AB-ABD Gizlilik Kalkanı Sonu: Avrupa Adalet Divanından Schrems II Kararı ve Gelecek Stratejileri

GİRİŞ

16 Temmuz 2020 tarihinde, Avrupa Birliği Adalet Divanı'nın ("Mahkeme"), uluslararası veri aktarımlarının standart veri koruma maddelerine dayanılarak yapılması ve Avrupa Birliği (“AB”) ile Amerika Birleşik Devletleri (“ABD”) arasındaki gizlilik kalkanının (‘EU-US privacy shield’) geçerliliğine ilişkin uzun zamandır beklenen dönüm noktası kararı (“Schrems II Kararı”) yayımlanmıştır. İşbu kararda Mahkeme özetle, AB ile ABD arasındaki gizlilik kalkanı ilkesini geçersiz saymış ve mezkûr ilkenin AB ile ABD arasında veri aktarımının bir aracı olarak kullanılamayacağını belirtmiştir. Diğer taraftan, Mahkeme standart veri koruma maddelerini (‘standard contractual clauses’) onaylamıştır ve standart veri koruma maddelerinin uluslararası veri aktarımlarında yeterli düzeyde koruma sağlamak için kullanılabileceğini belirtmiştir. Ancak, Mahkeme standart veri koruma maddelerinin uygulanmasının düzenleyici ve denetleyici otoriteleri tarafından sıkı değerlendirmeler altında olacağını da eklemiştir. Bu çalışma ile özetle, Mahkeme’nin Schrems II Kararı’na kadar olan sürecin özetlenmesi, Schrems II Kararı’ndaki tartışmalı hususlara ışık tutulması ve akabinde kararın etkileri üzerine genel bir değerlendirme yapılması hedeflenmektedir.

1.1 Genel Veri Koruma Yönetmeliği (“General Data Protection Regulation-GDPR”) Tahtında Uluslararası Veri Aktarımı

GDPR Madde 45(1) uyarınca, Avrupa Komisyonu’nun (“Komisyon”) bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir veya daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hallerde, bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir[1]. Bu doğrultuda, Komisyon tarafından bu tür bir korumanın üçüncü bir ülke veya uluslararası kuruluş tarafından sağlanmasına karar vermesi durumunda, Komisyon’un yeterlilik kararına bağlı olarak veri aktarımı gerçekleşebilecektir ve böylesi bir aktarım için özel bir onay gerekmeyecektir.

Komisyon üçüncü bir ülkenin yeterli düzeyde koruma sağlayıp sağlamadığını belirlerken, veri aktarımının gerçekleştirileceği üçüncü ülke ile ilgili belli başlı bazı hususları dikkate almaktadır. Komisyon tarafından özellikle göz önünde bulundurulması gereken hususlar GDPR Madde 46 tahtında düzenlenmiştir[2]:

a. hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği, savunma, milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dahil olmak üzere hem genel hem de sektörel mevzuatın yanı sıra söz konusu mevzuatın uygulanması, bir ülke veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik tedbirleri, içtihadın yanı sıra etkili ve uygulanabilir veri sahibi hakları ile kişisel verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin hakkına sahip olunması;

b. üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dahil olmak üzere veri koruma kurallarına uyumluluk sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile iş birliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve

c. ilgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.

Yukarıda izah olunan düzenleme uyarınca özetle, Komisyon’un veri aktarımının gerçekleştirileceği üçüncü ülkece yeterli koruma sağlanıp sağlanamadığı değerlendirmeleri etkili ve uygulanabilir veri sahibi haklarının mevcudiyetine ve veri aktarımının süjesi olan kişilere etkili idari ve adli tazminata sahip olma şartına bağlanmıştır. Komisyon tarafından söz konusu hususların değerlendirilmesini müteakip veri aktarımı gerçekleştirilecek ülkenin veya söz konusu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun yeterli bir koruma düzeyi sağladığına dair karar verilebilir. GDPR Madde 45(3) kapsamında verilen bir yeterlilik kararı olmaması durumunda, tarafların (“bundan böyle birlikte veri sorumlusu veya veri işleyen”) GDPR Madde 46’da belirtilen uygun korumalara başvurarak üçüncü bir ülkedeki veri koruma eksikliğini telafi etmeleri gerekmektedir. Ancak, uluslararası veri aktarımının sağlanabilmesi için GDPR Madde 46 kapsamındaki uygun korumalara başvurulmuş olması yeterli olmayıp bu tür bir veri aktarımıyla ilgili olarak veri sahipleri için uygulanabilir veri sahibi hakları ve etkili yasal çözümler bulunmalıdır[3].

1.2. AB-ABD Gizlilik Kalkanı Arka Planı

1.2.1. Komisyon’dan 2000/520 sayılı ve 26 Temmuz 2000 tarihli Güvenli Liman Kararı (‘the Safe Harbor Decision’)

2016/1250 sayılı ve 12 Temmuz 2016 tarihli Schrems II ile Komisyon, AB’den ABD’nin kuruluşlarına yapılan veri aktarımlarında, ABD’nin uygun seviyede koruma sağladığı tespitinde bulunmuştur. İşbu karara yola açan süreç, Avusturya vatandaşı Maximillian Schrems’ in İrlanda Veri Koruma Komisyonu’na şikâyet başvurusunda bulunması ile başlamıştır.

AB’de bulunan kişiler Facebook uygulamasını kullanabilmek için önce Facebook Inc.’in iştiraki olan Dublin merkezli Facebook İrlanda ile bir sözleşme yapmak zorundadırlar. Bunun ardından, AB’de bulunan ve Facebook İrlanda ile sözleşme yapan Facebook kullanıcılarının verileri ABD merkezli Facebook Inc.’e aktarılmaktadır ve burada işlenmektedir.

Avusturya’da yaşayan ve 2008 yılından beri Facebook kullanıcısı olan Avusturya vatandaşı Maximillian Schrems 25 Haziran 2013’te İrlanda Veri Koruma Komisyonu’na şikâyette bulunmuştur. Bay Schrems şikayetinde özetle, 2013 yılında Edward Snowden tarafından ifşa edilen veriler ve özellikle ABD Ulusal Güvenlik Ajansı (“NSA”) olmak üzere ABD istihbarat kurum ve kuruluşlarının eylemlerini gözeterek, ABD’deki hukuk ve uygulamaların kişisel verilerinin kamu kuruluşlarının gözetleme faaliyetlerine karşı yeterli koruma sağlamadıklarını iddia ederek kişisel verilerinin Facebook İrlanda’dan ABD’ye aktarılmasının engellemesi talebinde bulunmuştur[4].

İrlanda Veri Koruma Komisyonu, Bay Schrems’ in şikayetini ve bu doğrultuda talebini Komisyon’un, ABD’nin uygun seviyede koruma sağladığına dair 2000/520 sayılı ve 26 Temmuz 2000 tarihli Güvenli Liman Kararı’na dayanarak reddetmiştir. Güvenli Liman Kararında Komisyon özet olarak, bir AB üye ülkesinden ABD’ye gerçekleşecek bir veri aktarımında kurum ve kuruluşların güvenli liman ilkelerine (‘safe harbor principles’) uyum sağladığı ölçüde yeterli koruma sağlanmış olacağını belirtmiştir[5]. ABD Ticaret Bakanlığı’nın sorularına da aynı kararı ile yanıt veren Komisyon, ABD’nin yeterli düzeyde koruma sağladığı kararına varmıştır.

1.2.2. Mahkeme’den Schrems I Kararı

İrlanda Veri Koruma Komisyonu tarafından Komisyon’un Güvenli Liman Kararı gerekçe gösterilerek şikayetinin reddedilmesinin ardından Bay Schrems, İrlanda Yüksek Mahkemesi’ne başvurmuştur. İrlanda Yüksek Mahkemesi Güvenli Liman Kararı’nın, bir ulusal denetim otoritesinin üçüncü ülkenin yeterli düzeyde koruma sağlayıp sağlamadığına ilişkin olarak soruşturma başlatmasını ve aynı otorite tarafından yeterli koruma sağlanamadığının tespiti üzerine itiraza konu veri aktarımını askıya almasını engelleme etkisine sahip olup olmadığına dair net bir kanaat getirememiştir. Bu noktada, uyuşmazlığın Mahkeme’ye taşınması, İrlanda Yüksek Mahkemesi’nin Komisyon’un Güvenli Liman Kararındaki esasların geçerliliğinin yorumlanması konusunda Mahkeme’nin görüşünün sorulması ile gerçekleşmiştir[6].

Mahkeme, 6 Ekim 2015 tarihli Schrems I kararında, Güvenli Liman Kararı’nın geçersiz olduğuna hükmetmiştir. Bunun üzerine İrlanda Yüksek Mahkemesi, Bay Schrems’ in şikayetinin reddedilmesine ilişkin kararı iptal etmiştir. Schrems I kararı ve Bay Schrems’ in şikayetinin reddedilmesine ilişkin kararın iptalini müteakip, İrlanda Veri Koruma Komisyonu tarafından Bay Schrems’in şikayetinin, Mahkeme’nin Schrems I kararındaki değerlendirmelerinin gözetilerek yeniden düzenlemesi talep edilmiştir[7].

1.3. Mahkeme’den Schrems II Kararı

Yukarıda da izah edildiği üzere, Bay Schrems yeniden düzenlediği ikinci şikayetiyle AB’den ABD’ye yapılacak olacak gelecek kişisel veri aktarımının askıya alınmasını veya engellemesini talep etmiştir. Bu süreçte, Facebook İrlanda tarafından Facebook, Inc’e yapılan veri aktarımları Komisyon’un 2020/87 sayılı ve 5 Şubat 2010 tarihli (“Standart Veri Koruma Maddeleri -SCC Kararı”) kararına ek edilen standart veri koruma maddeleri esas alınarak yapılmaktaydı. Bu doğrultuda, ikinci şikâyetin akıbeti SCC Kararı’nın geçerliliğine bağlı olduğundan, İrlanda Veri Koruma Komisyonu tarafından uyuşmazlık Mahkeme’nin tekrar görüşünün sorulması adına İrlanda Yüksek Mahkemesi’ne gönderilmiştir. Tüm işlemlerin ardından, 12 Temmuz 2016 tarihinde Komisyon, 2016/1250 sayılı Gizlilik Kalkanı Kararı ile (‘the Privacy Shield Decision’), AB ile ABD arasındaki gizlilik kalkanı ilkesi uyarınca ABD’nin yeterli düzeyde koruma sağladığını belirten kararını yayımlamıştır[8].

4 Mayıs 2018 tarihli ön inceleme talebi ile, uyuşmazlığın Mahkeme’ye taşınması, İrlanda Yüksek Mahkemesi’nin aşağıda yer alan esasların yorumlanmasında Mahkeme’nin görüşünün sorulması ile gerçekleşmiştir[9]:

i. SCC Kararında belirtilen standart veri koruma maddelerine dayanılarak yapılan kişisel veri aktarımlarına GDPR uygulanır mı?

ii. Standart veri koruma maddelerine dayanarak üçüncü taraf bir ülkeye aktarılan kişisel verilere sağlanması gereken koruma seviyesi ne olmalıdır?

iii. Düzenleyici ve denetleyici veri koruma otoriteleri tarafından, üçüncü taraf bir ülkenin hukukunun ve düzenlemelerinin standart veri koruma maddeleri ile çeliştiğini düşünülürse veri akışını engellemek için söz konusu otoritenin üzerine düşen yükümlülükler nelerdir?

iv. Komisyon tarafından verilen Gizlilik Kalkanı Kararı, ABD’nin uygun seviyede bir koruma sağladığı gerekçesiyle düzenleyici ve denetleyici veri koruma otoriteleri ve üye devletlerin mahkemeleri için bağlayıcı bir uygulama mıdır?

1.3.1 Mahkeme’nin Değerlendirmeleri ve Karar

Mahkeme, 16 Temmuz 2020 tarihli dönüm noktası kararı ile AB-ABD Gizlilik Kalkanı ilkesinin bundan böyle uluslararası veri aktarımlarında bir araç olarak kullanılamayacağını belirtmiş ve fakat standart veri koruma maddelerinin geçerli olacağına hükmetmiştir. Yukarıda daha detaylı irdelendiği üzere, Mahkeme Schrems II kararında gerekli hususların değerlendirmesini yapmadan GDPR kapsamında uluslararası veri aktarımının nasıl gerçekleştirileceğine ışık tutmuştur. Bu kapsamda, özetle Komisyon tarafından verilmiş bir uygunluk kararı olması gereklidir. Yine, Mahkeme GDPR kapsamında Komisyon tarafından verilmiş bir uygunluk kararının olmadığı durumda üçüncü ülkelere veri aktarımı ancak veri sorumlusu veya veri işleyenin uygun koruma sağlaması, veri sahiplerinin ve ilgili kişilerin haklarını kullanmasının mümkün olması ve etkili yasal çözümlerin mevcut olması halinde yapılabileceğini belirtmiştir. Bununla birlikte, Mahkeme GDPR tahtındaki düzenlemelerin söz konusu uluslararası veri aktarımı sırasında veya daha sonra gerçekleşen veri aktaranın ikamet ettiği üçüncü ülkede yapılan veri aktarımlarında geçerli olduğunu belirtmiştir. İşbu kararda ayrıca, bu ileriye dönük veri aktarımlarının veya daha sonra gerçekleşecek veri işleme faaliyetlerinin söz konusu üçüncü ülkenin hukuk sistemi kapsamında gerekli olmasının ve kamu güvenliği, savunma ve güvenlik amaçlarıyla yapılmış olmasının, GDPR uygulamasına halel getirmeyeceği de açıklanmıştır[10].

1.3.1.1 AB-ABD Gizlilik Kararına İlişkin

Mahkeme’nin Schrems II kararı uyarınca, ABD makamlarının ABD'ye aktarılan kişisel verilerle ilgili istihbarat faaliyetleri, Yabancı İstihbarat Gözetleme Yasası'nın ("FISA") 702. Bölümü ve 12333 sayılı Başkanlık Emri ’ne dayanmaktadır. Bu kapsamda, FISA’nın 702. Bölümü’nün yabancı istihbarat bilgilerini elde etmek için ABD dışında bulunan ABD vatandaşı olmayan kişilerin gözetimine olanak sağladığı ve internet servis sağlayıcılarının bu tür hedeflenen kişilerin kişisel verilerinin alınmasını gerektiren çeşitli programlar için zemin sağladığı belirtilmiştir. Ayrıca, telekomünikasyon taahhütleri ve sair düzenlemelerin, bir seçici (‘selector’)ile bağlantılı ABD vatandaşı olmayan bir ülke vatandaşından veya bu vatandaşla ilgili iletişimleri elde etmek için NSA’nın internet trafik akışlarını kopyalayıp filtrelemesine izin vermesi gerekmektedir. Ek olarak 12333 sayılı Başkanlık Emri, NSA'nın Atlantik zeminindeki su altı kablolarına erişerek ABD'ye geçiş halindeki (‘in transit’) verilere erişmesine, ABD'ye ulaşmadan ve FISA'ya tabi olmadan önce bu tür verileri toplayıp saklamasına izin vermektedir.

FISA’nın 702. Bölümü ve 12333 sayılı Başkanlık Emri ’ne dayanarak yapılan gözetleme faaliyetleri ne orantılılık ilkesine ilişkin belirli bir sınırlamaya ne de yabancı istihbarat açısından herhangi bir zorunluluğa tabi olmadığından, Mahkeme, bu tür gözetim faaliyetlerinin bir uygunluk kararının gereklerini yerine getiremeyeceği sonucuna varmıştır. Ayrıca, Gizlilik Kalkanı, münferit şikayetlerin uygun şekilde soruşturulmasını ve ele alınmasını sağlamak üzere belirlenmiş bir ombudsman mekanizması tarafından getirilmiş olsa da bu mekanizma GDPR Madde 45 (2)’deki belirtilen koşulları karşılamamaktadır. Zira, ombudsman mekanizması AB Temel Haklar Şartı'nın 47. Maddesi anlamında bir mahkeme olarak kabul edilemez[11].

Neticeten, Mahkeme AB-ABD arasındaki Gizlilik Kalkanı ilkesini süresiz olarak geçersiz kıldığına hükmetmiştir.

1.3.1.2. Standart Veri Koruma Maddelerine İlişkin

Mahkeme işbu kararında öncelikle, standart veri koruma maddelerine dayalı bir veri aktarımı bağlamında koruma seviyesinin yeterliliğinin sağlanıp sağlanmadığını belirlemek amacıyla hangi faktörlerin dikkate alınması gerektiğini tartışmaktadır. Mahkeme söz konusu koruma seviyesine atıfta bulunarak, esasen GDPR düzeyindeki korumaya eşdeğer olan ve GDPR güvencelerine zarar vermeyen koruma seviyesinin, söz konusu veri aktarım aracına bakılmaksızın sağlanması gerektiğini belirtmektedir. Bu nedenle Mahkeme, veri alıcısı ve veri aktaranın GDPR Madde 46’da belirtilen uygun korumalara başvurarak üçüncü bir ülkedeki veri koruma eksikliğini telafi etmeleri gerektiğini de eklemektedir. Buna ilaveten, veri alıcısı ve veri aktaranın standart veri koruma maddeleri girişimleri gibi başvurdukları tüm özgü güvenceleri, bir uygunluk kararına dayalı veri aktarımı bağlamında olduğu gibi, esasen GDPR'a eşdeğer olan koruma seviyesini sağlayabilmelidir. Bu amaçla Mahkeme, koruma seviyesinin yeterliliğini değerlendirmek amacıyla dikkate alınması gereken çeşitli faktörlerin bir listesi olmamasına rağmen, GDPR 46. Maddesinin veri sahiplerini ve ilgili kişilerin uygun güvenceler, uygulanabilir haklar ve etkili yasal çözümlerle sağlanması gerektiğini düzenlediğini belirtmektedir. Bu doğrultuda Mahkeme, bu tür gerekliliklerin değerlendirilmesinin, hem veri aktaran ile alıcısı arasında mutabık kalınan sözleşme hükümlerinin hem de kamu yetkilileri tarafından herhangi bir erişime ilişkin olarak veri alıcısının kurulduğu üçüncü ülkenin yasal sistemlerini değerlendirmeyi içerdiğini eklemektedir.

Standart veri koruma maddelerinin sözleşmesel bir yapıya sahip olması ve kamu otoriteleri de dahil olmak üzere herhangi bir üçüncü şahsı bağlayamaması nedeniyle işbu kararında Mahkeme, veri aktaranları standart veri koruma maddelerine başka hükümler veya ek koruma tedbirleri eklemeye teşvik etmektedir. Bunun yanı sıra, Mahkeme ek önlemlerin gerekli veri korumasını temin etmek için yeterli olmadığı veya taraflarca erişilebilir olmadığı durumlarda, bu tür veri aktarımlarının askıya alınması veya sona erdirilmesinin açıkça belirtilmesi gerektiğini de vurgulamaktadır. Bu nedenle, veri alıcısı yeterli veri sahibi hakları ve yasal çözümleri bahşetmeden kişisel verileri sağlamak için yasal bir yükümlülük altındaysa ve standart veri koruma maddeleri; sadece tarafların standart veri koruma maddelerine girmiş olduğu gerçeği üzerine, GDPR'nin gerektirdiği koruma düzeyine uyumu sağlamak için etkili mekanizmalar içermiyorsa, bu tür veri aktarımları gerçekleştirilemeyecektir. Bu kapsamda, Mahkeme’ye göre bu tür veri aktarımları askıya alınmalı veya yasaklanmalıdır.

Neticeten Mahkeme, taraflar arasında mutabık kalınan standart veri koruma maddelerinin söz konusu üçüncü ülkede uyulmadığı veya uyulamayacağı değerlendirilirse, her yetkili denetim makamının kişisel verilerin üçüncü bir ülkeye aktarılmasını askıya alma veya yasaklama yetkisini hatırlatmaktadır. Mahkeme’ye göre özellikle, veri aktarımı gerçekleştirilen üçüncü ülkenin kanunlarının ve düzenlemelerinin verinin aktarıldığı tarafa standart veri koruma maddelerine aykırı yükümlülükler yüklediği durumlarda veri koruma otoritelerinin devreye girmesi gerekmektedir.

1.4. Genel Bakış

Yukarıda detaylı açıklandığı üzere, AB-ABD Gizlilik Kalkanı mekanizması artık kişisel verilerin AB'den ABD'ye aktarılması bağlamında GDPR tahtındaki düzenlemelere uyum sağlamak adına geçerli bir mekanizma değildir. Ancak, ABD merkezli kuruluşların kamusal taahhütleri hala bağlayıcıdır ve ABD yasaları kapsamında uygulanabilmektedir[12]. Bu nedenle, ABD merkezli kuruluşların, taahhütlerini AB-ABD Gizlilik Kalkanı mekanizması ile uyumlu şekilde yerine getirme yükümlülüğü altında oldukları tarafımızca değerlendirilmektedir.

İlaveten, Schrems II Kararı ele aldığı hukuki problemler bakımından herhangi bir geçiş dönemi öngörmemektedir. Bu anlamda, öngörülen bir geçiş dönemi olmadığından, bu karardan etkilenen veri aktaranların hızlı çözümler sunması gerekmektedir. AB-ABD Gizlilik Kalkanı mekanizmasına dayanarak veri aktarımı gerçekleştirmiş ABD’deki veri alıcıları ise, bundan böyle gerçekleştirilecek uluslararası veri aktarımları için mevcut diğer araçları dikkate almalıdır. Veri aktaranlar ve veri alıcıları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketler için kişisel verilerin yurt dışına aktarılmasında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarını içeren[13] “Bağlayıcı Şirket Kurallarını” (“Binding Corporate Rules” – “BCR”) bir alternatif araç olarak değerlendirilebilirler. Diğer yasal araçlarla karşılaştırıldığında BCR, aynı şirket grubu içindeki veri aktarımları bağlamında, uluslararası hukukla ilgili konulara gerçek anlamda küresel bir yanıt getirmektedir[14]. Ek olarak, geçerli istisnalara bağlı olarak standart veri koruma maddeleri de veri alıcıları ve aktaranlar için bir alternatif mekanizma olarak karşımıza çıkabilmektedir.

Bununla birlikte, taraflarca tercih edilen veri aktarım aracından bağımsız olarak, FISA ve 12333 sayılı Başkanlık Emri’ nin gerekliliklerine tabi olan internet servis sağlayıcıları ve telekomünikasyon operatörü gibi ABD merkezli kuruluşların, esasen GDPR kapsamında eşdeğer koruma düzeyini sağlamadığı kabul edilmektedir. Mümkünse, veri aktarımları sırasında verilerin toplu gözetimini içeren ABD gözetim faaliyetleri ile ilgili olarak, taraflar, aktarım sırasında kişisel verilerin şifrelenmesi gibi ek önlemler yoluyla bu tür gözetimi önlemelidir. İlgili veri aktarım aracının uyarlanmasıyla, taraflar gizlilik politikalarını ve veri aktarım aracındaki değişiklikle ilgili bildirimleri güncellemeyi de düşünmelidir.

Son olarak belirtmek gerekir ki, Schrems II kararının uygulanması noktasında politik sorunların ve politik yaklaşımların da etkili olabileceği aşikardır. Örneğin, Birleşik Krallık Brexit gelişmeleri ışığında kararın uygulanmasına farklı bir yaklaşım gösterebilecektir.

KAYNAKÇA

1 Avrupa Birliği v2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020).

2 Avrupa Birliği v2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020), Madde 45(2).

3 Avrupa Birliği 2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020), Madde 46.

4 Avrupa Adalet Divanı, Maximillian Schrems v. Data Protection Commissioner C-362/14 Kararı, 6 Ekim 2015. https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf (Son Erişim Tarihi: 27.12.2020).

5 2000/520 sayılı ve 26 Temmuz 2000 tarihli Avrupa Komisyonu Kararı, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:EN:HTML. (Son Erişim Tarihi: 27.12.2020)

6 Avrupa Adalet Divanı, Maximillian Schrems v. Data Protection Commissioner C-362/14 Kararı, 6 Ekim 2015. https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf (Son Erişim Tarihi: 27.12.2020).

7 Avrupa Adalet Divanı, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems C-362/14 Kararı, 16 Temmuz 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Son Erişim Tarihi: 27.12.2020).

8 https://fra.europa.eu/en/eu-charter/article/47-right-effective-remedy-and-fair-trial#:~:text=Next%20article-,Article%2047%20%2D%20Right%20to%20an%20effective%20remedy%20and%20to%20a,laid%20down%20in%20this%20Article. (Son Erişim Tarihi: 02.01.2021)

9 FAQs – EU-U.S. Privacy Shield Program Update, Privacy Shield Framework. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update(Son Erişim Tarihi: 04.01.2021)

10 Şeyma Nur Kaplan, “Turkey: Binding Corporate Rules”,2020.

11 Olivier Proust& Emmanuelle Bartoli, “Binding Corporate Rules: a global solution for international data transfers”, International Data Privacy Law Advance Access Press, 2011.

[1] Avrupa Birliği v2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020). Madde 45(1): “A transfer of personal data to a third country or an international organization may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organization in question ensures an adequate level of protection. Such a transfer shall not require any specific authorization.” [2] Avrupa Birliği v2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020), Madde 45(2). [3] Avrupa Birliği 2016/679 Sayılı ve 27 April 2016 Tarihli Genel Veri Koruma Yönetmeliği, https://eur-lex.europa.eu/eli/reg/2016/679/oj (Son Erişim Tarihi: 27.12.2020), Madde 46. [4] Avrupa Adalet Divanı, Maximillian Schrems v. Data Protection Commissioner C-362/14 Kararı, 6 Ekim 2015. https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf (Son Erişim Tarihi: 27.12.2020). [5] 2000/520 sayılı ve 26 Temmuz 2000 tarihli Avrupa Komisyonu Kararı, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:EN:HTML. (Son Erişim Tarihi: 27.12.2020) [6] Avrupa Adalet Divanı, Maximillian Schrems v. Data Protection Commissioner C-362/14 Kararı, 6 Ekim 2015. https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf (Son Erişim Tarihi: 27.12.2020). [7] Avrupa Adalet Divanı, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems C-362/14 Kararı, 16 Temmuz 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Son Erişim Tarihi: 27.12.2020). [8] 2016/1250 sayılı ve 12 Temmuz 2016 tarihli Avrupa Komisyonu Kararı, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016D1250&from=EN (Son Erişim Tarihi: 27.12.2020). [9] Avrupa Adalet Divanı, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems C-311/18 Kararı, 16 Temmuz 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Son Erişim Tarihi: 27.12.2020). [10] Avrupa Adalet Divanı, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems C-311/18 Kararı, 16 Temmuz 2020. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Son Erişim Tarihi: 01.01.2021). [11] Article 47: “Everyone whose rights and freedoms guaranteed by the law of the Union are violated has the right to an effective remedy before a tribunal in compliance with the conditions laid down in this Article. Everyone is entitled to a fair and public hearing within a reasonable time by an independent and impartial tribunal previously established by law. Everyone shall have the possibility of being advised, defended and represented. Legal aid shall be made available to those who lack sufficient resources in so far as such aid is necessary to ensure effective access to justice.” https://fra.europa.eu/en/eu-charter/article/47-right-effective-remedy-and-fair-trial#:~:text=Next%20article-,Article%2047%20%2D%20Right%20to%20an%20effective%20remedy%20and%20to%20a,laid%20down%20in%20this%20Article. (Son Erişim Tarihi: 02.01.2021) [12] FAQs – EU-U.S. Privacy Shield Program Update, Privacy Shield Framework. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update(Son Erişim Tarihi: 04.01.2021) [13] Şeyma Nur Kaplan, “Turkey: Binding Corporate Rules”,2020. [14] Olivier Proust& Emmanuelle Bartoli, “Binding Corporate Rules: a global solution for international data transfers”, International Data Privacy Law Advance Access Press, 2011.