EN-US 
TR-TR 
Avrupa Veri Koruma Kurulu (“EDPB”), 7 Temmuz 2021 tarihindeki oturumunda veri aktarımlarını kolaylaştırmak için bir araç olarak kullanılacak davranış kurallarına ilişkin onayladığı yönergeleri 14 Temmuz 2021 tarihinde yayımlamıştır. Yönergeler, Avrupa Birliği (“AB”) Genel Veri Koruma Tüzüğü'nün (“GDPR”) 40(3) ve 46(2)(e) maddelerinin uygulanmasına ilişkin açıklamalar sağlar. Ek olarak, EDPB, sanal ses asistanları ile veri sorumluları ve veri işleyen kavramına ilişkin yönergelerinin son halini kabul etmiştir. Bununla birlikte EDPB, TikTok Görev Gücü’nü de durdurmuştur.
Davranış Kuralları Yönergeleri
EDPB, transferler için bir araç olarak Davranış Kuralları (CoC'ler) Yönergeleri’ni (“Yönergeler”) onaylamıştır. EDPB tarafından Yönergeler’in temel amacının, GDPR'ın 40 (3) ve 46 (2) (e) maddelerinin uygulanmasına açıklık getirmek olduğu açıklanırken, bu hükümlerin, yetkili bir denetleme makamı (“SA”) tarafından onaylandıktan ve Avrupa Ekonomik Alanı (“EEA”) içinde EDPB tarafından genel geçerlilik sağlandıktan sonra, bir CoC'ye uyulabileceğini ve AB dışındaki veri transferlerine uygun önlemler sağlamak için GDPR'a tabi olmayan veri sorumlusu ve veri işleyiciler tarafından veri aktarımlarına uygun güvenceler sağlamak için kullanılabileceğini belirtilmiştir. Ayrıca CoC Yönergeler’i, CoC'lerin benimsenmesi için genel çerçeveyi oluşturan 2019'da yayınlanan CoC'lere ilişkin önceki EDPB Yönergeler’ini desteklemekte ve tamamlamaktadır.
Yönergeler’e göre, CoC Yönergeleri ayrıca tüm AB denetim makamları (“SA”) ve EDPB için açık bir referans görevi görmeli ve AB Komisyonu'nun kodları tutarlı bir şekilde değerlendirmesine ve değerlendirme sürecine dahil olan prosedürleri düzene koymasına yardımcı olmalıdır. Bununla birlikte Yönergeler’de, aktarımlar için bir araç olarak kullanılması amaçlanan bir CoC'ler için onay almayı planlayan kod sahiplerinin süreçten haberdar olmalarını ve bu tür bir CoC'ler oluşturmak için gerekli resmi gereklilikleri ve uygun eşikleri anlamalarını sağlayarak daha fazla şeffaflık sağlaması gerektiği de belirtilmiştir.
Ek olarak, Yönergeler’de yapılan açıklamaya göre GDPR, veri sorumlularının ve veri işleyicilerinin, kişisel verilerin üçüncü ülkeler veya uluslararası kuruluşlar tarafından veya bu kuruluşlara aktarılması için uygun önlemleri almasını gerektirir. Bu kapsamda, GDPR’ın, diğerlerinin yanı sıra yeni bir aktarım mekanizması olarak CoC'leri tanıtarak üçüncü ülkelere aktarımları çerçevelemek için kuruluşlar tarafından kullanılabilecek uygun önlemleri çeşitlendirdiği belirtilmiştir.
Bununla birlikte CoC'lerin, veri sorumluları veya veri işleyiciler kategorilerini temsil eden dernekler veya diğer kuruluşlar tarafından hazırlanabileceği de Yönergeler’de belirtilmiştir. Ayrıca olası derneklerin kapsamlı olmayan bir listesinin, ticaret ve temsilci dernekleri, sektörel organizasyonlar, akademik organizasyonlar ve çıkar gruplarını içerebileceği de belirtilmiştir.
Son olarak, aktarımlara yönelik bir kodun kabul edilebilmesi için öncelikle EEA'daki yetkili bir SA tarafından onaylanması ve ardından AB Komisyonu tarafından bir uygulama eylemi yoluyla AB içinde genel geçerliliğe sahip olduğunun kabul edilmesi gerektiği açıklanmıştır.
Sanal Ses Asistanları Yönergeleri
EDPB, Sanal Ses Asistanlarına (“VVA”) ilişkin Yönergeler’in (“Yönergeler”) son halini yayımlamıştır. Yönergeler, ilgili paydaşlara VVA'lar için en alakalı uyum zorluklarından bazılarının nasıl ele alınacağı konusunda tavsiyeler sunmayı amaçlamaktadır.
Yönergeler’deki açıklamalara göre, VVA, günümüzde akıllı telefonlar, tabletler ve bağlı hoparlörler gibi çoğu dijital cihaza entegre edilmiş hizmetlerdir. Bu tür sesli yardımcılar, bunları yürütmek veya diğer dijital sistemlerle etkileşim kurmak için sesli komutları anlamayı mümkün kılar. Özel, profesyonel veya kamuya açık ortamlarda bulunmaları, onları özellikle müdahaleci hale getirebilir ve bu nedenle, kullanıcıların kişisel verilerini koruma açısından büyüyen bir zorluğu temsil ederler.
Yönergeler’in, özellikle, sanal ses asistanı servisi sağlayan hizmetler ve işlemcilerin veri sorumlularının hem GDPR hem de değiştirildiği şekliyle Gizlilik ve Elektronik İletişim Yönergesini (2002/58/EC) dikkate alması gerektiği belirtilmiştir. Bu nedenle, Yönergeler en ilgili uyum zorluklarını tanımlar ve ilgili paydaşlara öneriler sunar. Daha spesifik olarak, Yönergeler, sanal sesli yardımcıların birden fazla kullanıcısı, ekosistem karmaşıklıkları ve sesli ara birimin özellikleri nedeniyle GDPR şeffaflık gereksinimlerini karşılamada bu tür hizmetleri sağlayan veri denetleyicileri için artan karmaşıklığı vurgulamaktadır. Ayrıca Yönergeler, kullanıcıların mümkün olan en erken zamanda ve en geç işleme sırasında bilgilendirilmelerini tavsiye etmektedir. Buna ek olarak Yönergeler, kullanıcıların satın aldıkları cihazdan beklentilerine uygun olması gereken kişisel verilerin işlenme amaçları konusunda bilgilendirilmelerini ve bir veri sorumlusu çeşitli farklı amaçlar için izin istediğinde, kullanıcıların belirli amaçlar ayrıca onay vermesine izin vermesi gerektiğini tavsiye etmektedir.
Bunlara ek olarak, Yönergeler, sanal sesli yardım için mevcut ebeveyn denetimleri çerçevesinin kullanıcı dostu olmadığını ve veri sorumlusunun, ebeveynlerin veya velilerin, çocukların bu tür cihazlara erişimini denetlemek için araçlar geliştirmeye yatırım yapmaya teşvik ettiğini belirtmektedir. Veri saklama uygulamalarıyla ilgili olarak, Yönergeler, veri sorumlularının, veri depolama sınırlama ilkesini karşılamanın bir yolu olarak anonimleştirmeyi düşünmeden önce, böyle bir işlemin gerçekten bir sesi tanımlanamaz hale getirip getirmeyeceğini dikkate almalarını tavsiye etmektedir. Son olarak, Yönergeler, işlenen kişisel bilgilerin güvenliğini sağlamak ve ayrıca veri sahibi haklarının uygun şekilde kolaylaştırılabilmesini sağlamak için en gelişmiş kimlik doğrulama prosedürlerini önerir.
Veri Sorumlusu ve Veri İşleyici Kavramlarına İlişkin Yönergeler
Veri Sorumlusu ve Veri İşleyici Kavramlarına İlişkin Yönergeler (“Yönergeler”), özellikle veri sorumlusu, ortak veri sorumlusu ve veri işleyici kavramlarının, sorumlulukları tarafların fiili rollerine göre dağıtmaya çalıştıkları işlevsel kavramlar ve esas olarak AB veri koruma yasasına göre yorumlanması gereken özerk kavramlar oldukları için GDPR'nin uygulanmasında çok önemli bir rol oynadığını vurgulamaktadır.
Yönergeler, farklı roller atfetmenin sonuçlarını ve veri sorumlusu ve veri işleyici arasındaki ilişkiyi detaylandırmadan önce kavramların tanımlarını ana hatlarıyla belirtmektedir. Yönergeler, özellikle, bir veri sorumlusunun işlemenin belirli temel unsurlarına karar veren bir organ olduğunu, veri sorumlusu için ayrı bir varlık olması gereken bir veri işleyicinin ise veri sorumlusu adına kişisel verileri işlediğini açıklığa kavuşturur. Ayrıca, Yönergeler, işleme sürecine birden fazla aktörün dahil olduğu durumlarda, bunun ortak bir karar alabilecek ortak veri sorumlularının varlığına yol açabileceğini belirtmektedir.
Ek olarak, Yönergeler, veri sorumlusu ve veri işleyicisi arasındaki ilişkiyle ilgili olarak, bir veri sorumlusunun yalnızca işlemenin GDPR gereksinimlerini karşılaması için uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantiler sağlayan işleyicileri kullanması gerektiğini vurgular. Ortak veri sorumluları arasındaki ilişki ile ilgili olarak, Yönergeler, ortak veri sorumlularının şeffaf bir şekilde, veri sahiplerinin haklarının kullanılması, bilgi sağlama görevi, güvenlik önlemleri, veri ihlali bildirimi yükümlülükleri ve üçüncü ülke transferleri dahil olmak üzere ilgili sorumluluklarını belirleyecek ve kabul edeceklerini belirtmektedir. Yönergeler, özellikle, düzenlemenin yasal biçiminin, veri sorumlularının tabi olduğu AB veya Üye Devlet hukuku kapsamındaki bir sözleşme veya diğer yasal bağlayıcı kanun gibi bağlayıcı bir belge şeklini almasını tavsiye etmektedir.
TikTok Görev Gücü
TikTok'un AB'de kurulması ve TikTok uygulamasıyla ilgili devam eden davalar için İrlanda'daki ana kuruluşunun belirlenmesinin ardından EDPB, TikTok Görev Gücü'nü dağıtma kararı almıştır. Bu Görev Gücü’nün, EEA SA'larının olası eylemlerini koordine etmek ve TikTok'un AB genelinde işlemesi ve uygulamaları hakkında daha kapsamlı bir genel bakış elde etmek için oluşturulduğu açıklanmıştır. Ayrıca bu Görev Gücü oluşturulduğunda, AB'de TikTok için bir ana kuruluş olmadığı ve Görev Gücü’nün SA'lar arasında bilgi alışverişini kolaylaştırmayı amaçladığı belirtilmiştir. Bununla birlikte EDPB, artık tek durak noktası prosedürünün uygulandığını ve İrlanda SA’sının (“DPC”) dosyalardan sorumlu baş otorite olarak belirlendiği açıklamıştır.
Sonuç olarak EDPB, Görev Gücü'ne dahil olan SA'ların, işbirliği mekanizması kapsamında belirlenen araçları kullanacağını ve aynı zamanda GDPR'nin 64(2) maddesini ve ana veya tek kuruluşla ilgili koşullarda bir değişiklik olması durumunda bir SA’nın yetkinliğine ilişkin 8/2019 tarihli EDPB görüşünü de dikkate alacaklarını açıklamakla birlikte, birkaç SA’nın, araştırmalarını DPC'ye aktardığını belirtmiştir.Buna ek olarak SA'ların, EDPB içinde ve özellikle Uygulama Uzmanı Alt Grubu içinde konuyla ilgili tartışmalar yapma fırsatına sahip olacakları belirtilmiştir.
Son olarak, EDPB'nin yalnızca GDPR'nin 63. maddesindeki tutarlılık mekanizmasının tetiklenmesi durumunda harekete geçebileceği vurgulanmıştır. Ayrıca, GDPR'nin 66(1) maddesi uyarınca geçici önlemler yayınladıktan ve TikTok'un işleme faaliyetlerine ilişkin üstlendiği taahhütler de dahil olmak üzere, başvuruları hakkında TikTok'tan güvenceler aldıktan sonra, İtalyan SA’nın, artık EDPB'den acil bir karar gerektirmediğine karar verdiği açıklanmıştır.
Şafak Herdem, Esra Temur
