Bulut Yasası ve Schrems II Kararı Işığında Türkiye’de Müşteri Hizmeti Uygulamaları Hakkında Uygulamacı Perspektifinden Değerlendirmeler
Evaluations from Practitioner Perspective on Customer Service Applications within the Light of Cloud Act and Schrems II Decision
Hatice HOCAOĞLU, Fatma Sümeyra DOĞAN, Zeynep Sena SALTIK
Kişisel verilerin korunması hukuku kapsamında bulut saklama sistemleri, bu sistemlerin servis sağlayıcılarının genellikle yurtdışı merkezli olması nedeniyle yurtdışına veri aktarımı açısından tartışılagelen bir husustur. 23 Mart 2018 tarihinde Amerika Birleşik Devletleri’nde yürürlüğe giren ve bulut hizmeti sağlayıcılarının sunucularında depolanan verilere kolluk kuvvetlerinin erişim yetkisini düzenleyen “Bulut Yasası” (Cloud Act) ve Avrupa Adalet Divanı tarafından verilen Schrems II kararı, konu ile ilgili önemli iki gelişmedir. Çalışmamızda öncelikle bu gelişmelerin değerlendirilmesi ve bu değerlendirmeler ışığında Türk şirketleri tarafından benimsenen ve yurtdışı veri aktarımına yol açan müşteri hizmeti uygulamaları tartışılacaktır.
KVKK, GDPR, Kişisel Verilerin Korunması, Yurtdışına Veri Aktarımı, Bulut Yasası, Müşteri Hizmeti, Avrupa Adalet Divanı, Schrems Kararı, Bilişim Hukuku.
Within the scope of personal data protection law, cloud storage services are a controversial issue in terms of data transfers abroad, since the service providers of these systems are generally based in foreign countries. The U.S. code, enacted on 23rd March 2018, regulating the authorization of law enforcement forces to access data stored on cloud service servers, called “Cloud Act” and the Schrems II decision issued by the European Court of Justice are two important developments in this matter. In our study primarily those developments would be evaluated and within the light of these evaluations the customer service practices adopted by Turkish companies that lead to international data transfer would be discussed.
Law on the Protection of Personal Data, GDPR, Protection of Personal Data, International Data Transfer, Cloud Act, Customer services, the Court of Justice of the European Union, Schrems Decision, IT Law.
I. ya da Bulut Yasası Hakkında
Amerika Birleşik Devletleri Kongresinin onayı ile 23 Mart 2018 tarihinde “Clarifying Lawful Overseas Use of Data Act”,1 yani kısaca CLOUD Yasası olarak bilinen yasal düzenleme, (metnin devamında her ne kadar açılımını tam olarak karşılamasa da kullanım kolaylığı sağlaması nedeni ile “BULUT” Yasası olarak bahsedilecektir) yürürlüğe girmiştir. Yasa, iletişim ve bulut hizmeti sağlayıcılarının sunucularında depolanan verilere Amerika Birleşik Devletleri kolluk kuvvetlerinin erişime yetkisini düzenlemektedir. Bu düzenleme ile kolluk kuvvetlerini Amerika Birleşik Devletleri sınırları dâhilinde ve sınır dışı ülkelerde depolanan verilere talepte bulunmasının ardından erişim sağlamasına yönelik mekanizma hukuki zemine oturtulmuştur.
Yasa, veri güvenliğine ilişkin pek çok soru işaretini de beraberinde getirmiştir. Amerikan Adalet Bakanlığı tarafından 2019 yılında Bulut Yasası hakkında yayınlanan bir bilgilendirme yazısında (White Paper)2 yasal düzenlemenin, siber suçlar ve çocukların cinsel istismarı suçlarının daha hızlı önlenebilmesi için merkezleri Amerika’da bulunan servis sağlayıcılarından gerekli bilgilerin daha hızlı edinilmesi amacı ile düzenlediği ifade edilmektedir. Bu bağlamda Budapeşte Konvansiyonu3 ile uyumlu hareket ettiği belirtilen Bulut Yasasının temelde internet üzerinde işlenen suçlar ile mücadele edilmesi amacı ile hazırlanan bir yasal düzenleme olduğu da White Paper’da yer almaktadır. Yasanın temelde çözmek istediği sorun; servis sağlayıcılarının şirket merkezlerinin bulunduğu ülkenin kanunlarını mı yoksa bünyelerinde bulunan kişisel veri sahiplerinin vatandaşı oldukları ülkenin kanunlarını mı uygulayacakları sorusudur. Bu sorunun başka bir boyutu ise; servis sağlayıcılarının kendi ülkelerinde depoladıkları veya başka bir ülkenin sınırlarında bulunan bir depolama alanındaki verilerin paylaşılmasının hukuki zemini idi. Bulut Yasası, bu belirsizliği de servis sağlayıcılarının başka ülkelerde bulunan veri depolama merkezlerinin de bu yasaya tabi olduğu şeklinde düzenlemiştir.
Bulut Yasasından önce merkezleri Amerika’da bulunan yerleşik servis sağlayıcıları, verilere erişim talebinde bulunan yabancı ülkelerden gelen talepleri (Mutual Legal Assistance Treaties) mahkemelerde itiraz edebilme haklarına sahiplerdi. Ancak Amerika Birleşik Devletleri Bulut Yasasıyla birlikte, veri paylaşımı sistematiğini kendi lehine olacak şekilde kolaylaştırmıştır. Bu durum, Yasanın 2523 sayılı başlığında yer alan yabancı hükümetler ile yapılacak verilere erişim konusunda uluslararası anlaşmalar bölümü ile anlaşılmaktadır. Bu bölümde yer alan hükümler ile yabancı hükümetler ile veri paylaşımı konusunda uluslararası anlaşmalar yapılması öngörülmüş, bu anlaşmalar kapsamında servis sağlayıcılarının anlaşmaya taraf devletler ile veri paylaşımı hususu kolaylaştırılmıştır.
Bulut Yasası kapsamında Amerika Birleşik Devletleri ile ilk uluslararası veri transferi anlaşması; Birleşik Krallık ile 3 Ekim 2019 tarihinde imzalanmıştır. Anlaşma, her iki ülke için de, diğer ülke sınırları içerisinde bulunan Hizmet Sağlayıcılarından doğrudan veri aktarımı için ulusal yasal düzenlemelerinde değişiklikler yapılmasını öngörmektedir. Anlaşmayla birlikte, önceden iki ülke arasında uzun sürecek bir bürokrasi sürecinden sonra elde edilebilecek veriler, artık usulüne uygun olarak alınmış mahkeme kararları ile birlikte yerel uygulayıcıların başvurusu ile çok daha kısa bir sürede temin edilebilecek.4
Bulut Yasasının ve Yasa kapsamında hazırlanan sözleşmelerin amacı, uluslararası boyutları olan ceza soruşturmalarını hızlandırmak olsa da, hem ABD’de hem diğer ülkelerde kişilerin mahremiyeti konusunda pek çok tartışmayı beraberinde getirmekte olduğu su götürmez bir gerçektir. Tartışmaların merkezinde olan Schrems kararları ile Bulut Yasası hakkındaki değerlendirmelerimiz aşağıda dikkatlerinize sunulmaktadır.
II. Schrems II Kararı ve Bulut Yasası
Bir avukat ve gizlilik aktivisti olan Avusturya vatandaşı Maximilian Schrems’in 25 Haziran 2013’te İrlanda Veri Koruma Otoritesine yapmış olduğu başvuru ile başlayan hukuki süreç Avrupa Adalet Divanı’nın (CJEU) 16 Temmuz 2020 tarihinde vermiş olduğu karar5 ile sona erdi. Karar, uluslararası veri paylaşımı konusunda önceki içtihatları değiştirmesi nedeniyle büyük önem arz etmektedir.
Başvurucu Mr. Schrems’in bu hukuki sürecin başlangıcındaki talebi, merkezi İrlanda’da bulunan Facebook Inc. şirketinin kendisine ait verilerini Amerika’da yer alan merkezi ile paylaşmamasıydı. Mr. Schrems’in talebinin dayanağı ise, Amerika’da yer alan şirketlerin devletin gözetleme faaliyetlerine karşı yeterli koruma sağlayamadıklarıydı. Bu nedenle kendisinin temel hak ve özgürlüklerinden olan özel hayatın gizliliği hakkının ihlale uğradığı ve bu duruma son verilmesi başvuruda yer alan taleplerinden birisidir.
İrlanda Veri Koruma Otoritesi bu başvuruyu, Avrupa Komisyonu’nun Amerika’nın sağladığı koruma seviyesinin uygun olduğuna ilişkin 2000/520 sayılı Güvenli Liman (Safe Harbor) Kararı’na6 dayanarak reddetti. Mr. Schrems karara karşı İrlanda Yüksek Mahkemesi’ne başvurdu. Bu başvuru üzerine Yüksek Mahkeme, Güvenli Liman Kararı’nın yorumlanması ve geçerliliği ile ilgili bir karar vermesi için Adalet Divanı’na başvurdu.
Adalet Divanı, 6 Ekim 2015 tarihinde vermiş olduğu ilk Schrems kararı7 ile 2000/520 sayılı Güvenli Liman Kararı’nı geçersiz kıldı. Bunun üzerine İrlanda Yüksek Mahkemesi, Mr. Schrems’in başvurusunun reddedilmesine ilişkin kararı iptal etti ve yeniden bir karar vermesi için İrlanda Veri Koruma Otoritesine geri gönderdi. Kararın hemen ardından Avrupa Birliği ve Amerika Birleşik Devletleri transatlantik veri aktarımını yeniden hukuki bir zemine oturtturmak için Standart Sözleşme Maddeleri’ni (Standard Contractual Clauses) hayata geçirdi. Bu değişikli ile Güvenli Liman Kararı yerini Standart Sözleşme Maddeleri’ne bıraktı.
İrlanda Veri Koruma Otoritesince yeniden başlatılan değerlendirme sırasında, Facebook İrlanda tarafından Amerika’ya yapılan veri transferinin büyük ölçüde Standart Sözleşme Maddeleri Kararı (Standard Contractual Clauses) uyarınca gerçekleştirildiği anlaşıldı.8 İrlanda Veri Koruma Otoritesince başvurusu düzenlenmesi istenen Mr. Schrems, başvurusunda bu kez, Facebook Inc. tarafından Amerika’ya aktarılan verilerinin Amerikan istihbarat otoritelerinin erişimine açık olmasının Avrupa Birliği Temel Haklar Bildirgesinde yer alan haklarını ihlal ettiği gerekçesi ile başvurusunu güncelledi. Mr. Schrems, güncellenen başvurusu ile Standart Sözleşme Maddeleri Kararının ortaya çıkış amacı ile bağdaşmayan bu uygulamaya son verilmesini talep etti. Mr. Schrems’in şikâyeti SCC Kararı’nın geçerliliğine ilişkin bir soru işareti doğurduğu için İrlanda Veri Koruma Otoritesi, Schrems Kararı’na dayanarak, Adalet Divanından ön karar istemesi için Yüksek Mahkemeye başvurdu. Yüksek Mahkeme, 4 Mayıs 2018 tarihinde Adalet Divanı’na başvurdu. Adalet Divanı tarafından yapılan bu değerlendirmede; standart sözleşme maddelerinin hukuka uygunluğu değerlendirildi.
Avrupa Adalet Divanı, 16 Temmuz 2020 tarihinde Schrems II olarak bilinen kararını yayınladı. Kararın öne çıkan ayrıntıları kısaca şöyledir;
- Kişisel verilerin üçüncü ülkelere aktarılabilmesi için ilgili kişilere GDPR uyarınca AB’de teminat altına alınan korumaya eşdeğer bir koruma sağlanmış olmalıdır.
- Gizlilik Kalkanı Kararı bakımından Adalet Divanı, karar geçerli olduğu sürece bir veri koruma otoritesinin ABD’nin uygun seviyede koruma sağlamadığı gerekçesiyle Gizlilik Kalkanı uyarınca veri aktarımının yapılamayacağı şeklinde karar vermiştir.
- Standart sözleşme maddeleri açısından ise, Adalet Divanı standart sözleşme maddelerini uygun seviyede koruma sağlamanın yollarından biri olarak kabul etmekle birlikte, maddelerin kullanımı sırasında bir takım ilave önlemlerin de alınması gerektiği yönüne karar vermiştir. Başka bir ifadeyle Adalet Divanı, standart sözleşme maddelerinin geçerliliğini koruduğu şeklinde karar vermiştir.
