Safe Harbor Anlaşması (Güvenli Liman) geçersiz ilan edildi

Avusturyalı bir Facebook kullanıcısı ve hukuk öğrencisi olan Max Schrems, Snowden’ın gizli dinleme faaliyetlerini ifşa etmesinin ardından, Facebook’un Avrupa Birliği (AB) vatandaşı olan kullanıcıların kişisel verilerini toplamasına karşı şikâyette bulunmuştu. Şikâyet, Facebook’un AB vatandaşlarının kişisel verilerini İrlanda üzerinden Amerika Birleşik Devletleri’nde (ABD) bulunan sunuculara aktardığı için İrlanda Veri Koruma Otoritesi’ne (VKO) yapılmıştı. Ancak İrlanda VKO bu şikâyeti Safe Harbor (Güvenli Liman) Anlaşması uyarınca Avrupa Komisyonu’nun ABD’yi, aktarılan verileri yeterli seviyede koruyor saydığını gerekçe göstererek reddetmişti. Schrems konuyu İrlanda Yüksek Mahkemesi’ne taşıyınca, İrlanda Yüksek Mahkemesi, Avrupa Birliği Adalet Divanı’na (ABAD), Avrupa Komisyonu’nun AB üyesi olmayan bir ülkenin kişisel verilerin işlenmesinde gereken güvenlik önlemlerinin alındığına dair güvence vermesi durumunda yerel VKO’nun denetim hakkının ortadan kalkmasına ilişkin gerekçesinin geçerliliğini sordu. ABAD bu gerekçeyi açık bir dille reddetti ve ulusal bir VKO’nun AB vatandaşlarının kişisel bilgilerinin AB üyesi olmayan bir ülkeye aktarılmasının Avrupa Birliği Veri Koruma Direktifi’ne uygun bir şekilde gerçekleştiğini tamamen bağımsız bir şekilde denetleme hakkının bulunması gerektiğini ifade etti. ABAD buna göre kendisinin bir Avrupa Komisyonu Kararı’nı geçersiz ilan edebileceğini onaylayarak, aşağıdaki sebeplerle Safe Harbor (Güvenli Liman) anlaşmasını geçersiz kıldığını ifade etti:

·         ABD’nin ulusal güvenlik, kamu yararı ve kolluk kuvvetlerinin gereksinimleri Safe Harbor düzenlemesinden üstün olduğundan, ABD teşebbüsleri, düzenlemede yer alan koruyucu kuralları bu gereksinimlerle çeliştiğinde sınırsız şekilde olmak üzere, dikkate almamalıdır.

·         ABD yetkilileri AB’den, ABD’ye aktarılan kişisel verilere erişim sağlayabilmiş ve verileri ulusal güvenliğin korunması için kesinlikle gerekli olanın ötesinde aktarma amacıyla bağdaşmayan biçimde işlemiştir.

·         AB vatandaşlarının kendilerine ait olan kişisel verilere özellikle erişim sağlanması ve duruma göre, değiştirilmesi veya silinmesinin tazminine imkân veren idari veya hukuki araçları olmamıştır.

ABAD Safe Harbor uygulamasını sadece geçersiz kıldı. Herhangi bir mühlet veya geçiş süresi belirtmedi.

Sonuç: Kişisel veri transferi stratejisinin yeniden gözden geçirilmesi

Mahkeme kararının direkt sonucu şunu belirtmektedir; İrlanda VKO’su Max Schrems’in yapmış olduğu suçlamayı gereken özenle incelemek zorunda kalacaktır ve araştırmalarının neticesinde Facebook’un AB kullanıcılarının verilerinin ABD’ye aktarılmasının ülkenin yeterli düzeyde kişisel veri koruması sağlamadığı gerekçesi ile durdurulup durdurulmayacağına karar verecektir

Bu kararın getirmiş olduğu daha büyük bir sonuç ise AB ve ABD arasındaki kişisel veri transferi için en önemli ve en çok kullanılan hukuki anlaşmanın geçersiz ilan edilmesidir. Bu karar 4,400 ABD temelli şirketlerin veri aktarım stratejilerini kısa dönemde yeniden gözden geçirmesine sebep oldu.

Avrupa Birliği Komisyonu, gün içerisinde yapmış olduğu basın açıklaması ile AB Model Sözleşmeleri, bağlayıcı şirket kuralları (grup içi transferler için BCRler) gibi farklı veri transferi metotlarının hala geçerli durumda olduğunu onaylamıştır. Ayrıca, Veri Koruma Direktifi’nin uluslararası veri transferine ilişkin bir sözleşmenin ifa edilmesi için (örneğin bir AB vatandaşının ABD’de otel rezervasyonu yapması), önemli kamu yararı gerekçesi ile (dolandırıcılıkla mücadele v.b), veri süjesinin hayati bir çıkarını korumak için (acil durumlar [alternatif olarak yaşam veya ölüm halleri örneğin (acil tıbbi veri transferleri vb.) veya veri süjesinin hür ve bilinçli rızasına dayalı yapılmış olması gibi, belirli istisnalar içerdiğini onaylamıştır.

Sonraki Adımlar

AB Komisyon’u yerel VKO’lara ve AB’de faaliyet gösteren şirketlere kararın AB’de tek tip uygulanmasını sağlamak, şirketler için yasal belirlilik sağlamak ve “AB ekonomisinin belkemiği” olarak adlandırdığı kişisel verilerin transatlantik geçişini sağlamak için kılavuzlar yayınlayacaktır. Bu amaçla Komisyon, Avrupa’daki 28 VKO’yu bir araya getiren AB’nin danışma organı Madde 29 Çalışma Grubu ile koordineli bir şekilde çalışacaktır. Ayrıca Komisyon kuruluşların sorularına ilişkin irtibat noktası olarak hareket edecektir.

Bu sırada Avrupa Komisyonu, ABD ile Ekim 2013 tarihinde başlamış olan yeni bir Safe Harbor Anlaşması (Güvenli Liman) hakkındaki görüşmelerine devam edecektir. Komisyon Üyesi Vĕra Jourová yaptığı açıklamada ABAD kararının 2013 tarihinde Komisyon tarafından öne sürülen endişeleri onayladığını ve bu durumun yapılacak görüşmelerde masaya geleceğini ifade etti. Görüşmelerin bitiş tarihi hakkında yorum yapmaktan kaçınan Jourova, kişisel tecrübelerinden veri koruması gibi ulusal güvenliği ilgilendiren konulara ilişkin görüşmelerin beklenenden daha uzun sürebileceğini belirtti.

Ek bir not olarak Komisyon Üyeleri, şu anda üzerinde çalışılan ve AB içerisindeki veri koruma gereksinimlerini regülasyon statüsüne taşıyacak olan “Genel Veri Koruma Yönetmeliği” için tamamlanma tarihinin hala 2015 sonu olduğunu ifade ettiler.

ABAD’ın Safe Harbor Anlaşması (Güvenli Liman) kararının etkileri, ülkelerden gelen tepkileri, güncellenmiş ‘daha güvenli’ Safe Harbor Anlaşması (Güvenli Liman) için AB ve ABD arasında süre gelen görüşmeleri ve Genel Veri Koruma Yönetmeliği’ne ilişkin görüşmeleri takip edeceğiz.