Birleşik Krallık ile Amerika Birleşik Devletleri (ABD) Veri Köprüsü (UK-US Data Bridge), kişisel verilerin Birleşik Krallık’tan ABD’ye aktarımını önemli ölçüde kolaylaştıracaktır. 12 Ekim 2023 tarihinden itibaren Birleşik Krallık ve ABD’deki kuruluşlar, Birleşik Krallık’taki kişisel verileri daha kolay bir şekilde dışa/içe aktarmak için Birleşik Krallık-ABD Veri Köprüsü’nü kullanabilecektir.
1. Konunun arka planı
Kişisel verilerin bu yargı bölgeleri dışına elektronik olarak aktarılmasının ‘sınırlı/kısıtlı aktarım’ (restricted transfer) olduğu, Birleşik Krallık/Avrupa Birliği’nde (AB) iyi bilinen bir veri koruma hukuku kavramıdır.
Başka bir deyişle, belirli istisnalar uygulanmadıkça ‘sınırlı/kısıtlı aktarım’ hukuka aykırıdır. Orijinal Avrupa Birliği Genel Veri Koruma Tüzüğü’ndeki (General Data Protection Regulation-GDPR) bu hükmün ardındaki mantık, Birleşik Krallık/AB veri koruma düzenleyicilerinin hiçbir yetkiye sahip olmadığı Birleşik Krallık/AB dışındaki kişisel verileri kaldıran kuruluşların veri sahibi haklarını sulandırmasını önlemekti.
Bununla birlikte, dünyanın küreselleşmiş doğasının göz ardı edilmesi pek mümkün değildi. İstisnaların devreye girdiği yer de burasıdır.
Birleşik Krallık Genel Veri Koruma Tüzüğü’nün 45. maddesi uyarınca ana istisna, ‘yeterli’ (yani Birleşik Krallık’ın, hedef ülkenin Birleşik Krallık Genel Veri Koruma Tüzüğü’nün sunduğu aynı veya benzer veri koruma hakları standardına sahip olduğunu belirlemesi anlamında yeterli) statüye sahip bir hedef ülkeye olması koşuluyla sınırlı bir aktarımın gerçekleşebilmesidir.
Kısıtlı aktarımın yeterli bir ülkeye yapılması durumunda, ihracatçı ve ithalatçı arasında başka hiçbir şeyin yapılmasına gerek yoktur. Bununla birlikte, ihracatçının/ithalatçının, Birleşik Krallık Genel Veri Koruma Tüzüğü kapsamında, Birleşik Krallık Genel Veri Koruma Tüzüğü madde 13(1-f)’deki veri sahibine kişisel verilerinin dışa aktarıldığını bildirme yükümlülüğü gibi ilave yükümlülüklerin olabileceği de dikkate alınmalıdır.
Hedef ülke yeterli değilse ihracatçı, veri sahibinin haklarının hedef ülkede korunmasını sağlamak için ‘uygun koruma önlemlerini’ (appropriate safeguards) uygulamaya koymak zorundadır. Birleşik Krallık Genel Veri Koruma Tüzüğü’nün 46. maddesinde belirtildiği gibi çeşitli önlemler vardır. En sık kullanılanları ICO (Information Commissioner’s Office-Bilgi Komiserliği Ofisi) tarafından yayınlanan[1] ‘standart sözleşme hükümleri/maddeleri’dir (standard contractual clauses). Bu sözleşme maddeleri (bağımsız bir anlaşmayı tamamlayan veya oluşturan), veri sahiplerinin, veri sahibi haklarını ithalatçıya karşı kullanma konusunda sözleşmeye dayalı yetkiye sahip olmasını sağlar. Standart sözleşme maddelerini kullanırken, ihracatçının öncelikle ihraç edilen kişisel verilerin hedef ülkede korunup korunmayacağını belirlemek için bir risk değerlendirmesi yapması gerekir.
Buna göre, aktarılan kişisel verileri korumak ve dolayısıyla Birleşik Krallık Genel Veri Koruma Tüzüğü’ne uymak için ilave önlemlerin alınmasını sağlamak konusunda hem ihracatçıların hem de ithalatçıların üzerinde ek bir yük bulunmaktadır. Bu nedenle yeterli ülkelerin listesi uluslararası veri aktarımlarının sorunsuz işleyişi açısından çok önemlidir.
Liste, Birleşik Krallık’ın mevcut ticari ilişkilerinin oldukça önemli bir bölümünü kapsamaktadır. Ancak bariz bir ihmal var ve olmaya da devam ediyor: ABD. Amerika Birleşik Devletleri, Birleşik Krallık’taki ticaret akışının önemli bir kısmını gerçekleştirmekte ve Birleşik Krallık’taki işletmelerin kullandığı büyük teknoloji ve bulut bilişim şirketlerinin çoğu ABD’de bulunmaktadır.
Birleşik Krallık hükümeti, 21 Eylül 2023 tarihinde, 2023 tarihli Veri Koruma (Yeterlilik) (Amerika Birleşik Devletleri) Düzenlemelerini [The Data Protection (Adequacy) (United States of America) Regulations 2023 (UK-US Data Bridge[2])] Parlamentonun onayına sundu (Birleşik Krallık-ABD Veri Köprüsü). 12 Ekim 2023 tarihinde yürürlüğe giren bu karar, ABD’ye ‘yeterli’ statüsü (adequate status) kazandırıyor. Bu yeterlilik durumu aşağıda açıklanan belirli koşullara tabidir.
2. Tarihsel konum
Geçmişte, AB-ABD kişisel veri aktarımları, 12 Temmuz 2016 tarihinde yürürlüğe giren AB-ABD Gizlilik Kalkanı (EU-US Privacy Shield) ile yönetiliyordu. Verilerin AB-ABD Gizlilik Kalkanı programına tescil edilen belirli ABD kuruluşlarına gönderilmesi durumunda, AB kişisel verilerine ek korumalar sağlıyordu. AB-ABD Gizlilik Kalkanına katılan kuruluşların, Genel Veri Koruma Tüzüğü’nün amaçları açısından etkili bir şekilde ‘yeterli’ olduğu kabul edildi ve (yukarıda belirtildiği gibi) başka bir belgeye gerek duyulmadı.
Ancak sonuçta Avrupa Birliği Adalet Divanı’nın (Birleşik Krallık için bağlayıcı olan) ünlü Schrems II kararında[3] bu korumalar yeterli görülmedi. Bu kararda, AB-ABD Gizlilik Kalkanının, kişisel veriler ABD’ye girdikten sonra AB vatandaşlarını ABD hükümetinin gözetiminden yeterince korumadığına karar verildi (ABD yetkilileri ABD üzerinden akan tüm elektronik iletişimleri görüntüleme ve bunlara müdahale etme olanağına sahip olduğundan). Schrems II kararı aynı zamanda AB/Birleşik Krallık kuruluşlarının kişisel verileri yeterli olmayan ülkelere aktarmadan önce risk değerlendirmesi yapması gereken hukuki kuralı da sağladı.
AB ve ABD, Schrems II kararının ardından AB ile ABD arasında daha kesintisiz veri akışını sağlayacak yeni bir anlaşma etrafında müzakerelere başladı. Bu yılın başında anlaşmaya varıldı ve AB, 10 Temmuz 2023 tarihinde, şu anda AB-ABD Veri Gizliliği Çerçevesi olarak bilinen hukuki çerçeveyi resmi olarak onayladı.
Birleşik Krallık, ABD ile paralel müzakereler yürütüyor. Temel olarak, Birleşik Krallık-ABD Veri Köprüsü, AB-ABD Veri Gizliliği Çerçevesine uyum sağlar ve aslında ABD kuruluşlarının çerçeve kapsamında kişisel verileri almak için kullanacağı süreçlerin aynısını kullanır.
3. Uygulamada Birleşik Krallık-ABD Veri Köprüsü
AB-ABD Veri Gizliliği Çerçevesi, ABD kuruluşlarının söz konusu Çerçeve kapsamında AB kişisel verilerini almasına yönelik bir katılım planıdır. ABD’li kuruluşlar ABD Ticaret Bakanlığı’na tescil olabilirler[4], ancak sertifikasyon ABD Federal Ticaret Komisyonu tarafından yürütülür.
AB-ABD Veri Gizliliği Çerçevesi ile önceki Gizlilik Kalkanı arasındaki temel fark, Çerçeve kapsamında, AB’deki veri sahiplerinin haklarını ABD istihbarat teşkilatlarına karşı kullanabilmelerini ve ayrı bir başvuruda bulunabilmelerini sağlamak amacıyla veri sahiplerine yönelik bağımsız ve bağlayıcı bir tazminat ve ABD kuruluşunun ihlalleri için ayrı bir başvuru mekanizmasının bulunmasıdır. Çerçeveye tescil olan ABD kuruluşlarının yine de kişisel verilerin Birleşik Krallık/AB Genel Veri Koruma Tüzüğü standardına göre korunmasını taahhüt etmesi gerekecektir.
ABD kuruluşları, Çerçeveye tescil olurken, Birleşik Krallık-ABD Veri Köprüsü kapsamında Birleşik Krallık kişisel verilerini alma seçeneğini belirleyebilir. Yani Birleşik Krallık-ABD Veri Köprüsü, AB mekanizmasına dâhil olmakta ve birlikte değerlendirilebilmektedir.
4. Birleşik Krallık’a tescil olma-ABD Veri Köprüsü
Birleşik Krallık-ABD Veri Köprüsü/AB-ABD Gizlilik Çerçevesinden yararlanmak isteyen ABD kuruluşlarının, başvurmadan önce belirli koşulları karşılamaları gerekmektedir. Bu koşulların özeti aşağıdaki gibidir:
- Uyumlu bir gizlilik politikası yayınlanmalıdır ki; kısacası bu, AB/Birleşik Krallık standartlarına uygun bir gizlilik politikası olacaktır. ABD kuruluşunun AB-ABD Gizlilik Çerçevesi ile uyumlu olduğunu belirtmesi ve ABD kuruluşunun katıldığı belirli bağımsız başvuruyu belirtmesi için ilave koşullar da bulunmaktadır.
- Kişisel verileri korumaya yönelik teknik ve organizasyonel önlemlerin AB/Birleşik Krallık Genel Veri Koruma Tüzüğü standardında olduğundan emin olunmalıdır.
- ABD kuruluşu, veri sahiplerinin ABD kuruluşunun Birleşik Krallık/AB Genel Veri Koruma Tüzüğü’nü ücretsiz olarak ihlal ettiğini düşünmeleri durumunda başvurabilecekleri özel bir üçüncü taraf tahkim hizmetine abone olmalıdır.
- ABD kuruluşu, ABD kuruluşunun kişisel verileri işlemesine ilişkin olarak bağlayıcı ve uygulanabilir bir karar almak isterlerse veri sahiplerinin kullanabileceği ABD Ticaret Bakanlığı’nın tahkim fonuna bir katkı ödemek zorundadır.
- Birleşik Krallık/AB veri sahiplerinin ABD kuruluşunda iletişim kurabileceği ve ABD kuruluşunun AB-ABD Gizlilik Çerçevesi ile uyumlu olduğunu doğrulamak için yeterli yetkiye sahip olan bir iletişim noktası belirlenmelidir.
Yalnızca çalışanlar ile ilgili verilerin ABD’deki bir bağlı kuruluşa veya Birleşik Krallık/AB’deki kişisel veri ihracatçısının üçüncü taraf hizmet sağlayıcısına aktarılması durumunda biraz farklı koşullar söz konusudur.
Bu koşulları karşıladıktan sonra, ABD kuruluşunun bilgilerini Ticaret Bakanlığı web sitesinde kaydetmesi yeterlidir. Onaylandıktan sonra Birleşik Krallık-ABD veri akışları ‘yeterli’ standartta ilerleyebilir.
Birleşik Krallık/AB kuruluşunun dışa aktarılan kişisel verilerin denetleyicisi ve ABD kuruluşunun işleyici olduğu durumlarda, bu kuruluşlar arasında Birleşik Krallık Genel Veri Koruma Tüzüğü’nün 28. maddesine uygun olarak bir sözleşmenin mevcut olması gerektiğine dikkat edilmelidir. Bu, kişisel verilerin dışa aktarılıp aktarılmadığına bakılmaksızın geçerli olan standart bir yükümlülüktür.
5. Önümüzdeki zorluklar
AB-ABD Gizlilik Çerçevesi hâlihazırda AB içerisinde önemli zorluklarla karşı karşıya kalmıştır. Fransız bir parlamenter, AB-ABD Gizlilik Kalkanını geçersiz kılmak amacıyla Avrupa Adalet Divanı’na dava açtığı ve Max Schrems’in seçeneklerini değerlendirdiği bildirilmektedir. ABD’de kişisel verilerin istihbarat amacıyla toplu olarak toplanmasını önleyen bir federal gizlilik yasası olmadığında, herhangi bir ABD-AB anlaşmasının ‘Schrems III’ ile karşı karşıya kalabileceği görülüyor.
Brexit’e rağmen Birleşik Krallık-ABD Veri Köprüsü fiilen bu zorlukların sonucuna bağlıdır. Avrupa Adalet Divanı’nın herhangi bir kararı Birleşik Krallık için bağlayıcı olmasa da, AB-ABD Gizlilik Çerçevesi yürürlükten kalkarsa Birleşik Krallık-ABD Veri Köprüsü’nün hayatta kalması pek olası değildir. ABD’deki onay ve düzenleme mekanizmaları tamamen AB’nin ihtiyaçları etrafında inşa edilmiş olup, yukarıda belirtildiği gibi Birleşik Krallık, ABD kuruluşlarının sertifika almak ve Avrupa Birliği ile Birleşik Krallık veri sahiplerinin kişisel verilerini almak için iki kez ödeme yapmasına gerek kalmayacak ölçüde bu gerekliliklere dâhil edilmiştir.
[1] < https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/ >
[2] < https://www.legislation.gov.uk/uksi/2023/1028/contents/made >
[3] < https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en >
[4] < https://www.dataprivacyframework.gov/s/ >
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.