Avrupa Veri Koruma Denetçisi [European Data Protection Supervisor– EDPS], Avrupa Birliği [AB]- Amerika Birleşik Devletleri [ABD] arasında yasal düzenlemelere aykırı veri aktarımları gerçekleştiği gerekçesiyle Avrupa Parlamentosu’na yaptırım uygulanmasına karar verdi[1]. Karar, Avrupa Birliği Adalet Divanı‘nın [ABAD], AB-ABD veri aktarımlarına ilişkin “Schrems II” kararının ilk uygulamalarından biri olma ve dolayısıyla beklemekte olan yüzlerce başka dava için de yol gösterici olma niteliğini haizdir[2].
Avrupa Veri Koruma Denetçisi, Avrupa Dijital Haklar Merkezi [European Center for Digital Rights- noyb] tarafından, Avrupa Parlamentosu’nun COVID testine ilişkin web sitesinde veri korumasına ilişkin düzenlemeleri ihlâl ettiği yönünde yapılan şikâyetin ardından bu konuyu incelemiş ve ihlâlin var olduğu yönünde karar vermiştir. Şikâyetin konusu ABD’ye yasa dışı veri aktarımı [illegal transfer of data to the US], aldatıcı çerez afişleri [deceptive cookie banners] ve belirsiz ve açık olmayan veri koruma bildirimleridir [vague and unclear data protection notices].
I. ABD’ye Yasa Dışı Veri Aktarımı
EDPS, Avrupa Parlementosu ilgili websitesinde Google Analytics ve ödeme sağlayıcısı Stripe‘in[3] kullanımının ABAD’ın AB-ABD veri aktarımlarına ilişkin “Schrems II”[4] kararını ihlâl ettiğini vurgulamaktadır. Schrems II kararı ile ABAD, AB-ABD Gizlilik Kalkanı’nın AB yasalarının gerektirdiği veri korumasına ilişkin yeterli tedbiri almadığı gerekçesiyle Gizlilik Kalkanı Anlaşması’nı iptal etmiştir. Karara konu olayda ABAD, üçüncü ülkelere veri aktarımında AB içerisinde GDPR ile sağlanan güvenliğe eşit düzeyde bir güvenliğin sağlanabilmesi gerektiğini belirtmiştir. Bu çerçevede ABD iç hukukunda yer alan kamu otoritelerince kişisel verilere erişim ve verilerin kullanılmasına ilişkin sınırlamaların, AB hukukundaki ölçülülük ilkesi kapsamında gereken veri koruma yükümlülüklerini karşılamadığını tespit etmiştir. Dolayısıyla bu çerçevede kişisel veriler için yeterli düzeyde korumanın sağlanamadığı durumlarda kişisel verilerin ABD’ye aktarılmasından kaçınılması gerekmektedir. Ancak Parlamento’ya ilişkin verilen bu kararda, veriler için yeterli düzeyde koruma sağlanmadan verilerin ABD’ye aktarıldığını doğrulanmıştır[5].
II. Aldatıcı Çerez Afişleri
Websitesi kullanıcılarının çerezlere ilişkin “geçerli rıza” vermeleri kişisel verilerin korunması bakımından önemlidir. noyb tarafından yapılan şikayette bütün çerez başlıklarının websitesinde listelenmediği veyahut da dil sürümleri arasında farklılıklar olduğu gibi hususlar belirtilerek çerez afişlerinin açık olmadığı ve aldatıcı olduğu tespit edilmiştir. Dolayısıyla bu hususların kullanıcılardan geçerli rızanın alınmasını engellendiği belirtilmiştir. Bu kapsamda soruşturma sırasında Parlamento, web sitesinden tüm çerezleri kaldırmıştır.
III. Belirsiz ve Açık Olmayan Veri Koruma Bildirimleri
Bu konuya ilişkin şikâyet kapsamında website içerisinde doğru olmayan yasal dayanaklara atıfta bulunulduğu için gizlilik politikasının net ve şeffaf olmadığı belirtilmiştir. EPDS tarafından verilen karar çerçevesinde de şeffaflık yükümlülüğünün ihlâl edildiği belirtilmiştir.
Ortaya konulan bu tespitler neticesinde Avrupa Parlamentosu aleyhine para cezası öngörülmemiş ancak yalnızca AB kurumları için uygulanan 2018/1725 sayılı Tüzük kapsamında verilerin korunmasına ilişkin düzenlemeleri ihlâl ettiği için Parlamento kınanmış ve verilen karara uygun hareket etmesi gerektiği belirtilmiştir.
Sonuç olarak Avrupa Veri Koruma Denetçisi tarafından Schrems II kararı çerçevesinde verilen bu karar, hem AB’de GDPR kapsamında değerlendirilmeyi bekleyen birçok başka şikâyet için yol gösterici olacak hem de GDPR’ın mehaz nitelik arz ettiği ülkeler bakımından emsal teşkil edecektir. Türk hukukunda ise Kişisel Verileri Koruma Kurumu [KVKK] tarafından üniversitelerin Yüksek Öğretim Kurumu’nda yayımlanan tezlerde yer alan ıslak imzaları kaldırmasına ilişkin verilen karar bu yöndedir. Veri ihlâllerinin tespiti ve önlenmesi amacıyla kurulmuş KVKK, yine kamu kurumu niteliğini haiz üniversitelere veri ihlâlinin önlenmesi amacıyla talimat vermişti. Benzer şekilde KVKK’nın özellikle veri transferleri konusunda kamu kurumlarına dair şikayetleri inceleyip inceleyemeyeceği hususlarında belki de yol gösterici olacaktır.
Av. Büşra YANAR
Av. S. Özlem TÜRKOĞLU, LL. M.
[1] EDPS’nin Avrupa Parlamentosu’na ilişkin kararı için bkz. [https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf, erişim 13.01.2022].
[2] Bkz. [https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe, erişim, 13.01.2022].
[3] Google Analytics ve ödeme sağlayıcısı Stripe ABD merkezli şirketlerdir.
[4] Schrems II kararı için bkz. [https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.html, erişim 13.01.2022].
[5] Bu husus EPDS tarafından verilen kararda “Parlamento, web sitesinde çerezlerin kullanımı bağlamında ABD’ye aktarılan kişisel verilere esasen eşdeğer düzeyde bir koruma sağlamak için yürürlükte olan sözleşmeye dayalı, teknik veya organizasyona ilişkin önlemlere ilişkin hiçbir belge, kanıt veya başka bilgi sağlamamıştır.” ifadeleri ile ortaya konulmuştur [s. 14].
