Daha fazla bilgi için,
lütfen iletişime geçin :
Hukuk Bültenleri
09/06/2022

Avrupa Komisyonu Veri Aktarımları için Yeni Standart Sözleşme Maddelerini Yayımladı

Hukuk Bültenleri
Bilgi Teknolojileri ve Telekomünikasyon
Genel

             Artık bültenlerimizi sesli olarak da dinleyebilirsiniz!

 

Yeni Gelişme

Avrupa Komisyonu 4 Haziran 2021’de veri aktarımlarına ilişkin yeni Standart Sözleşme Maddelerini (“SCC“) yayımladı. İki set halinde olan SCC’lerin ilk seti Avrupa Birliği dışındaki üçüncü ülkelere yapılan veri aktarımlarını düzenleyen eski SCC’lerin yerini alırken ikinci set veri sorumluları ile veri işleyenler arasındaki veri aktarımlarını düzenliyor.

Arka Plan

GDPR uyarınca üçüncü ülkelere yapılacak veri aktarımları, aktarım yapılacak ülkede yeterli koruma bulunduğuna ilişkin yeterlilik kararına dayanarak, yeterlilik kararı bulunmadığı durumlarda ise Bağlayıcı Şirket Kuralları ya da Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri gibi alternatif hukuki sebeplere dayanılarak gerçekleştirilmektedir. Avrupa Komisyonu, GDPR ve veri aktarımlarına ilişkin yeni hukuki gelişmelere (AB-ABD Gizlilik Kalkanı’nın geçersiz kılınması gibi) tam uyum sağlamak amacıyla, eski SCC’lerin yerini almak üzere güncel SCC’leri yayımlamıştır.

Yeni SCC’ler 27 Haziran 2021 itibari ile yürürlüğe girmiştir. Yeni gerçekleştirilecek veri aktarımları için eski SCC’ler 27 Eylül 2021 tarihine kadar kullanılabilecektir. Hali hazırda eski SCC’lere dayanarak gerçekleştirilen veri aktarımları ise 27 Aralık 2022 tarihine kadar devam ettirilebilecektir. Bu tarihten itibaren eski SCC’lere dayalı gerçekleştirilen tüm aktarımların yeni SCC’ler ile uyumlu hale getirilmesi gerekmektedir.

Ne Değişti?

Eski SCC metinlerindeki öne çıkan değişiklikler aşağıdaki şekilde sıralanabilecektir:

  • İlgili Kişilerin Korunması

Yeni SCC’ler ile ilgili kişilerin, hak sahibi sıfatıyla (third-party beneficiary) SCC’nin belirli hükümleri tahtındaki sözleşmesel hakları SCC taraflarına karşı ileri sürebilmesi mümkün hale gelmiştir.

  • Modüller

Yeni SCC’ler ile veri akışına ve tarafların hukuki statülerine bağlı olarak aşağıdaki modüller hazırlanmıştır.

Veri Sorumlusu’ndan Veri Sorumlusu’na aktarım     (Modül 1)
Veri Sorumlusu’ndan Veri İşleyen’e aktarım             (Modül 2)
Veri İşleyen’den Veri İşleyen’e aktarım                    (Modül 3)
Veri İşleyen’den Veri Sorumlusu’na aktarım             (Modül 4)

Yeni SCC’ler, eski SCC’lerden farklı olarak veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna yapılan veri aktarımlarını da düzenlemektedir.

  • Aktarım Yapılan Ülkenin Mevzuatına İlişkin Taahhütler ve Kamu Kurumlarının Erişim Talepleri

Yeni SCC’ler uyarınca tarafların alıcı ülkedeki hukuki düzenlemelerin SCC’den doğan yükümlülüklerin yerine getirilmesine engel olmadığını taahhüt etmesi gerekmektedir. Bu bağlamda, veri alıcıları veri aktarımı süresince gerekli işbirliği ve şeffaflığı sağlamalıdır. Yeni SCC’ler ayrıca veri alıcısına kamu kurumlarının erişim taleplerine ilişkin ek yükümlülükler getirmektedir. İlgili erişim talebini veri aktarana bildirilmesi, taleplere uygulanabildiği ölçüde itiraz edilmesi ve sunulan verilerin olabildiğince az olmasını sağlanması bu yükümlülüklere örnek olarak verilebilecektir.

  • Teknik ve İdari Tedbirler

Veri aktarımının yapıldığı ülkelerin uygun veri güvenliğini sağladığını temin etmek amacıyla, SCC’lerde teknik ve idari tedbirlere ilişkin özel bilgilendirmelere yer verilmelidir. Veri güvenliği yükümlülükleri kapsamında, tedbirlerin yeterliliğine ilişkin düzenli denetimlerin yapılacağına dair düzenlemelerin SCC’lere dahil edilmesi gerekmektedir.

  • Çok Taraflı Sözleşmeler ve “Docking” Maddesi

Yeni SCC’ler kapsamında birden fazla veri aktaranın sözleşmeye taraf olması ve zaman içerisinde imza tarafları dışında yeni tarafların SCC’lere eklenmesi mümkün hale gelmiştir.

Sonuç

SCC’ler, GDPR’da düzenlenen yükümlülükler ile veri koruma alanındaki hukuki gelişmeleri kapsayacak şekilde güncellenmiştir. GDPR’ın ülkedışı etkisi (extraterritorial effect) kapsamında, SCC’lerde yapılan değişiklikler, AB’deki ilgili kişilere mal veya hizmet sağlayan ya da çevrimiçi davranışlarını izleyen Türkiye’de kurulu GDPR’a tabii veri sorumlusu şirketleri de etkilemektedir. Değişiklikler kapsamında, veri işleyen şirketler 27 Eylül 2021 tarihine kadar eski SCC’leri esas alarak yeni veri aktarım sözleşmeleri imzalayabilecektir. Ancak tüm veri aktarımlarının 27 Aralık 2022 tarihine kadar yeni SCC’lere uyumlu hale getirilmesi gerekmektedir.