Amerika Birleşik Devletleri -ABD- ile Avrupa Birliği –AB- arasında yapılan veri aktarımı “Wikileaks” skandalı sonrası Schrems I olarak adlandırılan Avrupa Birliği Adalet Divanı –ABAD, Divan- kararı ile Güvenli Liman –Safe Harbor- Anlaşması’nın geçersiz kılınması sonucu bir çözüm mahiyetinde imzalanan Gizlilik Kalkanı –Privacy Shield- Anlaşması ile sağlanmaktaydı. Ancak bu noktada Schrems II [1] kararı olarak adlandırılan karar ile ABAD, AB-ABD Gizlilik Kalkanı anlaşmasının AB yasaları tarafından gereken veri korumasına ilişkin yeterli tedbiri almadığı gerekçesiyle anlaşmayı iptal etmiştir [2]. Schrems II kararından sonra doğmuş olan hukuki boşluğu gidermek için ABD ile AB arasında yeni bir anlaşma çalışması sürdürüldüğü bilinmekteydi. 25.03.2022 tarihinde ise bu anlaşmaya dair ilk defa yazılı bir duyuru yayımlandı [3]. Duyuru metninde,

• ABAD’ın 2020 yılında vermiş olduğu karar çerçevesinde ifade ettiği veri korumasına ilişkin yeterli tedbirin alınmadığı endişelerinin giderileceği ve Atlantik ötesi veri akışlarını teşvik edileceği yeni bir çalışma –Trans-Atlantic Data Privacy Framework- içinde olunduğu belirtilmiştir.
• Anlaşmanın her yıl sınır ötesi ticarette 1 trilyon doları aşan ve 7,1 trilyon dolarlık ABD-AB ekonomik ilişkisini mümkün kılan veri akışının devam etmesini ve her büyüklükteki işletmenin birbirlerinin pazarlarında rekabet etmesini sağlayacağı ifade edilmiştir.
• Bu anlaşma çerçevesinde, AB’den ABD’ye kişisel verilerin aktarımı için önemli bir yasal mekanizmanın yeniden tesis edildiği, ABD’nin tanımlanmış ulusal güvenlik hedeflerinin takibinde sinyal istihbarat faaliyetlerinin gerekli ve orantılı olmasını sağlamak için yeni önlemler uygulamayı taahhüt ettiği, AB vatandaşları için bu anlaşmanın kişisel verilerin korunmasına ilişkin yeni ve yüksek standartlarda taahhütler ihtiva ettiği ifade edilmiştir. Nitekim ABD aşağıdaki taahhütlerde bulunmuştur:
  • Elektronik istihbarat faaliyetlerini yönetirken mahremiyet ile temel hak ve özgürlüklerin korunmasına ilişkin tutumunu güçlendirecek,
  • Bağımsız ve bağlayıcı yetkiye sahip yeni bir tazminat mekanizması kuracak,
  • Elektronik istihbarat faaliyetlerine ilişkin mevcut titiz ve katmanlı gözetimini geliştirecek.

Örneğin, yeni anlaşma çerçevesinde,

• • Elektronik istihbaratı toplama, yalnızca meşru ulusal güvenlik hedeflerini ilerletmek için gerekli olduğunda gerçekleştirilebilmeli ve bireysel mahremiyet ile temel hak ve özgürlüklerin korunmasını orantısız şekilde etkilememelidir,
  • AB sınırları içerisinde bulunan ferdler için ABD Hükümeti dışından seçilen, talepleri karara bağlamak ve gerektiğinde doğrudan zararı giderici önlemleri almak için tam yetkiye sahip olacak kişilerden oluşan bağımsız bir Veri Koruma İnceleme Mahkemesini –Data Protection Review Court- içeren yeni çok katmanlı bir mekanizmadan tazminat talep edebilecek,
  • ABD istihbarat teşkilatları, yeni gizlilik ile temel hak ve özgürlüklere ilişkin standartların etkin gözetimini sağlamak için prosedürler benimseyecektir.
• Veri akışlarını yasal olarak korumak için katılımcı şirketler ve kuruluşlar, ABD Ticaret Bakanlığı aracılığıyla Gizlilik Kalkanı İlkelerine bağlılıklarını, kendi kendilerine onaylama gerekliliği –the requirement to self-certify their adherence- de dahil olmak üzere sürdürmek zorunda olmaya devam edecektir.
• AB vatandaşları, alternatif uyuşmazlık çözüm yolları ve bağlayıcı tahkim de dahil olmak üzere, katılımcı kuruluşlar hakkındaki şikayetleri çözmek için birden fazla başvuru yoluna erişmeye devam edebilecektir.

ABD taahhütleri, Avrupa Komisyonun gelecekteki veri transferinin gerçekleştirilmesine ilişkin yeterlilik kararı değerlendirmesinin temelini oluşturacak bir Başkanlık Emrine –Executive Order- konu edilecektir. Dolayısıyla yukarıda bahsedilen taahhütlerin ABD nezdinde de bağlayıcı hale geleceği ifade edilebilir.

Netice itibarıyla ABD ile AB arasında veri akışına ilişkin düzenleme eksikliğinin tekrar giderilecek olması ve AB’den ABD’ye kişisel verilerin aktarımı için önemli bir yasal mekanizmanın yeniden tesis edilmesi beklenmekte olan bir gelişmeydi. Bu anlaşma ile ABD-AB ekonomik ilişkisini mümkün kılan veri akışının devam etmesinin ve her iki ülke işletmelerinin birbirlerinin pazarlarında rekabet etmesinin tekrar mümkün hale geldiği belirtilmelidir.

[1] Schrems II kararı için bkz. –https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.html, Erişim Tarihi: 04.04.2022-.

[2] Karara konu olayda 2008 yılından beri Facebook kullanıcısı Avusturyalı Maximillan Schrems, kişisel verilerinin Facebook İrlanda tarafından Facebook’un ABD’deki diğer şirketlerine taşındığını belirterek İrlanda denetleme otoritesine bu aktarımın önlenmesi için başvuruda bulunmuş ancak başvurusu reddedilmiştir. Sonrasında ilgili İrlanda denetim otoritesi tarafından, ön karar yoluyla ABAD’a duruma ilişkin soruların yöneltilmesi amacıyla Yüksek Mahkemeye başvurulmuştur. ABAD, üçüncü ülkelere veri aktarımında AB içerisinde GDPR ile sağlanan güvenliğe eşit düzeyde bir güvenliğin sağlanabilmesi gerektiğini belirtmiştir. Bu değerlendirme yapılırken veri aktarıcısı ile alıcısı arasındaki sözleşmesel hükümler ve aktarılan ülkelerin kamu otoritelerince ilgili verilere olabilecek erişimin göz önüne alınması gerektiği ifade edilmiştir. ABAD, yeterli düzeyde korumanın sağlanabildiğine ilişkin geçerli bir Komisyon kararı olmaması şartıyla denetleme otoritelerinin standart veri koruma hükümlerine uyulmadığını tespit ettiğinde ilgili aktarımları ertelemesi ya da yasaklaması gerektiğini belirtmiştir. Gizlilik Kalkanı Anlaşması incelendiğinde ABD idari makamlarının, AB’den ABD’ye aktarılan kişisel verilere erişmesi ABD yasalarınca hukuka uygun olmasından dolayı GDPR’daki şartları gerçekleştirmediğinden taraflar arasındaki anlaşmanın geçersizliğine hükmedilmiştir. ABAD, anlaşmanın iptalinin ardından ABD ile yapılacak veri aktarımlarının standart sözleşme şartları ve her iki ülkenin GDPR standartlarında veri korumasını taahhüt etmesi yoluyla gerçekleşebileceğini belirtmiştir.

Bu karardan sonra ABD, 28 Eylül 2020 tarihi itibariyle bir rapor yayımlamış ve Schrems II kararında bahsedilen istihbarat verilerine ilişkin olarak ise Yabancı İstihbarat Gözetim Yasası 702. bölüm (FISA 702) dayanağı ile istihbarat verilerinin elde edilebildiği açıklamasını yapmıştır. Söz konusu bölümde ABD dışında bulunan yabancı kişilerin istihbarat dinlemesinin yapılmasına izin vermektedir. Ancak bu kapsamda verilere erişmenin halihazırda AB üye devletlerinin talepleri doğrultusunda olduğunu ve bu kapsamda asıl amacın uluslararası terör faaliyetlerini önlemek olduğunu belirtmiştir.” Detaylı bilgi için bkz. Pınar, Hamdi: Dijital Ekonomi Hukuku Kapsamında Yeni İş Modellerinin ve Teknolojilerin Ticaret ve Rekabet Hukuku Boyutu, Yetkin Yayıncılık, Ankara 2021, s.158-160.

[3] Duyuru detayları için bkz. –FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework | The White House, Erişim Tarihi: 05.04.2022-