1. Giriş
4 Haziran 2021 tarihinde Avrupa Komisyonu (“Komisyon”) tarafından Veri Sorumlusu – Veri İşleyen arasındaki veri transferi ve yurt dışına veri transferine ilişkin standart sözleşme maddeleri kabul edildi. Bu maddelerin Komisyon tarafından kabul edilmesinin başlıca sebebi; Schrems II olarak anılan, Avrupa Birliği ("AB") dışına veri aktarımına imkan veren 2010/87 sayılı karar kapsamında Standart Sözleşme Maddeleri ("SCC")'nin geçerliliğinin davaya konu olmasıydı.
Komisyon yeni yayınladığı SSC ile Avrupa Veri Koruma Tüzüğü ("GDPR") kapsamında;
(I) AB/Avrupa Ekomomik Alanı ("AEA") içerisinde aktarım:
Veri Sorumlusu-Veri İşleyen arasında
Veri Sorumlusu-Veri Sorumlusu arasında
(II) AB/Avrupa Ekomomik Alanı ("AEA") içerisinden 3. Ülkelere Aktarım:
Veri Sorumlusu /Veri İşleyen'in AB/AEA içinde
Veri Sorumlusu/Veri İşleyenlerin AB/AEA dışında olduğu aktarımlar düzenlenmiştir.
2. Getirdiği Yenilikler
i. GDPR doğrultusunda güncelleme;
ii. Ayrı gruplanmış maddeler yerine çok çeşitli veri transferi senaryolarını kapsayan tek başlangıç noktası yaratma,
iii. Modüler bir yaklaşımla ve ikiden fazla tarafın maddeleri birleştirme ve kullanmasına imkan sağlayarak çok taraflı işleme faaliyetleri için daha fazla esneklik içermesi,
iv. Şirketlerin Schrems II kararına uymak için atması gereken farklı adımlara ve gerektiğinde şirketlerin alabileceği şifreleme gibi olası 'tamamlayıcı önlemlere' örnekler getirerek genel bir bakış içermesi
3. AB/AEA içerisinde gerçekleşen Aktarım kapsamında Standart Sözleşme Maddelerine ilişkin Değerlendirmei.
i. Veri Sorumlusu sadece ve özellikle yeterli garantileri sağlayan Veri İşleyenler kullanmalıdır.
ii. Veri İşleyen tarafından akdedilen SCC yazılı olarak elektronik form dahil olmak üzere hazır tutulmalıdır.
iii. Veri Sorumlusu ile Veri İşleyen zorunlu unsurları içeren ayrı bir sözleşme şeklinde bu veri işleme faaliyetini gerçekleştirebilecekleri gibi Komisyon tarafından kabul edilen SCC' nin tamamını veya bir kısmını akdetmeleri de mümkündür.
iv. İlgili Kişinin herhangi bir talebini Veri İşleyen, Veri Sorumlusuna derhal bildirecektir.
v. Veri İşleyen Veri Sorumlusunca yetkilendirilmemiş ise bu talebe cevap veremez. Veri Sorumlusunun ilgili kişiye karşı yükümlülükleri ve ilgili kişinin haklarının tatbik edilebilmesi için Veri İşleyen, Veri Sorumlusuna yardım edecektir ve Veri Sorumlusunun talimatlarına (yazılı) riayet edip çeşitli yükümlülükleri bakımından yardım edecektir. Bu yükümlülükler; veri işleme faaliyetleri kapsamında öngörülen etkinin değerlendirilmesi, yetkili denetçiye danışma, kişisel verilen güncelliği ve doğruluğunun sağlanmasıdır.
vi. SCC ayrıca veri işleme faaliyetinin konusunu ve süresini belirlemek için Veri Sorumlusu ve Veri İşleyenin niteliği, amacı, kişisel verilerin türü, ilgili kişi kategorileri ve Veri Sorumlusunun yükümlülükleri ve haklarını içermelidir. Veri işleme faaliyeti Veri İşleyen tarafından belirli süre ve amaç doğrultusunda gerçekleştirilecektir. vi. Veri İşleyen herhangi bir şekilde bir veri ihlali gerçekleştiğinde derhal Veri Sorumlusuna haber verecektir.
vii. Veri Sorumlusu veri işleme faaliyeti kapsamında gerçekleşen ihlalde; gecikmeksizin düzenleyici otoriteye ve ilgili kişiye bildirecektir. Veri Sorumlusunun bildiriminde kişisel verinin niteliği, kategorisi, ihlalden etkilenen ilgili kişiler kategorilerinin yaklaşık sayısı, yaklaşık etkilenen veri kaydının sayısı, veri ihlalinin olası sonuçları, veri sorumlusu tarafından alınan veya alınması teklif edilen önlemler ve ilgili kişinin hakları ile özgürlüklerinin yüksek risk altında olduğu durumlarda gecikmeksizin ilgili kişi ile iletişime geçmek yer alacaktır.
viii. Veri İşleyen veri işleme faaliyeti kapsamında gerçekleşen ihlali derhal Veri Sorumlusuna bildirecektir. Bu bildirimin içeriğinde ihlalin niteliği, etkilenen veri kategorileri, yaklaşık ilgili kişi ve veri kayıt sayısı ile veri ihlaline ilişkin daha detaylı bilginin bulunduğu bir irtibat kişisinin ayrıntıları ve muhtemel sonuçlar ile alınmış olan önlemler veya alınması teklif edilmiş olan önlemler de belirtilmelidir.
ix. Özel faaliyetlerin yürütülmesine ilişkin ek olarak başkaca Veri İşleyen görev alacak ise bu Veri İşleyende aynı şekilde regülasyonlara tabi olup; önceden hazırlanmış Veri Sorumlusunun yazılı özel veya genel izninin varlığı gereklidir. Her koşulda; ilk Veri İşleyen sonraki Veri İşleyenlerin güncel bir listesini tutacaktır. Özel izin kapsamında; Veri İşleyen, Alt Veri İşleyenin sürece katılmadan önce Veri Sorumlusuna bu izni verebilmesi için gerekli tüm bilgiyi sağlamalıdır. Genel izin kapsamında; Veri İşleyen Veri Sorumlusundan Alt Veri İşleyen listesi kapsamında bir izin alır. Veri İşleyen bu listede gerçekleştireceği değişikliklerde Veri Sorumlusunu yazılı olarak belirli bir süre öncesinden bilgilendirir böylece Veri Sorumlusuna Alt Veri İşleyenlere ilişkin değişikliklerde itiraz için yeterli süre tanınmış olur. Veri İşleyen bu itirazın gerçekleştirilebilmesi için Veri Sorumlusunun ihtiyacı olabilecek tüm bilgileri sağlar.
x. Alt Veri İşleyen süreç boyunca Veri İşleyenin tabi olduğu yükümlülüklere tabi olur ve Veri İşleyen Alt Veri İşleyenin bu yükümlülüklere uyumunu sağlar. Alt Veri İşleyenlerce gerçekleştirilecek bir uluslararası veri transferinde veri işleyende Alt Veri İşleyen de uluslararası veri aktarımına ilişkin düzenlemelere uyar. Veri Sorumlusunun talebi halinde Veri İşleyen Alt Veri İşleyen ile akdettiği sözleşmenin bir nüshasını ve eklerini Veri Sorumlusuna iletir. Veri İşleyen Veri Sorumlusuna karşı Alt Veri İşleyenin hükümlere aykırı davranışından tamamen sorumludur.
xi. Veri İşleyen Alt Veri İşleyen ile lehtar maddesi kabul ederek; Veri İşleyenin fiilen ortadan kalkması, kanunen varlığının sona ermesi, iflas etmesi vs. hallerinde Veri Sorumlusu Alt Veri İşleyenin sözleşmesini feshetme ve kişisel bilgileri silme veya iade etme talimatı verme hakkına sahip olacaktır.
xii. Sözleşmenin tarafı olmayan üçüncü kişi veri işleme faaliyetinin doğası gereği SCC kapsamında sözleşmeye taraf olmasına engel bir durum bulunmamaktadır.
xiii. Herhangi bir 3. ülkeye veya uluslararası organizasyona veri aktarımı sadece Veri Sorumlusu tarafından verilen yazılı talimat esas alınarak ya da GDPR veya AB üye devletlerinin ulusal mevzuatı kapsamında Veri İşleyenin uyması gereken regülasyonlar kapsamında gerçekleştirilebilir.
xiv. SCC kapsamında veri işleme faaliyeti periyodik olarak değerlendirmeye tabi tutulmalıdır.
xv. Veri İşleyen asgari olarak belirli teknik ve idari önlemleri almalıdır. Bu kapsamda; uygun güvenlik seviyesinin temininde taraflar son teknolojiyi, uygulama maliyetlerini, işlemenin doğasını, kapsamını, bağlamını, amaçlarını ve ilgili kişiler için içerdiği riskleri göz önünde bulunduracaklardır.
xvi. Veri İşleyen çalışanlarına kişisel verilere erişim yetkisini sınırlı olarak sadece sözleşmenin uygulanması, yönetimi ve izlenmesi kapsamında verecek olup gizlilik düzenlemeleri ile destekleyecektir.
xvii. Eğer veri işleme faaliyeti kapsamında özel nitelikli veri işlenecekse Veri İşleyen belirli kısıtlamaları ve/veya ek güvenlik önlemleri alacaktır.
xviii. Denetim kapsamında; Veri Sorumlusunun talebiyle Veri İşleyen de denetime katkıda bulunabilir. Veri Sorumlusu denetimi kendi gerçekleştirebileceği gibi bağımsız bir denetçi tarafından da gerçekleştirilmesini sağlayabilir. Veri İşleyene yapılan makul bildirim ile denetimler yerinde inceleme veya Veri İşleyenin tesislerinde fiziken gerçekleştirilebilir. Düzenleyici otoritelerin talebi halinde taraflar bu denetimlere ilişkin bilgileri ileteceklerdir.
xix. SCC kapsamında Veri İşleyenin yükümlülüklerine aykırı davrandığı durumda; Veri Sorumlusu Veri İşleyenin yükümlüklerini yerine getirene kadar işleme faaliyetini durdurabilir. Veri İşleyen bu yükümlülüklere uyamadığı durumda derhal Veri Sorumlusunu bilgilendirmelidir.
xx. Veri Sorumlusu sözleşmeyi şu hallerde sonlandırabilir:
- Veri İşleyen her ihtimalde sürecin durdurulmasını takiben 1 ay içinde yükümlülüklerini yerine getirmezse,
- Veri İşleyenin önemli ve sürekli sözleşme ihlallerinde,
- Veri İşleyence Mahkeme veya düzenleyici otorite kararlarına riayet edilmediği
Sözleşmenin sonlanmasını takiben Veri Sorumlusunun tercihine göre Veri İşleyen ya tüm kişisel verileri siler ve Veri Sorumlusuna bu işlemin gerçekleştiğini belgeler veya var olan tüm kişisel verileri Veri Sorumlusuna iade ederek tüm nüshalarını silebilir.
4. AB/AEA dışındaki Ülkelere gerçekleşen Aktarım kapsamında Standart Sözleşme Maddelerine ilişkin Değerlendirme
i. Veri Aktaranın Veri İşleyen veya Veri Sorumlusu olması farketmeksizin yükümlülükleri mevcuttur. Bu yükümlülükler; Veri Sorumlusunun ilgili kişiye verisinin üçüncü bir ülkeye aktarılırken uygun önlemleri alacağını belirtmesidir.
ii. Aktarım Veri Sorumlusu-Veri İşleyen ve/veya Veri İşleyen-Veri İşleyen olacak şekilde gerçekleşir.
iii. SCC'nin tarafı olmayan üçüncü bir kişi Veri Alıcısı veya Veri Aktaran olarak sözleşmeyi imzalayıp ilişkiye herhangi bir zamanda dahil olabilir.
iv. Veri Aktaran SCC kapsamında; Veri Alıcısına aktarımın gerçekleştiği sırada yeterli teknik ve idari tedbirlerin alındığını taahhüt eder.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.