Geçtiğimiz yıllarda hem Gizlilik Kalkanı (Privacy Shield) hem de Güvenli Liman (Safe Harbor)'ın üst mahkemeler tarafından iptal edildiğini hatırlatan uzmanlar, ABD Başkanı Biden'ın yeni Trans-Atlantik Veri Politikası Çerçevesi'ne yönelik kararnamesinin de aynı kaderi paylaşıp paylaşmayacağını merak ediyor.
ABD ile AB arasında yakın zamanda bir veri aktarımı anlaşmasının yürürlüğe girmesini ve ciddi yasal külfetleri olan sınır ötesi veri aktarımının kolaylaşmasını bekleyen binlerce şirket, çok da umutlanmamalı. Bu yılın başlarında üzerinde anlaşmaya varılan Trans-Atlantik Veri Politikası Çerçevesi'nin uygulanmasına yönelik kuralları içeren ABD Başkanı Joe Biden'ın kararnamesi doğru yönde atılmış bir adım olsa da kamu politikası ve hukuk uzmanlarına göre yeni anlaşma, en erken önümüzdeki bahar aylarına kadar yürürlüğe girmeyecek. Ayrıca yürürlüğe girdikten sonra da anlaşmanın yasal engellere takılma ihtimali çok yüksek.
Biden tarafından 7 Ekim'de imzalanan kararname, Amerikan istihbarat teşkilatlarının elektronik gözetleme yetkisine yeni kısıtlamalar getiriyor ve kişisel bilgilerinin ABD istihbarat teşkilatları tarafından yasa dışı bir şekilde kullanıldığını düşünen Avrupa vatandaşlarına şikayette bulunabilmeleri için yeni imkanlar sunuyor.
Anlaşma, kişisel verilerin özellikle devlet kurumlarının gözetiminden korunması için ABD tarafından yeterli önlemlerin alınmadığı gerekçesiyle Avrupa Adalet Divanı'nın Gizlilik Kalkanı olarak bilinen eski AB-ABD veri paylaşım anlaşmasını iptal etmesinden iki yıl sonra kaleme alındı.
ABD'nin kişisel verilerin korunması için aldığı önlemleri iyileştireceği düşünülen ve Gizlilik Kalkanı'nın yerini alacak olan Trans-Atlantik Veri Politikası Çerçevesi'nin beklenen itirazların yapılmasının ardından Avrupa Adalet Divanı tarafından titizlikle incelenmesi ve bu sefer kabul edilmesi bekleniyor. Ancak, hem Biden Yönetimi hem de Avrupa Komisyonu'nun yeni veri anlaşmasını destekleyen açıklamalarına rağmen Birleşik Krallık merkezli uyumluluk şirketi Cordery'de uyum ve teknoloji avukatı olan Jonathan Armstrong'a göre anlaşma, henüz tamamlanmış olmaktan çok uzak.
Armstrong, "Hem Beyaz Saray hem de Avrupa Komisyonu teklif edilen anlaşmaya güvendiklerini söylüyor olabilir ancak daha önce Gizlilik Kalkanı'nın üst mahkeme tarafından onaylanacağını söylediklerini ama sonra Avrupa Adalet Divanı tarafından iptal edildiğini de hatırlıyoruz." sözleriyle görüşünü açıkladı.
İlk aşamada AB, Biden'ın kararnameyi imzalaması ile yürürlüğe giren yeni kuralların, AB Genel Veri Koruma Tüzüğü (GDPR)'ne eşdeğer gizlilik önlemleri sunacak şekilde tasarlanan trans-Atlantik standartlarını karşılayıp karşılamadığını inceleyecek.
AB'nin yürütme organı olan Avrupa Komisyonu'nun açıklamasına göre önümüzdeki aylarda, Avrupa Veri Koruma Kurulu'na (EDPB) danışıldıktan ve AB üyesi ülkelerin temsilcilerinden oluşan bir komiteden onay alındıktan sonra Komisyon'da bir yeterlilik kararı taslağı onaya sunulacak ve bir uygulama prosedürü başlatılacak.
Armstrong, Avrupa Parlamentosu'nun da anlaşmayı onaylanmadan önce incelemek istemesinin olası olduğunu da belirtti.
Bütün bunlar olurken GDPR ihlalleri nedeniyle Facebook'u şikayet ederek Güvenlik Kalkanı'nın ve ondan önceki Güvenli Liman anlaşmasının iptal edilmesine yol açan Avusturyalı aktivist ve avukat Max Schrems, NOYB isimli organizasyon aracılığıyla anlaşmaya karşı lobi faaliyetleri yürütebileceğini belirtti.
NOYB tarafından yayınlanan bir açıklamada Schrems, "İlk bakışta, temel sorunlar çözülmemiş gibi görünüyor ve bu anlaşma, er ya da geç Avrupa Birliği Adalet Divanı (ABAD)'nın önüne gelecek" dedi.
Schrems ve diğer muhaliflere göre, Biden'ın kararnamesi ve Trans-Atlantik Veri Politikası Çerçevesi ile ilgili temel sorunlardan biri, bu belgelerin ABD istihbarat teşkilatları tarafından gerçekleştirilen kitlesel gözetlemeyi gerektiği ciddiyetle ele almaması.
Kararnameye göre, istihbari faaliyetler ABD tarafından "yalnızca doğrulanmış bir istihbarat önceliği söz konusuysa ve bu istihbarat öncelik seviyesi ile orantılı bir ölçüde" gerçekleştirilecek. Ancak NYOB'a göre, AB hukuku orantılı gözetleme kavramının altını çiziyor olsa da ABD'de kitlesel gözetlemenin gerçekleştirilme şeklinde bir değişiklik olacağına dair herhangi bir gösterge yok.
Bunun yanı sıra, Biden'ın kararnamesi ABD Adalet Bakanlığı'nın gözetimle ilgili şikayetleri ele almak için bir Veri Koruma İnceleme Mahkemesi kurulmasını gerektirse de NYOB'a göre bu "gerçek bir mahkeme" değil, ABD hükümetinin yargı kolunun bir organı.
NYOB ayrıca bu kararnamenin bir yasa niteliği taşımadığına ve ABD başkanının federal hükümet organına verdiği bir direktif olduğuna dikkat çekti.
Amerikan Sivil Özgürlükler Birliği (ACLU) isimli lobi grubu da bu konuda NYOB ile aynı fikirde görünüyor.
ACLU tarafından yapılan bir açıklamada ACLU Ulusal Güvenlik Projesi'nin kıdemli avukatı Ashley Gorski, "ABD'nin gözetim politikası ilgili sorunlar tek bir kararname ile çözülemez" dedi. “Gizliliğimizi korumak ve transatlantik veri aktarımlarını sağlam bir yasal temele oturtmak için Kongre eliyle anlamlı bir gözetleme reformu yapılmalıdır. Bu reformun gerçekleşmediği her gün, ABD'li şirketler ve vatandaşlar bedel ödemeye devam edecek."
İngiltere'de küresel uyumluluk alanında faaliyet gösteren bir danışman olan Tash Whitaker, yeni veri anlaşmasının muhalifleri tarafından yapılan yorumları yineleyerek söz konusu anlaşmanın, bir yeterlilik anlaşmasının gerekliliklerini yerine getirme olasılığının düşük olduğunu söyledi. Whitaker, "Yeni kararnamede herhangi bir değişiklik yapılsa bile kitlesel gözetleme muhtemelen olduğu gibi devam edecek" dedi. "Ayrıca, iç hukuka göre veri sahiplerinin adli tazminat hakkı mevcut. Kararname, bu hakkın 'Veri Koruma İnceleme Mahkemesi' aracılığıyla sunulduğunu öne sürüyor.”
New York merkezli ticaret grubu Interactive Advertising Bureau'nun (IAB) kamu politikalarından sorumlu başkan yardımcısı Lartease Tiffith'e göre, işletmeler, Atlantik ötesi veri aktarımının tabi olduğu zahmetli yasal süreçleri kolaylaştırmak ve bunu AB standartlarını karşılayacak şekilde, (AB sınırları içerisinde GDPR ihlalleriyle ilgili şikayetleri ele alan bağımsız kamu bir kamu kuruluşu olan) AB Veri Koruma Kurulları tarafından yaptırıma maruz kalmadan yapabilmek için yeni bir veri aktarım anlaşmasının yürürlüğe girmesini istiyor.
Tiffith, Gizlilik Kalkanı veya benzeri bir anlaşmanın olmadığı durumlarda şirketlerin, veri transferlerinin GDPR'ye uygun olarak yapıldığını standart sözleşme hükümleri uyarınca doğrulamak durumunda kaldıklarını belirtti ve "Buradaki sorun, böyle bir durumda sürecin oldukça zahmetli bir hale gelmesi. Bu maddelere standart sözleşme maddeleri demek bile muhtemelen doğru değil çünkü bazı durumlarda bu hükümleri tek tek müzakere etmeniz gerekir, bu nedenle standart sözcüğü muhtemelen yanlış bir seçim." dedi.
Tiffith, Gizlilik Kalkanı'na katılan 5.000'den fazla ABD şirketinin neredeyse %70'inin, tüm veri sağlayıcılarıyla birden fazla sözleşme müzakere edecek kaynaklara sahip olmayan küçük şirketler olduğunu ve bunun büyük şirketler için de bir yük olduğunu söyledi.
Tiffith'e göre, Gizlilik Kalkanı'nın ve yeni anlaşmanın amacı şirketlerin belirlenen esaslara uyduklarını beyan ettikten sonra her bir tedarikçiyle tek tek veri gizliliği sözleşmesi yapma zorunluluğunun ortadan kaldırılması.
Tiffith, "Diğer bir husus da, standart sözleşme hükümlerinin geçerli olduğu durumlarda bile bu hükümler yeterli bulunmazsa veya kapsaması gereken her şeyi kapsamadığı tespit edilirse şirketlerin Veri Koruma Kurulları yaptırımına tabi tutulması" diyerek devam etti.
Tiffith, Biden'ın imzaladığı kararnamenin doğru yönde atılmış bir adım olduğunu ve nihai bir anlaşma için zemin hazırladığını söyledi. Veri akışının engelsiz bir şekilde sağlanmasının tıp, siber güvenlik ve diğer çeşitli sektörlerdeki teknolojilerin gelişiminin yanı sıra medya ve reklamcılık ile tüketim mallarının ticareti için de çok büyük bir öneme sahip olduğunu vurguladı.
Ayrıca, bütün bunlara rağmen kararnameye yapılan ilk eleştirileri göz önünde bulundurarak anlaşmanın "yasal engellere takılabileceğini" belirtti.
Cordery'de uyum ve teknoloji avukatı olan Armstrong ise Tiffith'e katılarak işletmeleri, ABD ve AB yetkililerinin cesaret verici sözlerini çok fazla ciddiye almamaları konusunda uyardı. Armstrong, "Özellikle veri aktarımıyla ilgili mevcut sorunlar ve olası zorluklar göz önünde bulundurulduğunda bu kadar fazla riskin olduğu bir ortamda işletmelerin bu teselli sözlerine inanması doğal olarak hiç de kolay değil" dedi.
Armstrong, AB onay sürecinin ve olası engellerin bir sonucu olarak yeni planın erteleneceğini ve düzenlemenin en erken 2023 baharının sonlarına kadar yürürlüğe girmesinin pek mümkün olmayacağını dile getirdi. Armstrong, böyle bir durumda dahi çoğu kuruluşun farklı uyum önlemleri üzerinde çalışırken ve özellikle veri gönderdikleri kuruluşlar ile bu veri aktarımı sırasında alınan önlemlerin üzerinden tekrar geçerken bu anlaşmayı geçici olarak kabul etme konusunda istekli olacağını belirtti.
Whitaker, "Sonuç olarak, bu anlaşmanın ilgili AB makamları tarafından onaylanması konusunda ABD'nin şansı yaver gidebilirmiş gibi görünse de lobiciler mahkemede buna anında itiraz edecekleri için anlaşma muhtemelen kısa ömürlü olacaktır." dedi.
Kaynak: Computer World