TR-TR 
EN-US 4 Haziran 2021'de, Avrupa Komisyonu (“Komisyon”), AB'nin 2016/679 sayılı Genel Veri Koruma Yönetmeliği (“General Data Protection Regulation-GDPR”) ile uyumlu, biri kişisel verilerin AB'den üçüncü ülkelere aktarımı için ve diğeri kişisel verileri işleyenler ve veri sorumluları arasındaki sözleşmelerde kullanılabilecek belirli maddelere yönelik olmak üzere yeni standart sözleşme maddesi grubunu (“SCC”) kabul etmiştir. Bu bağlamda, getirilen yeni SCC'ler, 2001, 2004 ve 2010 tarihli mevcut SCC'leri yürürlükten kaldırıp değiştirmekle beraber şirketlerin eski sürümleri kullanırken karşılaştıkları bazı pratik sorunları çözmekte, ancak aynı zamanda kişisel verileri AB dışına aktaran işletmeler için yeni yükümlülükler getirmektedir.
Bununla birlikte, SCC’ler, kişisel verilerin göndericisinin ve alıcısının her ikisinin de imzaladığı standart sözleşme hüküm ve koşullar olarak değerlendirilmektedir. Bu kapsamda SCC’ler, Avrupa Ekonomik Alanı'ndan (“AEA”) ayrıldığında kişisel verilerin ve GDPR'ın korunmasına yardımcı olan sözleşme yükümlülüklerini içermektedir.
İlaveten, SCC maddelerini kabul eden kararlar 27 Haziran 2021 tarihinde yürürlüğe girecek ve mevcut SCC maddeleri 27 Eylül 2021'de yürürlükten kaldırılacaktır. Ek olarak belirtmek gerekir ki, Eylül 2021'in sonundan itibaren yapılan yeni transfer anlaşmaları için ise yeni SCC’lere uyulması gerektiği belirtilmiştir. Bu kapsamda, hâlihazırda yürürlükte olan SCC maddelerinin, Aralık 2022'nin sonuna kadar yeni SCC'ler ile değiştirilmesi gerektiği de ifade edilmiştir.
Veri işleyen şirketlerin Aralık 2022'ye kadar ne yapması gerekiyor?
Öncelikle, Komisyon tarafından SCC’lere ilişkin yapılan değişiklikleri içeren açıklama uyarınca, uygun olduğu durumlarda, SCC'lerin yeni formu artık şirketler tarafından kullanılabilir hale gelecektir. Fakat, her halükârda eski formdaki SCC'lerin Aralık 2022'ye kadar yeniden düzenlenmesi gerekmektedir. Bununla birlikte, yapılan değişiklik ile bahsi geçen Aralık 2022 tarihine kadar şirketlerin aşağıdaki adımları atması gerekebilecektir:
Hangi Avrupa kişisel veri akışlarının etkileneceğini (çalışanları, müşterileri, tedarikçileri ve bağlı kuruluşları içerenler dâhil) ve GDPR kapsamında SCC'lerin gerekli olup olmadığını belirlemek;
Yeni SCC'ler kapsamındaki katı yükümlülüklere uyulup uyulmayacağını ve nasıl uyulacağını belirlemek;
Bir "Aktarım Etki Değerlendirmesi" (“Transfer Impact Assessment-TIA”) aracılığıyla- (i) verilerin içe aktarıldığı ülkenin yasalarının (özellikle ABD yasalarının) SCC'ler ve GDPR ile tutarlı olup olmadığının ve (ii) veri korumasını artırmak için herhangi bir “tamamlayıcı önlem” gerekliliğinin değerlendirmesini yapmak;
Herhangi bir veri aktarımıyla bağlantılı olarak müşteriler ve tedarikçiler üzerinde uygun "aktarım özeni" göstermek;
Müşteriler, tedarikçiler ve bağlı kuruluşlarla ilgili sözleşmeleri belirlemek ve
Uygun olduğunda, müşteriler, tedarikçiler ve bağlı kuruluşlarla yeni SCC'leri kabul ve eşlik eden ticari anlaşmaları yeniden müzakere etmek.
Yeni SCC'lerin bazı temel özellikleri ve esasları
Son olarak, 4 Haziran 2021 tarihli değişiklik ile getirilen yeni SCC’ler, mevcut SCC’lerden farklı düzenlemeler içermektedir. Öncelikle, yeni SCC'ler, veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işeyene ve ayrıca mevcut SCC'lerde sağlanmayan veri işleyenden veri sorumlusuna ve veri işleyenden veri işleyen aktarımlarına izin veren modüller sağlamaktadır.
Bununla birlikte, yeni değişiklik, tarafların (veri sorumlusu ve veri işleyen) bir TIA aracılığıyla verilerin aktarıma tabi olduğu ülkenin yasalarının SCC'ler kapsamında sağlanan, özellikle devlet kurumlarının bu tür verilere erişim hakları ile ilgili olarak veri korumalarını tehlikeye atıp atmayacağını değerlendirmelerini gerektirici kurallar inşa etmektedir. İlaveten işbu kapsamda, veri aktarımını gerçekleştirenler, belirli durumlarda, (i) veri aktaranların bir veri erişim talebi aldığı yeri bildirmekle; (ii) bu tür taleplerin yasal geçerliliğini değerlendirmekle ve (iii) bu tür taleplere karşı yasal yollara devam etmekle yükümlü olacaktır.
Ek olarak, yeni SCC’ler kapsamında yeni belirli bazı modüller de bulunmakla; (i) veri işleme kayıtlarının tutulması; (ii) ilgili kişilerin veri aktarımlarının ayrıntıları hakkında bilgilendirilmesi; (iii) kişisel veri ihlalleri; (iv) tarafların SCC'ler kapsamındaki sorumluluklarını sözleşmeye dayalı olarak sınırlandırıp sınırlandıramayacakları/nasıl sınırlandırabilecekleri (eş ticari anlaşmalar dâhil olmak üzere); ve (v) hukuk seçimi ve uyuşmazlık çözümü ile ilgili hükümleri kapsamına almaktadır.
Yeni SCC'ler hem AEA'da yerleşik olmayan veri sorumlularının hem de süreçlerin SCC'leri kişisel verilerin ileriye dönük aktarımları için kullanmasına yardımcı olacağı belirtilmiştir. Bununla birlikte, yeni SCC'ler ayrıca taraflara (i) verilerin ileriye dönük transferine izin verilmesi (belirli durumlarda ilgili kişilerin rızasının alınması); ve (ii) bu tür ileriye dönük transferlerin (yalnızca ilk transferin değil) SCC'lerle tutarlı olmasını sağlamak için izin vereceğini de vurgulamaktadır.
Tüm bunlara ilaveten, Komisyon tarafından, yeni SCC'lerin veri konularının SCC'lerin hükümlerinin çoğunu doğrudan uygulayabilmesini sağlayacağı dile getirilmiştir. Söz konusu durumun, tarafların potansiyel gizlilik davalarına maruz kalmalarını artıracağı da belirtilmiştir. Yeni değişiklik ile ayrıca ilgili kişilerin ayrıca belirli redaksiyonlara tabi olarak SCC'lerin kopyalarını talep etmelerine izin verilmektedir. Bununla birlikte, SCC'lerin, GDPR'nin siber güvenliğe odaklanmasını güçlendireceği de tartışmaktadır. Belirli modüllerdeki yeni SCC'ler, bu modüllerdeki hükümlerin GDPR'nin 28. maddesine uyum için gerekli hükümler olarak nitelendirilmesini sağlamaktadır. Söz konusu durum, tarafların GDPR'nin 28. maddesi hükümlerini ayrı ayrı müzakere etmek zorunda kalmayacağı anlamına gelecek şekilde yorumlanmaktadır.
Son olarak, yeni SCC'lerin, yeni tarafların, SCC'lerin her seferinde yeniden yürütülmesini gerektirmek yerine, bir “yerleştirme” maddesi aracılığıyla yürütülen yeni SCC'lere daha kolay katılmasına izin vereceği de belirtilmiştir.
Ezgi Ceren Aydoğmuş, Esra Temur
