Avrupa’dan Asya’ya ve Güney Amerika’ya, gizlilik mevzuatı gelişmeye ve genişlemeye devam ediyor.
Dünyanın dört bir yanındaki yargı bölgeleri, tüketici verilerinin işletmeler tarafından toplanmasını ve işlenmesini yöneten düzenleyici planlarını geliştirmeye ve iyileştirmeye çalışırken, veri gizliliğine ilişkin uluslararası hukuk gelişmeye devam ediyor.
Hızla değişen ve dijitalleşen bir dünyada, uluslararası hukuk hızla gelişiyor. Amerika Birleşik Devletleri’nde (ABD) tüketici verilerinin korunmasını federal yasalara dâhil etme çabaları, 2022 yılında kaydedilen ilerlemenin ardından belirsiz görünse de, diğer birçok ülke ve bölge önlemlerle hız kazanmıştır.
Bu makale, uluslararası veri aktarımı konularına vurgu yaparak Avrupa Birliği (AB), Birleşik Krallık, Çin, Brezilya, Hindistan ve Kanada da dâhil olmak üzere dünyanın dört bir yanındaki belirli yargı bölgelerindeki son gizlilik yasası gelişmelerini tartışmaktadır.
1. Avrupa Birliği
1.1. AB-ABD veri gizliliği çerçevesi
Temmuz 2020’de AB Adalet Divanı’nın (Court of Justice) AB-ABD Gizlilik Kalkanı yeterlilik kararını (EU-U.S. Privacy Shield adequacy decision) geçersiz kılan Schrems II kararının ardından, AB ve ABD, Avrupa Ekonomik Alanı’ndan (European Economic Area-EEA) ABD’ye kişisel verilerin transferini kolaylaştırmak için bir değiştirme programı üzerinde çalışıyor.
Mart 2022’de, yeni bir AB-ABD veri gizliliği çerçevesi için prensipte bir anlaşma duyurulmuş ve Avrupa Komisyonu, Aralık 2022’de bir yeterlilik kararı taslağı yayınlamıştır. Anlaşmanın bir parçası olarak, ABD Başkanı Joe Biden, ABD’nin belirli istihbarat faaliyetlerine yaklaşımını değiştiren ve şikâyetler için bir veri koruma inceleme mahkemesi kuran 14086 sayılı Kararname yayınlamıştır.
Şubat ayında, Avrupa Veri Koruma Kurulu (European Data Protection Board-EDPB[1]) çerçeveyi kabul eden ancak değişiklik talep eden bağlayıcı olmayan bir görüş kabul etmiş, ancak Mayıs ayında AB Parlamentosu çerçeveye karşı bağlayıcı olmayan bir karar almıştır.
Ardından, 10 Temmuz’da çerçeve Avrupa Komisyonu tarafından onaylanmıştır. Orijinal AB mahkeme kararına adı verilen Max Schrems de dâhil olmak üzere gizlilik savunucularından yeni çerçeveye yönelik yasal itirazlar bekleniyor, ancak itirazlar AB hukuk sisteminde ilerlerken muhtemelen çerçeve yürürlükte kalacaktır.
Önceki programlarında olduğu gibi, çerçeveye katılım isteğe bağlıdır ve uygulama amacıyla FTC’nin (Federal Trade Commission-Federal Ticaret Komisyonu) veya Ulaştırma Bakanlığı’nın yargı yetkisine tabi ABD kuruluşlarına açıktır. Katılımcıların, programı yönetecek olan Ticaret Bakanlığı’na uygunluklarını tasdik etmeleri ve alenen uyumluluğu taahhüt etmeleri gerekir (FTC’nin uygulama makamı için ana kancası). Katılımcıların her yıl katılımlarını yeniden belgelendirmeleri gerekecek ve katılımcı kuruluşla çözülemeyen tüketici şikâyetleri için bağımsız bir uyuşmazlık çözüm mekanizması sunmaları istenecektir.
1.2. Meta veri aktarım kararı
Bahsedilen çerçeve, AB ve Avrupa Ekonomik Alanı’ndan ABD’ye veri aktarımları için daha istikrarlı bir yapı sağlamaya yönelik önemli bir çabadır. Meta Platforms Ireland ve Max Schrems[2] arasında Facebook ve Instagram sosyal medya hizmetlerinin bir parçası olarak kişisel verilerin ABD’ye veri aktarımına ilişkin uzun süredir devam eden bir anlaşmazlıkta bir karar alan[3] İrlanda Veri Koruma Komisyonu (Irish Data Protection Commission-DPC) Mayıs ayında bunun önemini vurgulamıştır.
İrlanda Veri Koruma Komisyonu, diğer şeylerin yanı sıra, Meta’nın kişisel verileri ABD’ye aktarmak için AB standart sözleşme hükümlerine güvenemeyeceğini ve Meta’nın ABD’ye veri aktarımlarının askıya alınması gerektiğini tespit etmiş, ayrıca şirkete 1,2 milyar avro para cezası vermiştir. Meta, para cezası da dâhil olmak üzere karara itiraz etme niyetini hızlı bir şekilde açıklamış ve kararda, AB ve Avrupa Ekonomik Alanı’ndan ABD’ye veri aktarımlarında karşılaşılan süregelen zorlukların altı çizilmiştir.
1.3. Gözden geçirilmiş ihlal bildirimi kılavuzu
29 Mart’ta Avrupa Veri Koruma Kurulu, veri ihlali yaşayan veri konularının etkilenen veri sahiplerinin ikamet ettiği her bir üye devletteki denetim makamlarını bilgilendirmesi için Genel Veri Koruma Tüzüğü’ne (General Data Protection Regulation-GDPR) tabi kuruluşların sınır dışı hükümleri uyarınca revize edilmiş ihlal bildirim rehberini duyurmuştur. Önceki kılavuz, Genel Veri Koruma Tüzüğü Madde 27 uyarınca veri koruma temsilcileri atayan kuruluşların yalnızca temsilcinin bulunduğu üye devletteki denetim makamını bilgilendirmesine izin vermişti. Bu değişiklik, birden fazla üye devlette veri öznelerini etkileyen ihlaller yaşayan AB dışı kuruluşlar için ihlal bildirim yükümlülüklerini önemli ölçüde artıracaktır.
2. Birleşik Krallık
2.1. BK-ABD veri aktarımları
Birleşik Krallık ve ABD, AB-ABD veri gizliliği çerçevesine, iki ülke arasında bir “veri köprüsü” (data bridge[4]) oluşturacak bir Birleşik Krallık uzantısı oluşturmayı kabul etmiştir. Birleşik Krallık uzantısı, AB-ABD veri gizliliği çerçevesine katılmayı seçen ABD kuruluşlarının kişisel verileri Birleşik Krallık’tan ABD’ye aktarmak için programı temel olarak kullanmalarına izin verecektir. Birleşik Krallık’ın uzatmayı uygulayan yeterlilik düzenlemeleri yürürlüğe girene kadar ki bunun bu yılın sonlarında gerçekleşmesi beklenmektedir.
2.2. Birleşik Krallık Genel Veri Koruma Tüzüğü reformu
Buna ek olarak, Birleşik Krallık, Birleşik Krallık Genel Veri Koruma Tüzüğü’nde reform yapmak için mevzuat düzenlemeyi düşünmektedir. Geçen yıl Birleşik Krallık’ta hükümet değişikliklerinden kaynaklanan gecikmelerin ardından 8 Mart’ta, Parlamento’ya revize edilmiş “2 No.lu Veri Koruma ve Dijital Bilgi Yasa Tasarısı” (Data Protection and Digital Information Bill No.2) sunulmuş; tasarı Avam Kamarası’nda görüşülmüş ve 9 Haziran’da öneriyi değiştirmek için bir komite toplanmıştır.
220 sayfalık yasa tasarısının amacı, “gereksiz” (unnecessary) evrak işlerini ve iş üzerindeki yükleri ortadan kaldırırken mahremiyet korumalarını sürdürmek için Birleşik Krallık’ın veri koruma yasalarında “sağduyu” (common sense) reformu yapmaktır. Tasarı, Birleşik Krallık Genel Veri Koruma Tüzüğü’nü AB sürümünden ayırmayı amaçlayan testlerde ve terminolojide değişiklikler yaparak Birleşik Krallık Genel Veri Koruma Tüzüğü’ne bir Birleşik Krallık parlaklığı getirilecektir. Amaç, AB’nin AB’den Birleşik Krallık’a veri aktarımları için AB’nin yeterlilik kararını geri çekme veya yenilemeyi reddetme eğiliminde olacağı ölçüde AB Genel Veri Koruma Tüzüğü’nden ayrılmadan Birleşik Krallık Genel Veri Koruma Tüzüğü’nü Birleşik Krallık için daha fazla özelleştirmek gibi görünüyor.
Kabul edilirse ve bölge dışı uygulanabilirlik hükmü nedeniyle Birleşik Krallık Genel Veri Koruma Tüzüğü’ne tabi olan Birleşik Krallık dışındaki kuruluşlar için yararlı olabilecek bir değişiklik, Birleşik Krallık’ta bir veri koruma temsilcisine sahip olma gerekliliğinin önerilen şekilde ortadan kaldırılmasıdır.
3. Çin
24 Şubat’ta Çin, standart sözleşme maddelerini yayınladı. 2021 yılında Çin, sınır ötesi veri aktarımlarına ilişkin kısıtlamaları içeren kapsamlı bir tüketici verileri gizliliği yasası olan Kişisel Bilgileri Koruma Yasasını (Personal Information Protection Law-PIPL) yürürlüğe koydu. Bu yasa kapsamında, uluslararası veri transferlerini kolaylaştırmak için üç ana mekanizma vardır:
- Çin Siber Uzay İdaresi (Cyberspace Administration of China-CAC) liderliğindeki bir güvenlik değerlendirmesinden geçmek.
- Çin Siber Uzay İdaresi tarafından tanınan bir üçüncü taraf profesyonel kuruluştan kişisel bilgi koruma sertifikası almak.
- Veya Çin standart sözleşme maddelerini uygulamak.
Ayrıca, kanunda veya idari düzenlemelerde öngörülen diğer mekanizmalara göre devrin gerçekleştirilmesinin mümkün olduğuna dair kanunda bir yakalama mekanizması vardır, ancak böyle bir mekanizma henüz detaylandırılmamıştır. Yayınlanmalarının ardından, Çin Standart Sözleşme Maddeleri (Standard Contractual Clauses-SCCs[5]) 1 Haziran’dan önce yürürlüğe giren veri aktarımları için 30 Kasım’a kadar uyum yetkisiz kullanım süresiyle 1 Haziran’da yürürlüğe girmiştir.
Özellikle, Çin Standart Sözleşme Maddelerinin kullanılabileceği durumlarda kısıtlamalar vardır. Verileri dışa aktaran kişi aşağıdaki durumlarda geçerli bir veri aktarım mekanizması olarak kullanılamaz:
- Kritik bir bilgi altyapısı operatörü (örneğin, finans, enerji, telekom, kamu hizmetleri, ulaşım sektörlerindeki işletmeler) söz konusuysa.
- 1 milyondan fazla kişinin kişisel verileri işlendiyse.
- Veya bir önceki yılın 1 Ocak tarihinden bu yana birikimli olarak 100 binden fazla kişinin kişisel verileri (veya 10 binden fazla kişinin hassas kişisel bilgileri) aktarılmışsa.
Bu, Standart Sözleşme Maddelerinin belirli endüstriler ve daha büyük veri aktarımları için kullanılamayacağı anlamına gelir. Veri aktarımı 100 binden fazla kişinin kişisel verilerini içeriyorsa, zorunlu Çin Siber Uzay İdaresi güvenlik değerlendirmesi tetiklenir. İşletmelerin, zorunlu Siber Uzay İdaresi güvenlik değerlendirme mekanizmasını atlatmak için yurt dışına aktarılan kişisel verilerin hacmini bölmeleri de yasaktır.
Çin Standart Sözleşme Maddelerini, AB’den üçüncü ülkelere veri transferini kolaylaştırmak için kullanılan AB Standart Sözleşme Maddeleri ile karşılaştırmalı olarak değerlendirmek faydalı olacaktır. Pek çok açıdan, Çin ve AB Standart Sözleşme Maddeleri benzerdir. Bununla birlikte, dikkate değer birkaç fark, Çin Standart Sözleşme Maddelerinin ne zaman kullanılabileceğine ilişkin yukarıda tartışılan sınırlamaları ve Çin Standart Sözleşme Maddelerinin ileriye dönük veri aktarımlarına daha katı kısıtlamalar getirmesini içerir. Spesifik olarak, bir veri ithalatçısı, Çinli bir veri ihracatçısından aldığı verileri üçüncü bir tarafa ileriye dönük bir veri aktarımı yapmadan önce, veri sahiplerini ileriye dönük aktarım konusunda bilgilendirmek, veri sahiplerinden ayrı bir onay alınması (ilk işleme, işlemenin yasal dayanağı olarak onaya dayanıyorsa) ve sonraki devralan ile yazılı bir sözleşme yapılması da dâhil olmak üzere belirli yükümlülükleri karşılamak zorundadır.
Çin Standart Sözleşme Maddelerinin bir diğer göze çarpan farkı, bu sözleşmenin yürürlüğe girdiği tarihten itibaren 10 iş günü içinde kişisel bilgileri koruma etki değerlendirme raporu (personal information protection impact assessment-PIPIA), imzalı Standart sözleşme ve diğer yardımcı bilgiler sunularak yerel Çin Siber Uzay İdaresi yetkililerine başvurulması gerektiğidir. Özellikle, sınır ötesi veri aktarımı Çin Siber Uzay İdaresi’ne başvuruda bulunulmasına bağlı değildir ve başvuru yapılmadan önce başlayabilir, ancak il Çin Siber Uzay İdaresi’nin başvuruyu gözden geçirmek ve “geçti” (pass) veya “kaldı” (fail) sonucunu yayınlamak için 15 iş günü olacaktır. Bir başarısızlık bildirimi verilirse, verileri dışa aktaranın Çin Siber Uzay İdaresi’ne ilave materyaller sağlamak için 10 iş günü olacaktır.
4. Brezilya
4.1. İdari yaptırım düzenlemeleri
Brezilya’nın Genel Veri Koruma Yasası (Brazil’s General Data Protection Law-LGPD) 2020’den beri yürürlüktedir, ancak bu yılın başlarında düzenleyici uygulama çerçevesini almıştır. 24 Şubat’ta Brezilya Ulusal Veri Koruma Otoritesi (Brazilian National Data Protection Authority-ANPD[6]), Genel Veri Koruma Yasası’na uyulmaması durumunda idari yaptırımları belirleyen ve hangi yaptırımların hangi ihlallere uygulanacağını seçme metodolojisini belirleyen bir yönetmelik yayınlamıştır. Bu Yönetmelik, yaptırımların vaka bazında ve ancak idari bir işlemden sonra uygulanacağını açıkça belirtmektedir. Yaptırımlar uyarılardan para cezalarına, Brezilya’da işleme faaliyetinin askıya alınmasına veya yasaklanmasına kadar değişebilir. Bu düzenlemenin yayınlanmasından önce, Genel Veri Koruma Yasası, özel veri sahipleri tarafından açılan davalar nedeniyle mahkemelerde bazı yaptırım faaliyetleri görmüştü.
4.2. İcra eylemleri
Brezilya Ulusal Veri Koruma Otoritesi daha sonra 23 Mart’ta ajansın aleyhinde idari işlem başlattığı kuruluşların bir listesini yayınladı. Listelenen sekiz takibattan yedisi Sağlık Bakanlığı ve Federal Bölge Eğitim Departmanı gibi kamu kurumlarına ve biri de özel bir kuruma karşı açılmıştır. Yargılamalar, bir veri koruma görevlisi (data protection officer-DPO) atanmaması, veri ihlal olaylarının veri sahiplerine bildirilmemesi ve yeterli güvenlik önlemlerinin alınmaması gibi iddialarla ilgilidir.
4.3. Düzenleyici gündem
Kasım 2022’de Brezilya Ulusal Veri Koruma Otoritesi, 20 gündem maddesini belirleyen 2023-2024 dönemi için düzenleyici gündemini yayınladı. Bunlar, yalnızca yukarıda tartışılan yaptırım düzenlemelerini değil, aynı zamanda diğerlerinin yanı sıra uluslararası veri aktarımlarını, olay raporlamayı, biyometrik bilgileri ve yapay zekâyı da içeriyordu.
5. Hindistan
Hindistan’da Parlamento, Hindistan’ın son yıllarda düşündüğü en azından dördüncü gizlilik yasası taslağı olan Dijital Kişisel Verileri Koruma Yasası[7] olan bir veri gizliliği yasasını değerlendiriyor. Önerilen yasa tasarısı, önceki önerilerde bulunan katı veri yerelleştirme koşullarını kaldırarak, yasa tasarısında belirtilmeyen “ilgili faktörlerin değerlendirilmesinden sonra” Hindistan hükümetinin onayladığı ülkelere sınır ötesi veri aktarımına izin veriyor.
Tasarının ülke dışı bir kapsamı vardır, ancak işlemenin Hindistan’daki bir kişi ile Hindistan dışındaki bir kişi arasındaki bir sözleşmeye uygun olması durumunda, Hindistan dışında bulunan Hintli veri konularının kişisel verilerinin işlenmesini muaf tutmaktadır. Tasarı aynı zamanda ister çevrimiçi ister çevrimdışı toplanmış olsun, yalnızca “dijitalleştirilmiş biçimde” olan kişisel veriler için geçerlidir. Tasarı, Hindistan Parlamentosu tarafından birkaç gün içinde sonuçlanması beklenen Muson Oturumunda görüşülmektedir.
6. Kanada
Bu arada Kanada, gizlilik yasası Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası’nda (Personal Information Protection and Electronic Documents Act-PIPEDA) reform yapmayı değerlendirmeye devam ediyor. Mevcut reform önerisi, Bill C-27[8], Avam Kamarasında görüşülüyor. Tasarı, Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası’nın bazı kısımlarını yürürlükten kaldıracak ve değiştirecek ve önceki reform çabalarının aksine, yapay zekâ sistemlerinin tasarımını, geliştirilmesini ve kullanımını düzenleyecek olan Yapay Zekâ ve Veri Yasasını (Artificial Intelligence and Data Act) içermektedir.
11 Mayıs’ta, Kanada Gizlilik Komiseri Philippe Dufresne’nin yazılı bir sunumu, Avam Kamarası Sanayi ve Teknoloji Daimi Komitesi tarafından yayınlandı. İçinde, Kanada Gizlilik Komisyonu Ofisi, Tasarı C-27’yi iyileştirmek ve güçlendirmek için 15 tavsiye önermektedir. Öneriler aşağıdaki kategorilere ayrılır: (1) mahremiyetin temel bir hak olarak tanınması; (2) kamu çıkarlarını ve Kanada’nın yenilikçiliğini ve rekabet edebilirliğini desteklemek için mahremiyetin kullanılması ve (3) Kanadalıların kurumlarına olan güvenini ve dijital vatandaşlar olarak katılımlarını hızlandırıcı olarak mahremiyetin kullanılması.
[1] < https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en >
[2] Bu konuda bkz. < https://www.bbc.com/news/world-us-canada-66161135 >
[3] < https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland >
[4] < https://www.gov.uk/government/news/uk-and-us-reach-commitment-in-principle-over-data-bridge >
[5] < https://iapp.org/resources/article/chinas-standard-contractual-clauses-english-translation/ >
[6] < https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077 >
[7] < https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Potection%20Bill%2C%202022_0.pdf >
[8] < https://www.parl.ca/legisinfo/en/bill/44-1/c-27 >
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.