AAD C-362/14 Schrems v Data Protection Commissioner

Safe Harbor antlaşmasının iptali, Avusturyalı bir hukuk öğrencisi Maximillian

Schrems’in Facebook Ireland Ltd. şirketine karşı, İrlanda Yetkili Veri Koruma Otoritesi nezdinde yaptığı başvuru ile gündeme gelmiştir. Schrems’in 25.06.2013 tarihli bu başvurusu Amerikan şirketi Facebook Inc.’in İrlanda’daki iştiraki Facebook Ireland

Ltd.’nin kişisel verileri Amerika Birleşik Devletleri’ne aktararak, oradaki sunucularda

depolamasına ilişkindir. Edward Snowden tarafından sızdırılan evrakta açık edildiği

111 _{2013 yılı itibariyle Bulut bilişim bazlı big data şirketi BlueKai’ın, kişisel veriler için her gün 75 milyon}

online müzayede yürüttüğü bilinmektedir. OECD, Supporting Investment in Knowledge Capital, Growth and Innovation, OECD Publishing, Paris, Fransa 2013.

112 _{SPIEKERMANN Sarah, BÖHME Rainer, ACQUISTI Alessandro, HUI Kai-Lung (2015), ‘Personal}

Data Markets’, Electron Markets, C. 25, s. 91–93.

113 _{SCHNEIDER Jochen, Datenschutzrecht nach der EU-DSGVO, S. 325, 2. Auflage, C.H. Beck,}

München, Almanya 2019, s. 327.

114 _Age.

115 _{KLECHA, age, s. 67.}

üzere Amerika Birleşik Devletleri gizli servisi, Facebook tarafından aktarılan bu kişisel verilere erişmektedir.117

İrlanda yetkili veri koruma otoritesi Maximillian Schrems’in başvurusunu değerlendirirken, Amerika Birleşik Devletleri’nin müdahalesinin ABTHB md. 7 ve md. 8 yükümlülüklerine de Safe Harbor ilkelerine de aykırı olduğunu tespit ederek kararı askıya almıştır.118 _{İrlanda Yüksek Mahkemesi de müdahaleyi ölçüsüz ve aşırı bularak}

mahremiyetin ihlal edildiğine kanaat getirmiştir. Bu noktada gündeme gelen soru ulusal veri koruma otoritelerinin Avrupa Birliği Komisyonu’nun Safe Harbor kararına müdahale yetkisine ilişkindir. Bir başka ifadeyle Safe Harbor taahhüdünde ‘yeterli bir koruma’ bulunup bulunmadığına ilişkin kararın, İrlanda yetkili veri koruma otoritesince verilip verilemeyeceği tartışılmıştır.

Bu soruya cevap vermek ve Amerika Birleşik Devletleri’nin kişisel verilere erişimini değerlendirmek için karar, Divan incelemesine sevk edilmiştir.119 _{Divan yaptığı}

incelemede, üçüncü ülkelerde ‘yeterli veri koruması’ olup olmadığına dair kararı ancak Avrupa Birliği Komisyonu’nun verebileceğini belirtmiştir.120 _{Üye devletler ise}

Komisyon’un üçüncü ülkelerdeki ‘yeterli veri korumasına’ ilişkin kararına uymakla yükümlüdür.121

Divan, kararın Safe Harbor’a ilişkin kısmında, antlaşmadan yalnızca sertifikalanmış şirketlerin yararlanabileceğini ve bu antlaşmanın Amerika Birleşik Devletleri’nin kurumları için geçerli olmadığını belirtmiştir. Dahası, Amerika Birleşik Devletleri’nin ‘yeterli veri koruması’ kriterlerini sağlamadığını, kişisel verilerin korunması için yeterli somut önlemler alınmadığını tespit etmiştir. Kararın devamında

Safe Harbor Ek 1/4’deki ‘ulusal güvenlik, kamu yararı veya çatışma halinde Amerikan

kanunlarının üstün olacağına’ dair istisna düzenlemeleri eleştirmiş, son derece geniş ve belirsiz bulmuştur.122 _{İrlanda Yüksek Mahkemesi’nin başvurusunu değerlendiren Divan,}

117_{Edward Snowden’ın sızdırdığı evraklardan anlaşıldığı şekilde Amerikan Güvenlik Ajansının siviller}

üzerinde yaptığı gözetime ilişkin bkz: ‘Edward Snowden: the Whistleblower Behind NSA Surveillance Revelations’ https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower- surveillance Erişim Tarihi: 18.11.2020.

118 _{MMR 2015, 753.} 119 _{MMR 2015, 753, 754.}

120 _{Divan kararda ‘yeterli korumanın bulunduğuna ilişkin’ değerlendirmeyi yaparken dikkate alınacak}

kıstasların altını bir daha çizmiştir ve bu kriterler, Tüzük düzenlenirken md. 45/2’ye de olduğu gibi alınmıştır.

121 _{MMR 2015, 753.} 122 _{Age, kn. 83.}

kararı sonucunda Safe Harbor antlaşmasını geçersiz kılmıştır.123 _{Maximillian Schrems’in}

başvurusuyla başlayan bu süreç, Divan’ın yalnızca Birlik ile Amerika arasındaki kişisel veri aktarımını değil tüm ticaret hayatını da etkileyen bir karar vermesiyle sonlanmıştır.124

Divan kararında belirlediği ‘yeterli korumanın bulunduğuna’ ilişkin değerlendirme kıstasları, yalnızca Amerika için değil, tüm diğer üçüncü ülkeler için geçerlidir. Kararda şekli bir gereklilik olarak, ABTHB md. 7 ve 8 ayrımının yapılması ve taahhüt altına alınması gerektiği belirtilmiştir.125 _{Esasa ilişkin belirlenen noktalardan biri,}

üçüncü ülkede ‘yeterli veri koruması’ için birebir paralelliğin aranmadığı ancak ‘içerik itibariyle eşitlik’126 _{gerektiğidir.}127 _{Kararda belirtilen önemli bir diğer husus da istisna}

hükümlerinin muğlak tutulmaması gerektiğidir. Öyle ki Amerika Birleşik Devleti kurumları, aktarılan kişisel verilere ancak son derece istisnai durumlarda erişebilmelidir. Dolayısıyla Amerikan kanunları ancak sınırlı uygulama alanı bulabilmelidir. Bunun yanında, kişisel verisi aktarılan Birlik vatandaşının kişisel verilerine erişim, verilerin silinmesi ve değiştirilmesi talep hakkı uygulanmalıdır. Bu hakların uygulanabilmesi için elverişli yöntemlerin belirlenmesi gerekmektedir.128

Yukarıda bahsi geçen kararda önem atfedilen tüm bu hususlar, Tüzük döneminde de korunmuştur. Görüldüğü üzere Tüzük’te belirlenen pek çok esas, Birlik hukukunda yıllar içerisinde meydana gelen ihtiyaçlara göre geliştirilmiştir. Schrems I kararından çıkarılacak temel nokta, kişisel verilerin aktarıldığı ülkede Birlik ile benzer bir korumanın somut örneklerle ispat edilmesinin gerektiğidir.

Yukarıda açıklandığı üzere Safe Harbor antlaşmasının iptalinden sonra, Birlik ile Amerika Birleşik Devletleri arasındaki kişisel veri aktarımını düzenlemek için Privacy

Shield getirilmiştir. Avrupa Birliği Komisyonu’nun 2016/1250/EU kararıyla benimsenen Privacy Shield, Divan’ın yukarıdaki kararında belirlenen esaslar gözetilerek

düzenlemiştir. Günümüzde iptal edilmiş olan Privacy Shield’e ve bu iptal kararına ilişkin ayrıntılı açıklama bir sonraki başlıkta yer almaktadır.

123 _{Age, kn 67.}

124 _{KUNER Christopher (2017), ‘Reality and Illusion in EU Data Transfer Regulation Post Schrems’,}

German Law Journal, C. 18, S. 4, s. 864.

125 _{MMR 2015, 753, kn. 88.} 126 _{Age, kn. 73.}

127 _{Doktrinde, Divan’ın söz konusu ifadeye dair detaylı ve somut bir açıklama yapmaması eleştirilmektedir.}

Bkz. KLECHA, age, s. 84.

1.3.2.2. AAD C-311/18 Data Protection Commissioner v. Facebook Ireland