İnsani Sivil Toplum Kuruluşları ve Kişisel Verilerin Uluslararası Aktarımı: Veri Sahiplerinin Haklarını, Etkilenen Nüfus Bağlamında Onların İhtiyaçlarıyla Uzlaştırma Girişimi

Giriş

Genel Veri Koruma Yönetmeliği’nin (General Data Protection Regulation^[1]) uygulanmasında ticari kuruluşların karşılaştığı zorlukları ele alan çok sayıda literatür mevcut olsa^[2] da, Uluslararası Kuruluşlar (IO) ile ilgili olanlar azdır ve sivil toplum kuruluşlarında -STK- (non-governmental organisations) neredeyse hiç yoktur. Avrupa Ekonomik Alanı’nda (European Economic Area) bulunan STK’lar, kişisel verileri acil yardım amacıyla üçüncü ülkelere aktarırken sıklıkla önemli zorluklarla karşı karşıya kalmaktadır. Veri sahiplerinin haklarını korumayı amaçlayan Genel Veri Koruma Yönetmeliği, aktarımlara ilişkin katı yükümlülükler getirmektedir ki; bu, hassas gruplara zamanında yardım sağlanması yönündeki insani zorunlulukla çelişebilir.

Bu makalenin yazarı, birçok STK’nın veri koruma hukuku konusunda uzmanlığa sahip olmadığını ve Genel Veri Koruma Yönetmeliği’ne uymakta zorluk çektiğini gözlemlemiştir. Temmuz 2024’te yapılan gizli görüşmeler, Avrupa Ekonomik Alanı merkezli STK’ların, veriler kuruluş içinde kalsa bile, genel merkezleri ile saha ofisleri arasında kişisel veri paylaşımının uluslararası bir transfer teşkil ettiğinin farkında olmayabileceğini ortaya koymaktadır. Kuner, birçok insani yardım kuruluşunun veri koruma önlemlerini etkili bir şekilde uygulama konusunda acilen rehberlik aradığını vurgulamaktadır^[3].

Örneğin, insani yardımda önemli bir araç olan Nakit ve Fiş Yardımı^[4], yararlanıcıların bireysel ihtiyaçlarını ve önceliklerini ele almalarını sağlayarak özerkliği, kriz durumlarında ise onur ve saygıyı teşvik eder. Ancak, STK’lar “aşırı uyum” (over-compliance^[5]) ve aşırı veri toplamayı talep eden giderek daha sıkı finansal düzenleyici yükümlülükler konusunda endişelerini dile getirmişlerdir. Yerel bankacılık yasaları ve Müşteri Tanıma (Know Your Customer) yükümlülükleri, Finansal Hizmet Sağlayıcılarının (Financial Service Providers) müşterileri yaptırım uygulanan listelerle karşılaştırmasını ve eşleşmeleri bildirmesini gerektirmekte ve bu da tarafsız yardımı sağlamaya yönelik insani çabaları potansiyel olarak tehlikeye atmaktadır. Bu tür önlemler, bireyleri yaptırımlara veya misillemelere maruz bırakma riski taşımakta ve STK’ları istenmeyen istihbarat ajanlarına dönüştürmektedir. Aksine, Slim’in de vurguladığı^[6] gibi, tarafsızlık, insani aktörlerin milliyet, ırk, din, sınıf veya siyasi görüşlere dayalı ayrımcılık yapmadan, yalnızca acıyı hafifletmeye odaklanarak ve en acil vakalara öncelik vererek yardım sağlamasını gerektirmektedir.

Genel Veri Koruma Yönetmeliği ve Avrupa Birliği (AB) Adalet Divanı (Court of Justice of the European Union) kararlarını uygulayan STK’ların, kişisel verilerin herhangi bir transferini Genel Veri Koruma Yönetmeliği’nin 45, 46 veya 47. maddelerine yasal olarak dayandırmaları pek olası görünmemektedir çünkü kişisel verileri transfer edebilecekleri koşullar genellikle alıcı ülkelerin yasal çerçeveleriyle çelişmektedir. Avrupa Birliği Adalet Divanı’nın içtihatlarının bulunmaması durumunda, Avrupa Veri Koruma Kurulu’nun (European Data Protection Board^[7]) “sadece sınırlı sayıda veri sahibi” (Genel Veri Koruma Yönetmeliği’nin 49. maddesi) ile ilgili “tekrarlanmayan transfer” (not repetitive transfer) kavramının yorumlanması zorluklar yaratabilir.

Bu analizde, yeterlilik kararlarının^[8] sınırlamaları, uygun güvenlik önlemlerinin potansiyeli ve Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinin yorumlanması incelenmektedir. Makale yazarı bu unsurları inceleyerek, çelişkili düzenlemeler arasında gezinirken uyumu sağlayarak insani görevlerini veri koruma yükümlülükleriyle dengeleyen STK’lara rehberlik sunmayı ummaktadır.

1. Yeterlilik Kararından Yararlanan Bir Ülkeye Transfer

Avrupa Komisyonu’nun yeterlilik kararı, üçüncü ülke veri koruması konusunda güvence sağlar ancak insani krizlerin hızla geliştiği acil yardım durumlarında yetersiz olabilir. Bu tür krizler, başlangıçta yeterlilik kararını haklı çıkaran koşulları zayıflatabilir ve veri sahiplerinin hâlâ yeterli bir koruma düzeyinden yararlanıp yararlanmadığı konusunda endişelere yol açabilir. Schrems I^[9] (paragraf 73) ve Schrems II’ye^[10] (paragraf 96 ve 203) göre, yerel hukuk veya uluslararası taahhütlere dayalı olarak “esasen eşdeğer” bir koruma düzeyi gereklidir. Schrems’ten analojiye dayanarak akıl yürüten makale yazarı, bir yeterlilik kararının insani yardım STK’larını, doğal veya insan yapımı bir felaketin sonuçlarının veri sahiplerine sağlanması gereken uygun güvenceleri, uygulanabilir hakları ve etkili yasal çözümleri nasıl etkileyebileceğini daha fazla araştırmaktan kurtaracağından şüphe duymaktadır (Schrems II, paragraf 103). Kamusal acil durumlarda, yardım çabalarına duyulan ihtiyaç genellikle gizlilik korumaları da dâhil olmak üzere temel hakları geçici olarak askıya alabilen istisnai yasaların uygulanmasıyla çakışır.

2. Uygun Güvenlik Önlemlerinin Alınmasının Ardından Transfer

Yeterlilik kararlarının bulunmaması durumunda, STK’lar kişisel verileri üçüncü ülkelere aktarırken yüksek düzeyde veri koruması sağlamak için uygun güvenlik önlemlerine güvenmelidir. Avrupa Birliği Adalet Divanı’nın Schrems II kararına göre, bu güvenlik önlemleri AB hukuku kapsamındakine “esasen eşdeğer” bir koruma düzeyi sağlama yeteneğine sahip olmalıdır (C-101/01 Bodil Lindqvist [2003] Avrupa Birliği Adalet Divanı 596 Davası^[11]).

Ancak, acil durum yardımı bağlamındaki genellikle istikrarsız ve öngörülemeyen koşullar, güvenlik önlemlerinin etkinliğini doğrulamayı ve veri sahiplerinin uygulanabilir haklara ve etkili yasal çözümlere sahip olmasını sağlamayı zorlaştırabilir. Örneğin, STK’lar Finansal Hizmet Sağlayıcılar ile uygun sözleşme maddeleri üzerinde pazarlık yapabilirken, bu sözleşmeler Finansal Hizmet Sağlayıcılarının yerine getirmesi gereken yasal yükümlülükler ile çelişmemelidir. Ayrıca, bu maddeleri uygulamak, zayıf hukuk sistemlerine sahip ülkelerde veya insani krizlerin ulusal kurumların işleyişini bozduğu yerlerde zorlayıcı olabilir. Dahası, etkilenen nüfusların savunmasızlığı, gizlilik hakları ihlal edilen bireyler için etkili düzeltme mekanizmalarına erişimi engelleyebilir.

3. Muafiyet Koşulları

Yeterlilik kararının bulunmaması ve STK’ların uygun güvenceleri sağlayamaması durumunda, Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinde^[12] belirtilen muafiyet hükümlerine başvurabilirler. Bu madde oldukça tuhaf bir şekilde kaleme alınmıştır. İthalatçı ülkedeki koruma düzeyinin esasen AB hukukuna göre eşdeğer olmadığı durumlarda kişisel verilerin aktarılmasına kapı açar ve yedi istisnadan oluşan bir dizi listeler:

(a) Veri sahibinin açık rızası; aktarımın gerekli olması;

(b) Veri sahibi ile denetleyici otorite arasındaki bir sözleşmenin ifası için olması;

(c) Denetleyici otorite ile başka bir gerçek veya tüzel kişi arasında veri sahibinin menfaatine akdedilen bir sözleşmenin akdedilmesi veya ifası için olması;

(d) Kamu yararı açısından önemli nedenlerin bulunması;

(e) Yasal iddiaların tesisi, kullanımı veya savunulması için olması;

(f) Veri sahibinin veya diğer kişilerin hayati çıkarlarını korumak için veya bazı koşullar altında olması,

(g) Aktarımın, Avrupa Birliği veya AB Üye Devlet hukukuna göre kamuya bilgi sağlamak amacıyla ve istişareye açık olan bir sicilden yapılması.

Daha sonra, denetleyici otoritelerin zorunlu meşru çıkarları için gerekli olması halinde kişisel verileri aktarabilecekleri durumu ele alan Madde 49(1)’in bir alt paragrafını sunar. Bu ayrı paragraf, özellikle aktarımın tekrarlayıcı olmaması ve sınırlı sayıda veri sahibini ilgilendirmesi gerçeği olmak üzere, bu son istisnaya ilişkin ek sınırlamaları listeler.

Avrupa Veri Koruma Kurulu, muafiyetlerin kısıtlayıcı bir şekilde yorumlanmasını genel olarak destekleyen öneriler yayınlamış ve bunların yeterli koruma veya uygun güvenceler gerektiren kuralın istisnaları olarak değerlendirilmesi gerektiğini vurgulamıştır. Bu, mahkemelerin, prensip olarak muafiyetlerin kısıtlayıcı bir şekilde yorumlanması ve seyrek kullanılması gerektiği yönündeki olağan yaklaşımını yansıtmaktadır (Schrems I Para. 92). Avrupa Veri Koruma Kurulu tarafından belirlenen temel kısıtlamalardan biri, muafiyetler kapsamındaki transferlerin tekrarlayıcı olmaması ve yalnızca sınırlı sayıda veri sahibini ilgilendirmesidir. Bu sınırlama, genellikle uzun süreler boyunca birden fazla kişiye ait verilerin transferini içeren devam eden acil yardım operasyonlarında yer alan STK’lar için zorluklar yaratabilir.

Tekrarlanan ve çok sayıda veri sahibini ilgilendiren aktarımlar olsa bile muafiyetler mümkün müdür?

Makale yazarı, acil yardım operasyonları bağlamında, Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinin, verilerin tekrarlanan transferlerini veya çok sayıda veri sahibini içeren durumlarda muafiyetlere izin verecek şekilde daha geniş bir şekilde yorumlanabileceğini savunmaktadır. Buna göre, Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinin ikinci paragrafı ek bir istisna yaratacak şekilde yorumlanabilir ve (a) ila (g) paragraflarına uygulanmaz. Bu anlayış, Genel Veri Koruma Yönetmeliği’nin şu şekilde okunan 113 no.lu Gerekçesi^[13] ile daha da desteklenmektedir: “Tekrarlanmayan ve yalnızca sınırlı sayıda veri sahibini ilgilendiren transferler, denetleyici tarafından takip edilen zorlayıcı meşru çıkarlar amacıyla da mümkün olabilir” (vurgu eklenmiştir).

Bazı yazarların^[14] da belirttiği gibi, bu tür muafiyetlerin yasallığını belirleyen şey, etkilenen veri sahiplerinin sıklığı veya hacmi değil, Avrupa Veri Koruma Kurulu tarafından tanımlanan zorunluluk ölçütüdür. Doğruysa, bu bakış açısı acil insani ihtiyaçlara yanıt veren STK’lar için bir miktar esneklik sağlayabilir ve acil durumlarda veri transferlerine olanak tanıyabilir. Bununla birlikte, her bir durumun özelliklerini değerlendirmek ve muafiyetlere güvenmenin hesap verebilirlik ve orantılılık gibi temel veri koruma ilkeleriyle uyumlu olmasını sağlamak hayati önem taşımaktadır. Bu tür muafiyetler, temel hakların zayıflatılmasını önlemek için dikkatli bir şekilde kullanılmalıdır.

Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinin numaralandırılmamış ikinci alt paragrafının, üçüncü ülkelere yapılan kişisel veri transferleri için belirgin ve daha sınırlı bir “meşru menfaat muafiyeti” getirdiği ileri sürülmektedir. Bu muafiyet, Madde 49 kapsamındaki diğerlerinden daha dar kapsamlıdır ve yalnızca belirli ve istisnai koşullar altında uygulanır. Bu koşullar şunları içerir:

(1) Tekrarlanmayan transferler;

(2) Sınırlı veri sahipleri;

(3) Denetleyici otoritenin zorlayıcı meşru menfaatleri;

(4) Veri sahibi haklarının geçersiz kılınmaması;

(5) Kapsamlı değerlendirme;

(6) Uygun güvenceler,

(7) Denetim otoritesine bildirim ve

(8) Veri sahibi bilgileri.

Diğer muafiyetlerin aksine, bu istisna işlemcilerin menfaatlerine değil yalnızca denetleyici otoritenin meşru menfaatlerine uygulanır. Kuner’in de belirttiği gibi, Veri Koruma Direktifi’nde bulunmayan bu madde, Genel Veri Koruma Direktifi’ne sonradan eklenmiştir. Denetleyici otoritenin kendi menfaatleri ile haklı gösterilen temel haklardan bir muafiyet içerdiğinden son çare olarak kullanılmalıdır.

Bu, meşru menfaat kavramının benzersiz doğasına ve veri sahipleri için oluşturduğu içsel risklere bağlanabilir. Meşru menfaat ile veri sahibinin makul beklentileri arasındaki denge testi, veri toplamanın bağlamı ve koşullarının da dikkate alındığı, vaka bazında bir değerlendirme gerektirir (Avrupa Veri Koruma Kurulu, küçük işletmeler için veri koruma kılavuzu). Bu analiz, geçersiz kılınamayan veri koruma haklarına saygı göstermelidir. Buradaki yük, denetleyici otoritenin kendi menfaatlerinin veri sahibinin haklarından daha ağır bastığını kanıtlama yükümlülüğündedir. Avrupa Birliği Adalet Divanı, Meta davasında^[15], meşru menfaatin tekrarlayan veya sistematik işleme için genel bir gerekçe olarak hizmet edemeyeceğinin altını çizmektedir. Bu görüş, tekrarlayan işlemenin genellikle gerekli meşruiyet eşiğini karşılayamadığını vurgulayan Avrupa Veri Koruma Kurulu tarafından da desteklenmektedir.

Makale yazarı, Genel Veri Koruma Yönetmeliği’nin 49(1) no.lu maddesinin kapsamının hâlâ biraz belirsiz olduğunu kabul etmektedir. Schrems II’deki yargıç-raportör Yargıç von Danwitz’in, Ocak 2021’deki 40. Veri Koruma Günü’nde kişisel olarak yaptığı açılış konuşmasında^[16] da vurguladığı gibi, muafiyet maddesinin sunduğu olasılıkları daha fazla araştırmak gerekir.

4. Genel Veri Koruma Yönetmeliği ve Kolluk Kuvvetleri Direktifi’nin İfadelerinin Karşılaştırılmasıyla Doğrulanan Bir Yaklaşım

Kolluk Kuvvetleri Direktifi’nin (Law Enforcement Directive^[17]) 38. maddesi, denetleyici otoritelerin, yeterlilik kararı ve uygun güvencelerin yokluğunda, yasal ve istisnai olarak kişisel verileri üçüncü bir ülkeye aktarabileceği durumları ele almaktadır. Kolluk Kuvvetleri Direktifi’nin 72. gerekçesi, Genel Veri Koruma Yönetmeliği’nin 113. gerekçesiyle açıkça çelişmektedir. Genel Veri Koruma Yönetmeliği’nde, açıklandığı üzere, aktarımın tekrarlayıcı olmaması veya çok sayıda veri sahibini ilgilendirmemesi gerektiği gerçeği, yalnızca denetleyici otoritenin meşru çıkarını iddia ettiği durumlarda açıkça geçerlidir. Aksine, Kolluk Kuvvetleri Direktifi, tüm istisnaların kullanımını, sık, büyük ve yapısal veya büyük ölçekli veri aktarımlarına izin vermeyen durumlarla açıkça sınırlar. Genel Veri Koruma Yönetmeliği, Kolluk Kuvvetleri Direktifi’nden sonra taslak haline getirildiği için, Genel Veri Koruma Yönetmeliği’nin bu noktada Kolluk Kuvvetleri Direktifi’nden kasıtlı olarak biraz daha liberal olduğu varsayılabilir. Bir yandan kolluk kuvvetlerinin yetkilerini ele alan bir Direktif ile diğer yandan Avrupa Ekonomik Alanı içinde kişisel verilerin serbest dolaşımına izin vermeyi amaçlayan bir Yönetmelik arasındaki mantık farkı göz önüne alındığında, bu anlaşılabilir bir durumdur.

Sonuç: Hesap Verebilirliğin Gösterilmesi

Kişisel verilerin üçüncü ülkelere aktarılmasının yasallığını sağlamak için STK’lar bir dizi koşulu karşılamak zorundadır. İlk olarak, muafiyet gerekli olmalı ve durum ile kesinlikle talep edilmelidir. Sıklık veya veri sahiplerinin sayısından ziyade koşula odaklanma, acil durumların mantığıyla uyumludur: muafiyet, hayati çıkarlar bunu haklı çıkardığı sürece geçerliliğini korur, durum bir kez veya tekrar tekrar meydana gelsin.

Veri koruma önlemleri, temel yardımın iletilmesini engellememelidir. İnsani krizlerde, uygun yasal dayanaklar arasında “kamu yararına önemli nedenler” [Genel Veri Koruma Yönetmeliği Madde 49(1-d)] ve “veri sahibinin veya başkalarının hayati çıkarları” [Genel Veri Koruma Yönetmeliği Madde 49(1-f)] yer alır. Ancak, Genel Veri Koruma Yönetmeliği’nin 35 no.lu maddesi^[18] ve 84 no.lu Gerekçesi^[19] doğrultusunda, bireylerin hakları ve özgürlükleri için yüksek riskleri değerlendirmek üzere risk temelli bir analiz yapılmalıdır. Ayrıca, STK’lar, kişisel verilerin aktarılması ve saklanmasının risklerini dengeleyerek zarar vermeme ilkesi kapsamında daha geniş bir risk değerlendirmesi yapmalıdır. Uygun hafifletici önlemler uygulanırsa, “eşdeğer” düzeyde veri koruması (equivalent level of data protection) sağlanmadan bile aktarım haklı gösterilebilir. Bu, olası çatışan hakların dengelenmesini, veri sahiplerinin itirazlarına saygı gösterilmesini ve güç dengesizliği ve savunmasız nüfusun seçim eksikliği göz önüne alındığında rızanın geçerli bir dayanak olmayabileceği durumlarda, kendi iradeleri dışında hiçbir karar alınmamasını sağlamayı içerir.

Azaltıcı önlemler arasında sözleşme maddeleri, güçlü veri saklama politikaları ve üçüncü taraf uyumunun sağlam denetimi yer alır. Sonuç olarak, STK’lar, veri sahiplerinin AB yasalarıyla tek bağlantısının STK’nın Avrupa Ekonomik Alanı tabanlı operasyonları olduğunu göz önünde bulundurarak, aktarımın veri sahipleri için yeni riskler getirip getirmediğini değerlendirmelidir. Verilerin saklanması, bireylerin çıkarlarını aktarımını sağlayacağından daha fazla tehlikeye atıyorsa, ikincisi tercih edilebilir bir seçenek olabilir.

UNHCR (Birleşmiş Milletler Göçmen Ajansı), OCHA (Birleşmiş Milletler İnsani Yardım Koordinasyon Ofisi), ICRC (Uluslararası Kızılhaç Komitesi) ve Inter-Agency Standing Committee (Kurumlararası Daimi Komite) gibi insani aktörler kılavuzlar geliştirmeye başlamıştır, ancak ne yazık ki Avrupa Birliği’nin üçüncü ülkelerde veri koruma eşdeğerliğini değerlendirmek için standartlaştırılmış bir metodolojisi yoktur. Yabancı yasaların AB standartlarına esas eşdeğerliği açısından değerlendirilmesi için kritik bir ihtiyaç olmasına rağmen, ne AB kurumları ne de Veri Koruma Otoriteleri (Data Protection Authorities) bunu yapmak için kamuoyuna açık bir yaklaşım belirlememiştir. Kuner, bunun AB kurumları arasında, uluslararası insani yardım kuruluşları tarafından savunmasız nüfuslara yardım etmek için gerçekleştirilenler gibi hayati küresel kamu çıkarlarına hizmet eden veri transferlerini kolaylaştırmaya yönelik sınırlı ilgiden kaynaklanabileceğini öne sürmektedir.

Makale yazarının görüşüne göre, mevcut zorluklar aynı zamanda Genel Veri Koruma Yönetmeliği’nin öncelikli olarak Avrupa’da ikamet eden bireyleri korumak ve tüketicilerinin konumundan bağımsız olarak Avrupa’da bulunan şirketlere yükümlülükler yüklemek için tasarlanmış olmasından da kaynaklanabilir. Ancak Gulczynska tarafından da ifade edildiği^[20] gibi, insani yardım bağlamında, veri sahipleri Avrupa’da bulunan STK’lar tarafından sunulan hizmetlerin tüketicileri olarak değerlendirilmemelidir. Bu makalede, üçüncü ülkelerdeki bireylere acil insani yardım ulaştırmak için kişisel verileri aktarırken Avrupa Ekonomik Alanı merkezli STK’ların Genel Veri Koruma Yönetmeliği yükümlülüklerini yerine getirmelerine yardımcı olmak için acil desteğe duyulan ihtiyaç hakkında daha fazla içyüzünü anlamayı sağlama amaçlanmaktadır.

[1] <https://gdpr-info.eu/>

[2] <https://www.emerald.com/insight/content/doi/10.1108/IJLMA-08-2023-0170/full/html>

[3] <https://academic.oup.com/idpl/article/7/3/147/4211050>

[4] <https://data.humdata.org/dataset/repository-for-pdf-files/resource/a1379937-5165-46f1-8bf0-b99ea7c0bb26/download/guidance_note_cash_voucher_assistance.pdf>

[5] <https://www.nrc.no/globalassets/pdf/reports/safeguarding-humanitarian-banking-channels/safeguarding-humanitarian-banking-channels.pdf>

[6] <https://www.thenewhumanitarian.org/opinion/2021/7/12/three-challenges-for-humanitarian-impartiality>

[7] <https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en>

[8] <https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en>

[9] <https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=5908532>

[10] <https://curia.europa.eu/juris/document/document.jsf;jsessionid=587A46CBE3B1D2CD76A2239B1D7F7D39?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2603909>

[11] <https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?isOldUri=true&uri=CELEX:62001CJ0101>

[12] <https://gdpr-info.eu/art-49-gdpr/>

[13] <https://gdpr-info.eu/recitals/no-113/#:~:text=1%20Transfers%20which%20can%20be%20qualified%20as>

[14] <https://academic.oup.com/idpl/article/14/1/19/7416350?login=false>

[15] <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CJ0252>

[16] <https://www.youtube.com/watch?v=2hyETsfhErg&t=8590s>

[17] <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L0680>

[18] <https://gdpr-info.eu/art-35-gdpr/>

[19] <https://gdpr-info.eu/recitals/no-84/>

[20] <https://academic.oup.com/idpl/article-abstract/11/4/360/6295717?redirectedFrom=fulltext&login=false>