Schrems I ve II Davaları, Kişisel Verilerin Aktarımı ve Piyasanın Korunması Konusunda Ulusal Güvenlik Penceresini Yeniden Açtı.

CJEU, AB-ABD Data Protection Shield ile öngörülen korumanın yeterliliği hakkındaki 2016/1250 sayılı Kararı geçersiz kılmış; kişisel verilerin üçüncü ülkelerde kurulan işlemcilere aktarılmasına ilişkin standart sözleşme hükümleri hakkındaki 2010/87 sayılı Komisyon Kararı’nın ise geçerli olduğu kanaatinde olduğuna karar vermiştir.

GDPR uyarınca, yurt dışına kişisel veri aktarımı için, kural olarak, üçüncü ülkenin yeterli düzeyde veri koruması sağlaması gerekmektedir (Komisyonun yeterlilik kararı alması, bir yeterlilik kararı yok ise, uygun güvence sağlanması ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşulları gibi – GDPR md. 44 vd.).

CJEU’nun incelemesi, Avusturya’da yaşayan bir Avusturya vatandaşı olan Maximillian Schrems’in başvurusu üzerine başlamıştır. Schrems I ve II davaları olarak bilinecek olan yargılama süreci şöyle gelişmiştir:

• 2008 yılından beri Facebook kullanıcısı bir kimse olarak Schrems, Avrupa Birliği’nde ikamet eden diğer kullanıcıların durumunda olduğu gibi, kişisel verilerinin bir kısmının veya tamamının Facebook Ireland tarafından Amerika Birleşik Devletleri’nde bulunan Facebook Inc’e ait sunuculara aktarıldığını ve işlendiğini söyleyerek İrlanda DPA’ye (Veri Koruma Otoritesi), bu transferlerin yasaklanması talebiyle bir başvuruda bulunmuştur.
• Başvurusunun gerekçesinde, ABD’deki yasa ve uygulamaların, Amerikan kamu güçlerinin bu ülkeye aktarılan verilere erişimine karşı yeterli koruma sağlamadığı iddiasını eklemiştir.
• Schrems’in bu başvurusunun, İrlanda DPA tarafından, esas olarak, 2000/ 5205 sayılı Safe Harbour kararı ile ABD’nin yeterli düzeyde koruma sağladığının belirlendiğinden bahisle  reddedilmiştir.
• 6 Ekim 2015 tarihli karar ile, CJEU, İrlanda Yüksek Mahkemesi’nin ön karar talebinde yer alan sorulara verdiği yanıtta, mezkur kararın geçersiz olduğunu açıklamıştır (“Schrems 1 kararı”).
• Bu karar üzerine ve karara atıfla Schrems, şikayetini yeniden düzenlemiş ve şikayetinin bu versiyonunda da ABD’nin, kendisine aktarılan kişisel veriler üzerinde yeterli düzeyde koruma sağlamadığı iddiasını sürdürmüştür. Bu sürecin sonunda Komisyon, AB – ABD tarafından sağlanan korumanın yeterliliği hakkında 2016/ 1250 sayılı Kararı (“Privacy Shield”) kabul etmiştir.

En nihayetinde CJEU, dünkü (16.07.2020) kararında ise,

• AB ile ABD arasındaki 2016/ 1250 sayılı Privacy Shield/ Gizlilik Kalkanı kararını geçersiz kılmış,
• Kişisel verilerin üçüncü ülkelerde bulunan kişilere aktarılmasına ilişkin standart sözleşme hükümlerinin ise geçerli olduğuna karar vermiştir.

CJEU yayınlanan Schrems II karar metninde demektedir ki, https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf,

• GDPR ile getirilen koruma ve aktarım hükümleri uyarınca sağlanacak eşdeğer koruma düzeyinin değerlendirilmesinin hem AB’de bulunan veri aktaran ile ilgili üçüncü ülkede kurulu alıcı arasında yapılan, hem de herhangi bir erişimle ilgili olarak kararlaştırılan sözleşme maddeleri dikkate alınarak değerlendirilmelidir.
• Denetim otoriteleri de bu tür bir aktarımla ilgili olarak, Komisyon’un geçerli bir yeterlilik kararı olmadığı sürece, genel aktarım koşulları ışığında o ülkede standart veri koruma şartlarına uyulmadığı veya AB yasalarının gerektirdiği ve aktarılan verilerin korunmasının başka yollarla sağlanamayacağı hallerde AB’de bulunan veri aktaran açısından bir askıya alma işlemi uygulamalı veyahut aktarıma son vermelidir.
• Özellikle, 2010/ 87 sayılı Komisyon kararı, veri aktarana ve veri alıcısına, herhangi bir aktarımdan önce, ilgili üçüncü ülkede, koruma seviyesine uyulup uyulmadığını kontrol etme yükümlülüğü getirmekte ve alıcının standart veri koruma şartlarına uymama konusunda veri aktarana bilgi vermesi gerekmektedir (Daha sonra ise gerektiğinde, veri aktarımını askıya almak ve / veya öncekiyle sözleşmeyi feshetmek zorundadır).
• 2016/ 1250 sayılı Karar, GDPR’da mevcut şartlar ışığında incelenmiştir. ABD’nin ulusal güvenlik, kamu yararı ve kolluk gerekliliklerine öncelik verdiği görülmektedir. Bu bağlamda ABD, bazı gözetim (surveillance) programlarını uygularken bir sınır koymamakta veyahut koruma ile ilgili olarak potansiyel hedef kitlelerini ABD vatandaşları olarak belirlemektedir. Keza, bu uygulamaları gerçekleştiren ABD kamu güçlerine karşı, veri sahiplerine yönelik etkili kanun yollarının da tanınmadığı görülmektedir.

Schrems II kararının açıklanmasının ardından, Twitter üzerinden görülebilen yorumlarda, kararı herkes kendi açısından değerlendirmiş;

• Başvurucu Schrems, kararın veri aktarımı sınırları ile ilgili değil, ABD’nin gözetim yasalarının bir sonucu olduğunu[1],
• Facebook, CJEU’nun AB üyesi olmayan ülkelere veri aktarımı için Standart Sözleşme Maddelerinin geçerliliğini teyit etme kararını memnuniyetle karşıladığını[2] ve Privacy Shield kullanımı ile ilgili düzenleyici yol göstericiliği dört gözle beklediklerini[3].
• ABD (-li bir yetkili), kararda sözü edilen gözetim rejimi değişikliklerinin kendileri açısından tavsiye olunamaz olduğunu ve mümkün bulunmadığını[4],
• İrlanda DPA ise bunun Avrupalı meslektaşları (konumdaşları) ile birlikte ortak bir konum geliştirmek için bir fırsat olduğunu, AB vatandaşlarının haklarının korunmasını sağlama konusunda veri sorumluları ve ulusal denetim makamları arasındaki sorumluluk tahsisini de içerecek şekilde yeni durumun getirdiği yeni pozisyonların belirlenebileceğini[5] söylemiştir.

Böyle uzun bir süreç özetinden sonra şunları söylemek mümkün:

Avrupa ülkeleri rekabet kurumlarının rekabet yasalarını kişisel verilerin korunması, big data ve mahremiyet hükümleri çerçevesinde ele aldığı Facebook, Amazon, Google, Uber gibi[1] vakıalarda Avrupa piyasasının korunması saiki, “rekabet hukuku” ve “kişisel veri” bağlantılandırması ile şirketler üzerinden ilişkilendirilerek sağlanmış idi. Bu defa CJEU’nun, bu sürece yeni bir katman ekleyerek ulusal güvenlik boyutu penceresini yeniden açtığını, ABD’nin ulusal güvenlik tedbirlerini şirketin kişisel veri aktarımına engel teşkil eder kabulü ile doğrudan şirket faaliyetini yasakladığını görmekteyiz. Kaldı ki buradaki diğer yorum da, şirketin doğrudan etki edemeyeceği, değiştiremeyeceği bir alan (ulusal güvenlik tedbirleri) işaret edilerek bu yasağın getirilmiş olmasıdır.

Avrupa’da çoğunlukla rekabet hukukundan hareketle yürüyen ve ihlal ile sonuçlandırılan soruşturmaların neredeyse tümünün ABD menşeili şirketlere karşı olması ve yukarıda tweetler eliyle yer verdiğimiz tümüyle farklı tarafların, tümüyle kendilerini yansıtan açıklamaları da bu görüşümüzde haksız olmadığımızı düşündürmekte.

Nitekim karar üzerine ABD, benimsediği gözetim rejiminden vazgeçmeyeceğini, hatta bunun tavsiye dahi olunamayacağını söylerken, ilk baştan beri Schrems’in taleplerini reddeder konumdaki İrlanda DPA (Veri Koruma Otoritesi), bunu Avrupa’daki veri sorumluları ve ulusal denetim makamları arasındaki sorumluluk paylaşımı ve Avrupalı diğer veri koruma kurumları ile ortak bir konum geliştirmenin bir fırsatı olarak gördüğünü kendi yaptığı açıklama ile söylemektedir.

---

[1] Ketizmen, Muammer – Kart, Aslıhan, Kişisel Veri ve Rekabet Hukuku Kapsamında “Big Data”, Kişisel Verileri Koruma Dergisi, Sayı: 1, Ankara, 2019, https://dergipark.org.tr/en/download/article-file/738261

---

[1] https://twitter.com/arqsolicitors/status/1283752630582423552

[2] https://twitter.com/tconnellyRTE/status/1283729982330736640

[3] https://twitter.com/tconnellyRTE/status/1283729985031864320

[4] https://twitter.com/vmanancourt/status/1283779984805560322

[5] https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-cjeu-decision