1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • AB-ABD kişisel veri aktarımı, ABD’de bağımsız bir denetim kurumu bulunduğu varsayımıyla sürdürülüyordu; ancak ABD Yüksek Mahkemesi’nin Trump v. Slaughter kararı FTC’nin bağımsızlığı varsayımını sarstı
  • AB antlaşma hukuku, kişisel verilerin korunmasına ilişkin denetimin bağımsız kurumlar tarafından yürütülmesini şart koşuyor ve 2023 tarihli EU-US Data Privacy Framework de FTC’yi temel dayanak olarak alıyordu
  • Safe Harbour ve Privacy Shield zaten Schrems I·II kararlarıyla geçersiz kılındığı için, noyb 2023’teki yeni çerçevenin de aynı kırılganlığı tekrarladığını düşünüyor
  • Veri aktarımının tamamı hemen durmayacak; European Commission kararı geri çekene veya CJEU bunu geçersiz kılana kadar mevcut karar şeklen yürürlükte kalacak
  • SCCs ve BCRs kullanan şirketler de ABD’deki başvuru ve denetim kurumlarının bağımsızlığına dayanan etki değerlendirmelerini yeniden gözden geçirmek zorunda kalabilir; noyb ise AB-ABD veri anlaşmasının geri çekilmesini istiyor

FTC bağımsızlığının zayıflaması AB-ABD aktarım sistemini sarsıyor

  • ABD Yüksek Mahkemesi, Trump v. Slaughter davasında FTC’nin artık bağımsız sayılmayabileceği yönünde karar verdi
  • AB, 2000 yılından bu yana AB-ABD kişisel veri aktarımı anlaşmalarının uygulanma zemini olarak bağımsız FTC'ye dayanıyordu
  • AB antlaşma hukukuna göre kişisel verilerin korunmasına ilişkin denetim bağımsız kurumlar tarafından yürütülmeli
  • 2023 tarihli EU-US Data Privacy Framework kapsamında European Commission, FTC’ye 259 kez atıfta bulundu
  • noyb ve Max Schrems, ABD’de artık bağımsız bir denetim kurumu kalmadığı gerekçesiyle European Commission’ın ABD’ye ilişkin yeterlilik kararını düzenli bir şekilde geri çekmesini talep ediyor

Tekrarlanan geçersiz kılmalar ve 2023’teki yeni anlaşmanın zayıf noktası

  • AB, 1995’ten beri AB kişisel veri kurallarının etrafından dolaşılmasını önlemek için üçüncü ülkelere kişisel veri ihracatını genel olarak yasaklıyor
    • Otel rezervasyonu veya karmaşık işlemler gibi gerekli aktarımlar için istisnalar bulunuyor
    • Çok sayıda AB şirketi, kişisel veri işlemeyi ABD’li bulut sağlayıcılarına dış kaynak olarak devretti
  • European Commission, 2000’den bu yana ABD’yi kişisel veri koruması açısından defalarca “yeterli” ülke olarak tanıdı ve AB-ABD arasında serbest veri akışına izin verdi
    • CJEU, Schrems I kararında Safe Harbour’u geçersiz kıldı
    • CJEU, Schrems II kararında Privacy Shield’ı geçersiz kıldı
    • Temel gerekçeler ABD gözetim yasaları ve ABD içinde yargısal başvuru yollarının yetersizliğiydi
  • CJEU, kamu gözetimi meselelerinde de bağımsız bir hukuki başvuru mekanizması gerektiği görüşündeydi
    • Biden yönetimi Data Protection Review Court adlı yapıyı kurdu
    • Bu yapı, adına rağmen ABD Adalet Bakanlığı içindeki bir yürütme organı
    • Bağımsızlığı Biden’ın Executive Order kararına dayanıyor; Trump bunu istediği an değiştirebilir ve bu karar başkanı bağlamaz
  • Slaughter kararı, önceki içtihada 180 derecelik bir dönüş yaparak FTC bağımsızlığının anayasaya aykırı olduğu yönünde değerlendirilen bir örnek olarak ele alınıyor
    • Bu, ABD başkanının tüm Amerikan yürütme kurumlarını kontrol etmesi gerektiğini savunan unitary executive theory yaklaşımını izliyor
    • Yapı olarak, çeşitli kurumları bağımsız kılan ABD yasalarını anayasaya aykırı gören bir anlayışa dayanıyor

Mevcut etkinin sınırı ve şirketlerin yeniden değerlendirmesi gereken noktalar

  • Etki sınırsız değil
    • European Commission kararı, Commission geri çekene veya CJEU geçersiz kılana kadar şeklen yürürlükte kalır
    • Bu nedenle hemen doğan bir hukuki sonuç yok
    • GDPR yalnızca kişisel veri aktarımlarını düzenler; kişisel olmayan veriler serbestçe akabilir
    • Article 49 GDPR, gerekli üçüncü ülke aktarımlarına izin verir; ancak AB dışına sıkı şekilde gerekli olmayan yapısal offshoring uygulamalarına izin vermez
  • SCCs ve BCRs de etkilenebilir
    • Bazı şirketler, EU-US Framework yerine şeklen SCCs veya BCRs kullanıyor
    • Bu durumda da genellikle bir etki değerlendirmesi gerekiyor ve bu değerlendirme PCLOB veya Data Protection Review Court gibi ABD yürütme kurumlarının bağımsızlığına dayanıyor
    • Şekli bir Commission Decision’a dayanmayan controller’ların değerlendirmelerini derhal güncellemesi gerekebilir
  • noyb, European Commission’a AB-ABD veri anlaşmasını düzenli biçimde geri çekmesi için resmî bir mektup gönderdi
    • Birçok AB üye ülkesi zaten “digital sovereignty” yaklaşımına yöneldi ve ABD’li hizmet sağlayıcılardan ayrışacağını duyurdu
    • Bazı ABD’li hizmet sağlayıcılar da ayrı AB veri işleme yapılarını hayata geçirmeye çalışıyor
    • noyb, önümüzdeki haftalarda CJEU’nun mevcut anlaşmayı geçersiz kılabilmesi için dava açmayı planlıyor
    • Bu tür davalar nihai karara kadar genellikle 2-3 yıl sürüyor

1 yorum

 
GN⁺ 4 시간 전
Lobste.rs yorumları
  • Bu iyi bir şey. AB ve onun örneğini izleyecek dünyanın geri kalanı, kendi otoritesinin en üstte olduğunu dayatan ve artık diğer ülkeleri ya da hükümetleri eşit görmeyen böyle bir haydut devlete bu kadar bağımlı olmamalı

    • %100 katılıyorum ama ABD BigTech lobici ordularını gönderip hiçbir şeyin değişmemesini sağlayacak
    • İnternetin parçalanması hiçbir zaman iyi bir şey değildir; siyasi ilişkilerin baskı altında olduğunun işaretidir. Hangi tarafın daha az kötü olduğu önemli değil; sorun, tarafların işbirliği yapma iradesinin olmaması
  • Bu ABD Yüksek Mahkemesi kararı beni öfkelendiriyor ama bu özet biraz abartılı. Çünkü sözde “bağımsız” kurumlar zaten hiçbir zaman özellikle bağımsız değildi
    Sanırım yazar yaygın kullanılan bir ifadeye aldanıp en başından bu kurumların niteliğini yanlış anlamış olabilir. Slaughter sonrası ABD FTC’sine ilişkin pratikte öne sürülebilecek itirazlardan, Slaughter öncesinde de aynı şekilde geçerli olmayacak bir şey aklıma gelmiyor
    Fark yalnızca görünüşte mi? Ve sırf bu görünüşteki değişim AB’nin harekete geçmesi için yeterli mi? Öyleyse iyi, ama bu kararın ABD düzenleyici kurumlarının “bağımsızlığı”nın niteliğini esaslı biçimde değiştirdiğini düşünmüyorum. Çünkü en başta böyle bir bağımsızlık yoktu
    Benim öfkem, kurumların sahte bağımsızlığı üzerindeki etkisinden bağımsız; daha hukuken incelikli bir mesele ve bu yazının konusunun ya da genel olarak Lobsters’ın da biraz dışında kalıyor

    • noyb, FTC ile Data Protection Review Court’un bağımsız olduğunu iddia etmiyor. Aksine EU-US Data Privacy Framework’ü, daha önce başarıyla geçersiz kıldıkları anlaşmaların “büyük ölçüde kopyası” olarak adlandırıyor
      Yazının ana noktası, EU Commission’ın bu kurumların yeterince bağımsız olduğu kurgusunu kullanarak kişisel verilerin ABD’ye gönderilmesini meşrulaştırdığı
    • Yalnızca özgün metne bakınca pek belli olmuyor, ancak bu iddiayı ortaya atan kuruluşun daha önce iki kez Safe Harbor tarzı rejimi geçersiz kılma sürecine doğrudan dahil olduğu anlaşılıyor