabi olan veri sorumlusu veya veri işleyenlere veri transferi için kullanılabilir mi?
Hayır (bkz. (AB) 2021/914 sayılı Kararın 1. Maddesi). Bu standart sözleşmeler, GDPR’ye tabi olmayan veri aktaranlara yapılan veri transferlerinde korumanın devamlılığını sağlamak için geliştirilmiştir. GDPR’ye tabi olan veri aktaranlar için çalışmazlar, çünkü halihazırda GDPR’den doğan yükümlülüklerle çakışacak ve kısmen farklılık göstereceklerdir. Avrupa Komisyonu, bu senaryoya yönelik ek bir standart sözleşme seti geliştirme sürecindedir ve GDPR kapsamında halihazırda doğrudan bu veri sorumlusu ve veri işleyenlere uygulanan gereksinimleri dikkate alacaktır.
-
Standart sözleşmeler, uluslararası bir kuruluşa kişisel veri transferi için kullanılabilir mi?
standart sözleşmeler ticari bağlamda tasarlanmıştır ve uluslararası kuruluşlara veri transferleri için uyarlanmamıştır. Örneğin, belirli ayrıcalıklar ve dokunulmazlıklardan yararlanan uluslararası kuruluşlar (örneğin, uluslararası anlaşmalardan veya genel merkez anlaşmalarından kaynaklanan) bir EEA veri koruma otoritesinin veya mahkemesinin yetkisini kabul edemeyebilir. Bu tür transferler için bu kuruluşların statüsünü dikkate alan başka araçlar kullanılmalıdır, örneğin veri koruma otoriteleri tarafından onaylanan özel sözleşmeler veya idari düzenlemeler. Ayrıca, Avrupa Komisyonu, hizmet sağlayıcılar tarafından uluslararası kuruluşlara veri transferi yapmak için kullanılabilecek standart sözleşmeler geliştirme sürecindedir.
-
Standart sözleşmeler yalnızca GDPR kapsamında uluslararası veri transferleri için mi kullanılabilir?
Diğer bazı yargı bölgeleri, ulusal veri koruma mevzuatları uyarınca EEA standart sözleşmelerini bir transfer mekanizması olarak onaylamış ve sınırlı formal adaptasyonlarla kendi iç hukuklarına uyarlamışlardır (örneğin, Birleşik Krallık ve İsviçre). Bu durum, hem EEA’da hem de bu yargı bölgelerinde faaliyet gösteren şirketler için uyum gerekliliklerini önemli ölçüde kolaylaştırabilir.
Diğer bazı ülkeler de EEA standart sözleşmeleri ile birçok ortak noktaya sahip olan model maddeler geliştirmiştir. Bu, ulusal düzeyde (örneğin, Yeni Zelanda, Arjantin) ve bölgesel organizasyonlar çerçevesinde (örneğin, İbero-Amerikan Veri Koruma Ağı ve Güneydoğu Asya Ülkeleri Birliği) geliştirilmiş maddeleri içerir.
FARKLI MODÜLLER VE DOĞRU MODÜLÜN SEÇİMİ
-
Standart sözleşmeler hangi ‘modüller’ içerir ve doğru modül nasıl seçilir?
Standart sözleşmeler, genel olarak her duruma uygulanabilir maddeleri (örneğin, Bölüm I) içeren ve dört modülden oluşan bir yapıya sahiptir. Bu modüller, farklı veri transfer senaryolarına uyarlanmıştır. Taraflar, özellikle farklı rollerini (örneğin, veri sorumlusu, veri işleyen ya da alt veri işleyen olarak) göz önünde bulundurarak, kendilerine uygun olan modülü seçmelidirler. Ayrıca, hangi tarafın veri aktaran ve hangi tarafın veri alıcısı olduğunu belirlemeleri gerekmektedir (bu kavramların anlamı hakkında daha fazla bilgi için Avrupa Veri Koruma Kurulu’nun kılavuzuna başvurulabilir, bu kılavuz mevcuttur):
- Modül 1, veri sorumlusuden (veri aktaran) bir başka veri sorumlusuna(veri alıcısı) yapılan veri transferlerine uygulanır.
Örnek: İsveçli bir seyahat acentesi, dünya genelinde turistlerin konaklaması için bir otel zinciriyle bir çerçeve anlaşma yapmıştır. Konukların verilerini, rezervasyon merkezi olan veri alıcısına standart sözleşmeler temelinde transfer etmek için İsveçli acente (veri aktaran) Modül 1’i kullanmalıdır. - Modül 2, veri sorumlusuden (veri aktaran) veri işleyenye (veri alıcısı) yapılan veri transferlerine uygulanır.
Örnek: Hollanda’da bir şirket, insan kaynakları hizmetlerini Hindistan’daki bir sağlayıcıya dış kaynak olarak devreder. Hollandalı şirket (veri aktaran), standart sözleşmeler temelinde çalışanlarının verilerini Hindistan’daki sağlayıcıya (veri alıcısı) transfer etmek için Modül 2’yi kullanmalıdır. - Modül 3, veri işleyenden (veri aktaran) alt veri işleyenye (veri alıcısı) yapılan veri transferlerine uygulanır.
Örnek: Almanya’daki bir hastane, analiz yapılması için Polonya’daki bir laboratuvara kan örnekleri gönderir. Polonya laboratuvarı, bazı işlerini Endonezya’daki genetik analiz konusunda uzmanlaşmış bir enstitüye devreder ve standart sözleşmeleri kullanır. Polonya laboratuvarı (veri aktaran), verileri Endonezya enstitüsüne (veri alıcısı) transfer etmek için Modül 3’ü kullanabilir. - Modül 4, veri işleyenden (veri aktaran) kendi veri sorumlususine (veri alıcısı) yapılan veri transferlerine uygulanır.
Örnek 1: Lüksemburg’da sunucu hizmetleri sunan bir şirket, veritabanındaki müşteri bilgilerini Fas’taki veri sorumlusuye transfer etmek için Modül 4’ü kullanabilir.
Örnek 2: Tunus’taki bir üniversite, Belçika’daki bir araştırma enstitüsüne AB’de toplanan verileri işlemek ve üniversiteye geri göndermek için talimat verir. Veriler, Tunus’taki üniversiteye transfer edilmek üzere Modül 4 kullanılabilir.
-
Aynı taraflar arasında aynı anda birden fazla modül üzerinde anlaşılabilir mi?
Evet. Taraflar, durumlarına uygun olan modülleri seçmek zorundadır. Aynı taraflar arasındaki birden fazla veri transferi, farklı rollerle gerçekleşebilir. Bu durumda, taraflar her transfer için uygun modülü kullanmalıdır. Örneğin, veri sorumlusu (veri aktaran) tarafından yapılan bazı veri transferlerinde veri alıcısı veri sorumlusu rolünde olabilirken, diğerlerinde veri işleyen rolünde olabilir. Bu durumda, taraflar hem Modül 1’i (her iki tarafın da veri sorumlusu olduğu transferler için) hem de Modül 2’yi (veri aktaranın veri sorumlusu, veri akıcısının ise veri işleyen olduğu transferler için) kullanabilir.
-
Veri, EEA dışındaki bir veri işleyene veya alt veri işleyene transfer edilirken GDPR’nin 28. maddesine nasıl uyum sağlanabilir?
GDPR’nin 28. maddesindeki gereklilikler, Modül 2 (veri sorumlusuden veri işleyene transferler) ve Modül 3 (veri işleyenden veri işleyenye transferler) standart sözleşmelerine dahil edilmiştir. Bu modülleri kullanarak, veri sorumluları ve veri işleyenler, GDPR’nin 28. maddesinin gerekliliklerini yerine getirmek için ayrı bir veri işleme anlaşması imzalamak zorunda kalmazlar.
Standart sözleşmelerin gerekmediği durumlar da olabilir; örneğin, veri işleyen veya alt veri işleyen, yeterlilik kararına sahip bir ülkede bulunuyorsa. Bu durumda, veri aktaran GDPR’nin 28. maddesine uyumu sağlamak için veri sorumlusuler ve veri işleyenler arasındaki standart sözleşmeleri kullanabilir.
-
Modül 4 (veri işleyenden veri sorumlusuna) hangi durumlarda kullanılmalıdır?
Modül 4, EEA’daki bir veri işleyeNin EEA dışındaki bir veri sorumlusu tarafından işe alındığı ve bu veri işleyenin, verileri toplamak veya işlemek üzere veri sorumlusuye geri transfer ettiği durumlarda kullanılmalıdır.
Örnek: Faslı bir şirket, müşteri verilerini yönetmek için Lüksemburg’daki bir bulut hizmeti sağlayıcısını kullanır. Modül 4, bu verilerin Lüksemburg’dan Fas’a transfer edilmesi için kullanılabilir.
BİREYLER: VERİ TRANSFERİNE DAYANAN HAKLARINIZ
-
Kişisel verilerimin standart sözleşmelere dayanarak Avrupa dışına transfer edildiğini nasıl öğrenebilirim?
Verilerinizin EEA dışına transfer edilmesi hakkında bilgi, verilerinizi işleyen veri aktaran tarafından sağlanmalıdır: GDPR’nin 13. ve 14. maddeleri, veri alıcılarının, kişisel verilerinizi EEA dışına transfer etmeyi planladıklarını ve standart sözleşmeleri kullandıklarını size bildirmelerini zorunlu kılar. Ayrıca, standart sözleşmelerin nasıl kullanılacağını açıklamaları ve maddelerin bir kopyasını nasıl elde edebileceğinizi belirtmeleri gerekmektedir.
Standart sözleşmeler kullanılıyorsa, Avrupa dışındaki veri alıcısı da size belirli bilgileri sağlamak zorunda kalabilir (örneğin, iletişim bilgileri, işlediği kişisel verilerin kategorileri ve verilerin paylaşılabileceği alıcılar), bu durum, veri alıcısının aldığı verileri kendi amaçları doğrultusunda kullanması halinde geçerlidir (yani, veri aktaranın verileri işlediği amaçlardan farklı amaçlar için).
-
Verilerimin standart sözleşmeler kapsamında EEA dışına transfer edildiği söylendi. Bu transferler, veri sahibi olarak haklarım ve uygulanacak güvenceler hakkında daha fazla bilgiyi nasıl edinebilirim? standart sözleşmelerin bir kopyasını alabilir miyim?
Standart sözleşmeler, tarafların sizden talep ettiğinizde ücretsiz olarak standart sözleşmelerin kullanıldığı versiyonunun bir kopyasını sağlamalarını zorunlu kılar. Bu, seçilen modülleri/seçenekleri ve doldurulmuş ve imzalanmış ekleri içerir (tarafların veri transferi ve verileri işlerken uygulanan belirli önlemler hakkında bilgi sağladıkları ekler). Sadece Komisyon tarafından kabul edilen standart sözleşmelere genel bir referans vermek (örneğin, Komisyon’un internet sitesine bağlantı vermek) yeterli değildir. Standart sözleşmelerin bir kopyasını sağlarken taraflar, ticari sırlar veya gizli bilgiler (örneğin, diğer kişilerin kişisel verileri) dışındaki bilgileri silmek zorundadır, ancak neden dışlandığını açıklamaları gerekmektedir. Geriye kalan metin anlaşılmayacak hale gelirse, taraflar dışlanan kısımlar hakkında anlamlı bir özet sağlamalıdır.
Ayrıca, GDPR ve standart sözleşmeler kapsamında, verilerinizin nasıl işlendiği, hangi amaçlarla kullanıldığı, verilerin kimlerle paylaşıldığı ve bir şikayette bulunma hakkınız gibi konularda bilgi talep etme hakkınız bulunmaktadır. Özellikle, GDPR’nin 15. maddesi uyarınca, veri aktaran olarak hareket eden veri sorumlusuden veri işleme faaliyetleri ve veri transferleri hakkında bilgi talep edebilirsiniz. Verileriniz bir veri sorumlusu tarafından bir başka “veri sorumlusu” olan EEA dışındaki bir kuruluşa transfer edildiyse, veri aktaran yalnızca kendi faaliyetleri hakkında bilgi sağlayabilir (verilerin EEA dışına transfer edilmesi gibi). Ancak, bu durumda, standart sözleşmeler uyarınca doğrudan EEA dışındaki veri sorumlusuna karşı bilgi talep etme hakkınız da vardır (standart sözleşmeler Modül 1, Madde 10).
Birden fazla kuruluş veri işlemede yer alıyorsa ve hangi kuruluşun veri sorumlusu olduğunu bilmiyorsanız, ya verilerinizi transfer eden kuruluşla (veri aktaran) ya da verilerinizi alan EEA dışındaki kuruluşla (veri alıcısı) iletişime geçebilirsiniz. Eğer iletişime geçtiğiniz taraf doğrudan size yanıt veremiyorsa (çünkü yalnızca diğer taraf adına hizmet sağlayıcı olarak hareket ediyorsa), standart sözleşmeler her iki tarafın işbirliği yapmasını ve talebinizi etkili ve zamanında işleme almasını zorunlu kılar.
-
Verilerim standart sözleşme maddeleri ihlal edilerek işlendi, tazminat (örneğin, zararlar için) talep edebilir miyim? Nereye şikayette bulunabilirim?
Standart sözleşmeler, hem veri aktarana hem de veri alıcısına karşı tazminat talep edebilmeniz için farklı yollar sunar. Özellikle, standart sözleşmelerin tarafı olmasanız bile, standart sözleşmelerde yer alan ve kişisel verilerinizin korunmasını sağlayan maddeleri doğrudan taraflara karşı üçüncü taraf yararlanıcı olarak uygulayabilirsiniz (Madde 3).
Birinci olarak, doğrudan veri aktarana şikayette bulunabilirsiniz. Veri aktaran, şikayetlerinizi ele almak üzere belirlenmiş bir iletişim noktası belirlemiş olmalıdır (standart sözleşmeler, Madde 11(a)). Eğer veri alıcısı bağımsız bir ihtilaf çözüm organına başvurma imkanı sunuyorsa, bu organa da başvurabilirsiniz.
İkinci olarak, EEA ülkenizdeki veri koruma otoritesine doğrudan şikayette bulunabilirsiniz. Eğer veri alıcısının standart sözleşmeleri ihlal ettiğini düşünüyorsanız, doğrudan veri aktarana karşı bir şikayette bulunabilirsiniz (standart sözleşmeler, Madde 11(c)) veya veri aktaranın verilerinizi hukuka aykırı şekilde işlediğini düşünüyorsanız veri aktaranakarşı şikayette bulunabilirsiniz (GDPR, Madde 77).
Üçüncü olarak, taraflara karşı yasal işlem başlatarak tedbir kararı çıkarılmasını veya tazminat talep edebilirsiniz. Standart sözleşmelere taraf olanlar, veri işleme sırasında standart sözleşmeleri ihlal ederek neden oldukları maddi veya manevi zararlardan sorumludur (standart sözleşmeler, Madde 12). Bu tür davalar, EEA’daki ikamet ettiğiniz ülkenin mahkemesinde veya tarafların standart sözleşmelerde belirttiği mahkemelerde açılabilir.
VERİ AKTARANLAR VE AKTARANLARIN YÜKÜMLÜLÜKLERİ
-
Modül 1, 2 ve 3 için: Veri alıcısı, aldığı kişisel verileri üçüncü taraflarla paylaşırken belirli adımlar atmak zorunda mı?
Genel bir kural olarak, standart sözleşmeler kapsamında veri alıcısı aldığı verileri hem kendi ülkesinde hem de başka bir ülkede paylaşırken verilerin benzer koruma düzeyine sahip olmaya devam etmesini sağlamak zorundadır (Modül 1, Madde 8.7; Modül 2, Madde 8.8 ve Modül 3, Madde 8.8). Bu, farklı yollarla yapılabilir; örneğin, üçüncü taraf standart sözleşmelere katılabilir veya veri alıcısı üçüncü tarafla benzer korumalar sağlayan ayrı bir sözleşme yapabilir.
Veri alıcısının belirli durumlarda verileri paylaşması gerekli veya uygun olabilir ve bu tür durumlarda üçüncü tarafla veri koruma güvenceleri üzerinde anlaşmak mümkün olmayabilir. Özellikle, alıcının bireyin hayati çıkarlarını korumak için bilgi paylaşması gerekebilir; örneğin, bir otel zincirinin, tıbbi bir acil durumda bir misafirin bilgilerini yerel bir hastaneye açıklaması gerekebilir. Aynı şekilde, veri alıcısı yerel düzenleyici, idari veya yargı süreçlerinin bir parçası olarak belirli bilgileri paylaşmak zorunda kalabilir; örneğin, bir ilaç şirketinin ürünlerinin onayını almak için yerel bir düzenleyici otorite ile veri paylaşması gerekebilir.
Modül 1 için ek bilg (veeri sorumlusundan veri sorumlusuna)i: Veri alıcısı, alınan verileri üçüncü taraflarla paylaşmak için veri sahiplerinin açık rızasına dayanabilir. Yukarıda belirtilen durumların hiçbirinin geçerli olmadığı hallerde, veri alıcısı, veri sahiplerinin açık rızasını alarak verileri üçüncü taraflara aktarabilir (Modül 1, Madde 8.7(vi)). Bu durumda, vri aktaranın kişiye transferin amacı, alıcının kimliği ve transferin doğurduğu veri koruma riskleri hakkında bilgi vermesi gerekir. Veri aktaran, ayrıca veri alıcısını, rızaya dayalı ileriye yönelik transferler hakkında bilgilendirmelidir. Veri aktaran, kişiye sağlanan bilgilerin bir kopyasını talep edebilir.
-
Standart sözleşmeler kapsamındaki yükümlülükler için sorumluluk genel sorumluluk maddeleri ile sınırlanabilir mi?
standart sözleşmeler iki tür sorumluluk düzenler:
- Veri sahiplerine karşı tarafların sorumluluğu (Modül 1 ve 4, Madde 12(b) ve (c); Modül 2 ve 3, Madde 12(b), (c) ve (e)),
- Taraflar arasındaki sorumluluk (Modül 1 ve 4, Madde 12(a); Modül 2 ve 3, Madde 12(a)).
Standart sözleşmelerdeki sorumluluk sistemlerini doğrudan veya dolaylı olarak çelişen diğer maddeler (örneğin, ticari sözleşmede yer alan özel sorumluluk hükümleri) geçerli olamaz. Aynı şekilde, standart sözleşmelerdeki sorumluluk maddeleri, taraflar arasındaki sözleşmesel ilişkinin diğer yönlerine uygulanabilecek sorumluluk hükümlerini de etkilemez.
-
Standart sözleşmelerin sona ermesinin taraflar arasındaki diğer sözleşme düzenlemelerine etkisi nedir?
Madde 16, veri aktaran tarafa, veri alıcısının sözleşme maddelerini ihlal etmesi veya bunlara uymakta başarısız olması durumunda, kişisel verilerin transferini geçici olarak askıya alma hakkı verir. Ayrıca, belirli (özellikle ciddi) durumlarda veri aktaran taraf, “bu Maddeler uyarınca kişisel verilerin işlenmesiyle ilgili olan sözleşmeyi feshetme” hakkına sahip olacaktır. Bu, Madde 16 kapsamında fesih hakkının, yalnızca standart sözleşme maddeleri uyarınca kişisel verilerin işlenmesiyle ilgili olan sözleşme bölümleriyle sınırlı olduğu anlamına gelir.
Madde 2(a) açıklığa kavuşturduğu gibi, taraflar, prensipte, standart sözleşmeleri daha geniş (ticari) bir sözleşmeye dahil etme hakkına sahiptir. Bu daha geniş sözleşmede üzerinde anlaşmaya varılan düzenlemeler ve bu sözleşmeye uygulanacak hukuk, Maddelerin ihlalinin daha geniş sözleşmeyi etkileyip etkilemeyeceğini ve özellikle veri aktaran tarafın tüm sözleşme ilişkisini feshetme hakkına sahip olup olmayacağını belirleyecektir.
Standart sözleşmeler tarafından yönetilen işleme operasyonları iki veya daha fazla tarafı içeriyorsa, veri aktaran taraf bu fesih hakkını yalnızca ilgili taraf ile ilgili olarak kullanabilir, aksi kararlaştırılmadıkça (bkz. Madde 16(c)).
-
Sözleşmede hangi yasanın geçerli olacağına ilişkin herhangi bir gereklilik var mı?
Madde 17, tarafların SCC’lerin uygulanmasını yönetecek hukuku (“uygulanacak hukuk”) belirtmelerini zorunlu kılar. Modül 1, 2 ve 3 için bu, her zaman AB Üye Devletlerinden veya EEA (Avrupa Ekonomik Alanı) ülkelerinden birinin hukuku olmak zorundadır. Modül 4 için ise bu, EEA dışındaki bir ülkenin hukuku da olabilir.
Tüm modüller için bu, Madde 3 anlamında “üçüncü taraf yararlanıcı hakları” tanıyan bir iç hukuk rejimi olmalıdır. Bu, seçilen hukukun, ilgili bireylerin, yani standart sözleşme maddeleri temelinde kişisel verileri aktarılacak veri sahiplerinin, sözleşme aracılığıyla hak talep edebilmesini sağlaması gerektiği anlamına gelir.
Modül 2 ve 3 için standart sözleşme maddeleri, uygulanacak hukukun prensipte veri aktaran tarafın yerleşik olduğu EEA ülkesinin hukuku olacağını belirtir, ancak bu hukuk üçüncü taraf yararlanıcı haklarının oluşturulmasına izin vermiyorsa, taraflar başka bir hukuk seçmek zorundadır.
Madde 17, GDPR hükümlerine, özellikle GDPR’de özel olarak tanımlanan terimlerin kullanıldığı yerlerde, ışık tutarak standart sözleşme maddelerinin okunması ve yorumlanması gerektiğini açıklayan Madde 4 ile birlikte okunmalıdır. Standart sözleşme maddeleri, GDPR’nin sağladığı hak ve yükümlülüklerle çelişecek şekilde yorumlanmamalıdır. Yine de Madde 17’ye göre üzerinde anlaşmaya varılan uygulanacak hukuk, özellikle belirli süre sınırlarının belirlenmesi söz konusu olduğunda, önemli olacaktır.
YEREL YASALAR VE DEVLET ERİŞİMİ
-
Yeni standart sözleşmeleri kullanırken Schrems II kararına uymak için belirli adımlar atmak gerekiyor mu? EDPB’nin rehberliği hala dikkate alınmalı mı?
Schrems II kararı (C-311/18) uyarınca, standart sözleşmelerin 14. maddesi, tarafların standart sözleşmeleri imzalamadan önce, veri alıcısının bulunduğu üçüncü ülkenin yasalarının ve uygulamalarının, veri alıcısının standart sözleşmelerle uyumunu engelleyip engellemeyeceğini değerlendirmesini zorunlu kılar. Bu “transfer etki değerlendirmesi” yapılırken, taraflar özellikle transferin spesifik koşullarını (örneğin, verilerin kategorileri ve formatı, alıcının türü, transferin gerçekleştiği ekonomik sektör ve işlem zincirinin uzunluğu) ve bu bağlamda ilgili yasaları ve uygulamaları dikkate almalıdır. Bu değerlendirme, özellikle üçüncü ülkenin yasalarının, GDPR’nin 23(1). maddesinde belirtilen amaçları koruma amacıyla gerekli ve orantılı olup olmadığını değerlendirmeyi içerir.
Standart sözleşmelerle uyum üzerindeki etkiyi değerlendirirken, taraflar genel bir değerlendirme kapsamında farklı unsurları dikkate alabilirler (bkz. Madde 14, Dipnot 12). Örneğin, kanunun uygulanmasıyla ilgili güvenilir bilgiler (yargı içtihatları ve bağımsız denetim organlarının raporları gibi), aynı sektörde bu tür taleplerin var olup olmadığı ve kesin koşullar altında veri aktaran ve/veya veri alıcısının belgelenmiş pratik deneyimleri bu unsurlar arasında yer alabilir. Olumsuz bir değerlendirme yapılırsa, taraflar standart sözleşmelere dayalı veri transferini yalnızca ek (“tamamlayıcı”) güvenceler koyarak gerçekleştirebilir (örneğin, uçtan uca şifreleme gibi teknik önlemler). Aynı durum, veri aktaranın, veri alıcısının standart sözleşmelere artık uymadığını fark ettiği durumda da geçerlidir. Eğer veri aktaran uygun güvenceler sağlanamadığını düşünürse veya denetim otoritesinden böyle bir talimat alırsa, transferi askıya almak zorundadır.
Standart sözleşmeler (Madde 14), Avrupa Veri Koruma Kurulu’nun (EDPB) detaylı rehberliğiyle birlikte okunmalı ve kullanılmalıdır. EDPB’nin “Transfer araçlarını tamamlayan tedbirler” hakkındaki 01/2020 sayılı tavsiyeleri (18 Haziran 2021) bu konuda adım adım bir yol haritası sunmaktadır ve değerlendirme için kullanılabilecek bilgi kaynaklarının bir listesini (Ek 3) ve çeşitli tamamlayıcı tedbir örneklerini (Ek 2) içermektedir.
-
Veri alıcısı, kamu yetkililerinden aldığı açıklama talepleri hakkında veri aktaranı ne ölçüde bilgilendirmek zorundadır? (örneğin, cezai kanun uygulamaları veya ulusal güvenlik yetkililerinin talepleri)
Taraflar, SCC’leri hangi belirli veri transferlerine uygulamayı düşündüklerini netleştirmelidir, özellikle transfer edilen kişisel veri kategorilerini ve bu verilerin transfer edilme amacını (Ek I.A ve B). Ayrıca, taraflar kendi rollerini (veri aktaran veya veri alıcısı olarak) netleştirmelidir, bu rol dağılımı, opsiyonel “docking clause” (Madde 7) temelinde yapılacak değişiklikleri de içermelidir ve GDPR’nin 3(2). Maddesi kapsamında GDPR’ye tabi olan AB dışındaki veri aktaranların, GDPR’nin 27. Maddesi uyarınca belirledikleri AB’deki temsilcilerini belirtmeleri gerekmektedir. Taraflar ayrıca yetkili denetleyici otorite/otoriteleri de Madde 13’e uygun olarak belirtmelidir (Ek I.C, yetkili otoritenin seçimi hakkında daha fazla bilgi için soru 38’e bakınız).
Buna ek olarak, SCC’ler veri güvenliği ve hassas verilerin işlenmesi ile ilgili genel gereksinimleri belirlerken, bu gereksinimler, ilgili veri transferi ile ilgili olarak daha spesifik hale getirilmelidir (Ek I.B ve Ek II). Güvenlik ile ilgili olarak, Ek II, uygulanabilecek olası önlemlere dair örnekler içermektedir. Taraflar bu önlemlerin her birini listelemek zorunda değildir, ancak veri alıcısının, uygun güvenlik seviyesini sağlamak için gerçekten uyguladığı önlemleri tanımlamalıdır.
Bu spesifik bilgilerin sağlanacağı yer, SCC’lerin “ayrılmaz bir parçası” olarak kabul edilen Ek’tir (Madde 1(d)). Taraflar, bu Ek’i doldururken ilk sayfanın üst kısmındaki “Açıklayıcı Not”u ve özellikle teknik ve organizasyonel (güvenlik) önlemlerle ilgili olarak Ek II’nin başlangıcını dikkatle göz önünde bulundurmalıdır.
- Transfer edilen verisi olan veri sahiplerinin kategorileri: örneğin çalışanlar, müşteriler (gerçek kişiler), sadakat programı üyeleri, e-posta aboneleri, bilgi toplumu hizmetleri sunulan çocuklar, vb.
- Transfer edilen kişisel veri kategorileri: örneğin isim, soyisim, e-posta adresi, telefon numarası, ikamet adresi, ulusal kimlik numarası, ödeme ile ilgili ayrıntılar, sağlık kayıtlarına ilişkin bilgiler, vb.
- Transferin ve daha ileri işleme faaliyetlerinin amaçları: yasa dışı faaliyetlerin tespiti, bordro yönetimi, banka ödemelerinin yapılması, müşteri desteği sağlama, pazar araştırması, vb.
- İşlemenin niteliği: örneğin depolama, kaydetme, yayınlama, birleştirme, sıralama, yayma, vb.
- Verilerin saklanacağı süre veya bu sürenin nasıl belirleneceğine dair kriterler: belirli bir süre, yasal gerekliliklerle (örneğin X yıl) belirlenebilir. Kesin bir süre vermek mümkün değilse, saklama süresinin nasıl belirleneceği açıklanmalıdır, örneğin sektörel rehberliklere, işleme anlaşmasının süresine vb. dayalı olarak. Eğer farklı kategorilerdeki kişisel veriler farklı saklama sürelerine tabi ise, her süre ayrı ayrı açıklanmalıdır.
-
Veri alıcısı, kamu otoritelerinden gelen ifşa talepleri hakkında bireyleri bilgilendirmek zorunda mı? Veri alıcısının ulusal yasalar uyarınca bu bilgiyi sağlaması yasaklanmışsa ne olur?
Avrupa Adalet Divanı’nın Schrems II kararı (C-311/18) doğrultusunda, Madde 14, tarafların standart sözleşme maddelerİ sonuçlandırmadan önce, veri alıcısının kişisel verileri işlemesine uygulanan hedef üçüncü ülkenin yasalarının ve uygulamalarının, veri alıcısının SCC’lere uymasını engelleyip engelleyemeyeceğini değerlendirmesini gerektirir. Bu “transfer etkisi değerlendirmesini” gerçekleştirirken, taraflar özellikle transferin özel koşullarını (örneğin veri kategorileri ve formatı, alıcının türü, transferin gerçekleştiği ekonomik sektör ve işleme zincirinin uzunluğu) ve bu bağlamdaki ilgili yasaları ve uygulamaları dikkate almalıdır. Bu değerlendirme, özellikle yasaların ve uygulamaların, GDPR’nin 23(1) Maddesinde listelenen amaçları korumak için demokratik bir toplumda gerekli ve orantılı olanı aşmadığını belirlemeyi içerir (bu durumda standart sözleşmelerle uyumu etkilemeyeceklerdir).
Standart sözleşmelere uyum üzerindeki etki açısından, taraflar genel bir değerlendirme kapsamında farklı unsurları dikkate alabilir (bkz. Madde 14, Dipnot 12); yasaların pratikte nasıl uygulandığına dair güvenilir bilgiler (örneğin yargı kararları ve bağımsız denetim organlarının raporları gibi), aynı sektörde taleplerin olup olmaması ve sıkı koşullar altında, veri aktaranın ve/veya veri alıcısının belgelenmiş pratik deneyimi gibi. Olumsuz bir değerlendirme durumunda, taraflar standart sözleşmelere dayanarak yalnızca ek (“tamamlayıcı”) güvenceler (örneğin uçtan uca şifreleme gibi veri güvenliğini sağlamak için teknik önlemler) uygulamaları durumunda veri transferi yapabilirler ve böylece standart sözleşme maddeleriyle uyum sağlanabilir. Aynı durum, veri aktaranın daha sonra, üçüncü ülke yasalarında yapılan bir değişiklik dahil olmak üzere, veri alıcısının standart sözleşme maddelerine artık uyamayacağını öğrenmesi durumunda da geçerlidir. Veri aktaran, uygun güvencelerin sağlanamayacağını düşünüyorsa veya yetkili denetim otoritesi tarafından bu yönde talimat verilirse transferi askıya almak zorunda kalacaktır.
Standart sözleşme maddeleri (Madde 14) tek başına ele alınmamalı, Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan ayrıntılı rehberle birlikte kullanılmalıdır. AB düzeyinde kişisel verilerin korunmasına uyumu sağlamak için transfer araçlarını tamamlayan önlemler hakkında 01/2020 sayılı Tavsiyelere (18 Haziran 2021) bakın (buradan ulaşabilirsiniz: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en).
Bu Tavsiye, değerlendirme aşaması için adım adım bir yol haritası, bu değerlendirme için bilgi kaynaklarının bir listesini (Ek 3) ve çeşitli tamamlayıcı önlemler örneklerini (Ek 2) içermektedir.
-
Standart sözleşmeler kapsamında veri alıcısı, bir kamu otoritesinden bağlayıcı bir açıklama talebi aldığında, verileri yetkililere açıklamadan önce hangi adımları atmalıdır?
İlk olarak, Standart Sözleşme Maddeleri, veri alıcısının, transfer edilen verilere hükümet erişimi hakkında (talep üzerine veya doğrudan) bilgi vermesini gerektiren şartlar içerir.
Madde 15.1’e göre, veri alıcısı, üçüncü bir ülkedeki bir kamu otoritesi veya mahkemeden transfer edilen kişisel verileri ifşa etmesi için yasal olarak bağlayıcı bir talep alırsa, veri aktaranı derhal bilgilendirmelidir. Benzer şekilde, kamu otoritelerinin bu tür verilere doğrudan erişimi (örneğin dinleme gibi) hakkında bilgi sahibi olursa, veri aktaranı bilgilendirmelidir. Bu bağlamda, Standart Sözleşme Maddeleri, veri alıcısının ulusal hukukuna göre veri aktarana (belirli) bilgileri sağlamasının yasaklanabileceğini dikkate alır. Özellikle, veri alıcısı belirli hükümet erişim durumları hakkında bildirimde bulunamıyorsa, bu yasağın kaldırılması için elinden gelen çabayı göstermeli ve mümkün olduğunca fazla bilgiyi, olabildiğince hızlı bir şekilde iletmeye çalışmalıdır. Veri aktaran bir veri işleyen ise, bu bildirimi kendi veri sorumlusuna iletmek zorundadır.
Ayrıca, veri alıcısı düzenli aralıklarla, aldığı erişim talepleri hakkında toplu bilgi sağlayarak veri aktaranı bilgilendirmelidir (Madde 15.1(c)). Bu yükümlülük, yalnızca veri alıcısının ulusal hukukuna göre bu tür bilgileri sağlamasına izin veriliyorsa geçerlidir. Veri aktaranın bir veri işleyen olması durumunda, bu bilgiyi veri sorumlusuna iletmesi gerekir.
İkinci olarak, Standart Sözleşme Maddeleri, veri alıcısının, maddelere uyum sağlamasını engelleyen yasalara ve/veya uygulamalara tabi olması durumunda ek bildirim gereksinimleri içerir.
Madde 14(e) uyarınca, veri alıcısı, maddelere uyduktan ve sözleşme süresince, Madde 14(a) kapsamındaki gereksinimlerle uyumlu olmayan yasalara veya uygulamalara tabi olduğuna veya olacağına inanmak için bir nedeni varsa, veri aktaranı derhal bilgilendirmeyi kabul eder. Bu, üçüncü ülkenin yasalarının ilk değerlendirmeden sonra değiştiği durumları veya veri alıcısının, üçüncü ülkede bir önlem (örneğin bir ifşa talebi) kapsamında, yasaların pratikte ilk değerlendirmeye uygun olmayan şekilde uygulandığını gösteren bir duruma maruz kaldığı durumları içerir. Veri aktaran, bir veri sorumlusu adına hareket eden bir veri işleyen ise, bu bildirimi veri sorumlusuna iletmek zorundadır.
Standart Sözleşme Maddeleri, yine veri alıcısının ulusal hukukuna göre belirli hükümet erişim talepleri/doğrudan erişim hakkında bilgi vermesine izin verilmeyebileceğini dikkate alır. Özellikle Madde 16(a), genel bir bildirim gereksinimi içerir; bu maddeye göre, veri alıcısı, herhangi bir nedenle maddelere uyamıyorsa, veri aktaranı derhal bilgilendirmelidir. Bu maddeye dayanarak, veri alıcısı, hükümet erişimi hakkında belirli bilgi vermek zorunda kalmadan, artık Standart Sözleşme Maddelerine uyamayacağını veri aktarana bildirmek zorundadır. Veri aktaran, bu durumda gerekli önlemleri alabilir, buna veri transferinin askıya alınması veya Standart Sözleşme Maddelerinin feshi de dahildir.
-
Veri alıcısı, bir kamu otoritesinden aldığı ifşa talepleri hakkında bireyleri bilgilendirmek zorunda mı? Eğer veri alıcısı, ulusal hukuku uyarınca bu bilgiyi sağlaması yasaklanmışsa ne olur?
Madde 15.1(a) uyarınca, veri alıcısı, üçüncü bir ülkedeki kamu otoritesi veya mahkemeden kendileriyle ilgili kişisel verilerin ifşası için yasal olarak bağlayıcı bir talep alırsa, ilgili bireyleri bilgilendirmek zorundadır. Ayrıca, kamu otoritelerinin bu tür verilere doğrudan erişim sağladığını (örneğin, telefon dinleme gibi) öğrendiğinde, veri aktaranı da bilgilendirmelidir. Aynı zamanda, Standart Sözleşme Maddeleri, bu bilginin yasal veya pratik nedenlerle sağlanmasının mümkün olamayabileceğini de dikkate alır.
Özellikle, veri alıcısı, ulusal hukuku tarafından belirli hükümet erişim durumları hakkında bildirimde bulunması yasaklanmış olabilir. Bu durumda, yasağın kaldırılması için elinden gelen çabayı göstererek, mümkün olan en kısa sürede olabildiğince fazla bilgi iletmeye çalışmalıdır.
Ayrıca, pratikte ilgili bireylerle iletişime geçmek zor olabilir (örneğin, veri alıcısı bireylerle doğrudan bir ilişkisi olmaması nedeniyle). Bu bağlamda, Madde 15.1(a) veri alıcısı, bireylerle doğrudan ilişkisi olabilecek veri aktaranın yardımını kullanabileceğini açıkça belirtmektedir.
-
Veri alıcısı, bir kamu otoritesinden aldığı her ifşa talebine itiraz etmekle sözleşmesel olarak yükümlü müdür?
Hayır. Standart Sözleşme Maddeleri’nin 15.2. Maddesine göre, veri alıcısı, aldığı taleplerin ilgili ulusal yasal çerçeveye uygun olup olmadığını gözden geçirmek zorundadır. Veri alıcısı, talebin hukuka aykırı olduğunu düşünmek için makul gerekçeler olduğuna inanıyorsa (örneğin, talepte bulunan otoritenin yetkilerini aşması durumunda), ulusal hukuk kapsamında mevcut olan prosedürleri kullanarak talebe itiraz etmelidir. Veri alıcısı, bir talebe itiraz etmişse ve ilk aşamada çıkan sonuca itiraz etmek için yeterli gerekçeler olduğuna inanıyorsa, bu itiraz süreci sürdürülmelidir.
-
Modül 4’e dayanıldığında, Standart Sözleşme Maddeleri’nin Bölüm III’e uyulması gerekiyor mu?
Standart Sözleşme Maddeleri’nin Bölüm III’ü, EEA’da (Avrupa Ekonomik Alanı) yerleşik bir veri işleyen tarafından, EEA dışındaki bir veri sorumlusundan aldığı verileri geri iade etmesi için Modül 4 kullanıldığında belirli bir istisna içerir. Bu senaryoda, kişisel veriler başlangıçta EEA dışında işlenmiş olup, zaten ulusal yasal çerçeveye tabi olmuştur. Bu nedenle tarafların “transfer etkisi değerlendirmesi” (Madde 14) yapmalarına veya kamu otoritelerinin verilere erişimi ile ilgili yükümlülüklere (Madde 15) uymalarına gerek yoktur.
Örnek: Fas’taki bir şirket, müşteri veritabanını depolamak için Lüksemburg’daki bir şirketin sunduğu bulut hizmetlerini kullanıyor. Lüksemburg’dan (veri aktaran tarafından) verilerin Fas’a (veri alıcısı) geri transferi için Standart Sözleşme Maddeleri (Modül 4) kullanılabilir. Veri aktaran, yalnızca Fas’tan aldığı verileri geri gönderdiği için, Bölüm III’e uyması gerekmez.
Buna karşılık, veri işleyen (veri aktaran) tarafından veri sorumlusuna (veri alıcısı) transfer edilen veriler, Avrupa’dan gelen kişisel verileri de içeriyorsa, istisna geçerli değildir ve tarafların Bölüm III’e uyması gerekir.
Örnek: Şili’deki bir şirket, İspanya’daki bir veri işleyenden, Şili şirketinden aldığı müşteri verileri ve İspanya’da topladığı müşteri verilerini kullanarak pazar araştırması yapmasını ve pazarlama materyalleri geliştirmesini istiyor. İspanyol veri işleyen, iki veri setiyle ilgili toplu verileri Şili’ye transfer etmek için Standart Sözleşme Maddeleri’nin Modül 4’ünü kullanabilir. Veri aktaran, sadece Şili’den aldığı verileri değil, aynı zamanda Avrupa’da topladığı verileri de veri alıcısı gönderdiği için, Bölüm III’e uymak zorundadır. Bu, Şili’ye transfer edilen tüm veri setine (yani hem Şili’den alınan veriler hem de İspanya’da toplanan veriler) uygulanır.