Avrupa Komisyonu (AK), ABD’ye veri yeterliliği tanıdı ve şirketlerin kişisel verilerini ek korumaya ihtiyaç duymadan Atlantik boyunca serbestçe aktarmalarına izin verdi.
Veri yeterliliği, özellikle transatlantik veri akışlarının güvenliğini artırmak ve Avrupa Adalet Divanı’nın (ECJ) AB-ABD Gizlilik Kalkanı verilerini iptal etmesinden kaynaklanan endişeleri gidermek için tasarlanan AB-ABD Veri Gizliliği Çerçevesi ile ilgili olarak verilmiştir. Temmuz 2020’de paylaşım sözleşmesi.
Mahkeme, davayı Avrupa Adalet Divanı’na götüren Avusturyalı avukattan sonra halk arasında Schrems II olarak bilinen kararında, önceki anlaşmanın ABD Ulusal Güvenlik Teşkilatı (NSA) tarafından veriler toplanırken Avrupa vatandaşlarına yeterli tazminat hakkı sağlamadığını söyledi. ve diğer ABD istihbarat servisleri.
Karar ayrıca, uluslararası veri aktarımları için standart sözleşme maddelerinin (SCC’ler) temel alınmasının yasallığı konusunda şüphe uyandırdı ve bunların yasal olarak geçerli olmalarına rağmen, şirketlerin verileri paylaştıklarının verili gizlilik korumalarına eşdeğer olmasını sağlama sorumluluğuna sahip olduğunu tespit etti. AB hukukunda yer alanlara.
Schrems II’den bu yana Komisyon, mahkemenin gündeme getirdiği sorunları ele alabilecek yeni bir veri paylaşım çerçevesinin oluşturulması konusunda Washington ile görüşmelerde bulunuyor ve iki taraf Mart 2022’de üst düzey bir “prensipte” anlaşmaya varıyor. ABD tarafından belirli güvenceler sağlanırsa düzenleme imzalanabilir.
Bu, ABD’nin ABD sinyal istihbaratı üzerindeki denetimini genişletmeyi, sivil özgürlüklere ilişkin güvenceleri güçlendirmeyi ve verilerinin kötüye kullanıldığına inanmaları durumunda AB vatandaşlarına tazmin hakkı verecek yeni bir bağlayıcı yasal mekanizma oluşturmayı kabul etmesini içeriyordu.
Bu değişiklikler daha sonra ABD yasalarında, başkan Joe Biden tarafından imzalanan Ekim 2022 Yürütme Emri ve aynı ay ABD başsavcısı Merrick Garland tarafından yayınlanan ve AK’nin ABD lehine bir taslak veri yeterliliği kararı vermesine yol açan düzenlemeler aracılığıyla ABD yasalarına uygulandı. o Aralık.
Artık veri yeterliliği sağlandığı için, yeni Veri Gizliliği Çerçevesi, AB vatandaşlarının erişebileceği bir Veri Koruma İnceleme Mahkemesi (DPRC) oluşturmayı içeren – ABD istihbarat servislerinin AB verilerine erişimini sınırlandıran “bağlayıcı güvenceler” oluşturuyor. gerekli ve orantılıdır ve şirketlerin, toplanma amacı için artık gerekli olmadığında kişisel verileri silmelerini gerektirir.
“Yeni AB-ABD Veri Gizliliği Çerçevesi, Avrupalılar için güvenli veri akışı sağlayacak ve Atlantik’in her iki yakasındaki şirketlere yasal kesinlik getirecek. AB Başkanı Ursula von der Leyen, “ABD, geçen yıl Başkan Biden ile varılan ilkesel anlaşmanın ardından, yeni çerçeveyi oluşturmak için benzeri görülmemiş taahhütleri hayata geçirdi” dedi.
“Bugün, vatandaşlara verilerinin güvende olduğu konusunda güven sağlamak, AB ile ABD arasındaki ekonomik bağlarımızı derinleştirmek ve aynı zamanda ortak değerlerimizi yeniden teyit etmek için önemli bir adım atıyoruz. Birlikte çalışarak en karmaşık sorunları çözebileceğimizi gösteriyor.”
AB ile ABD arasında veri paylaşmak istiyorlarsa, Atlantik’in her iki yakasındaki şirketlerin artık çerçeveye kaydolması gerekecek ve bu çerçeve AK, Avrupa veri koruma kuruluşları ve ABD yetkili makamları tarafından periyodik olarak incelenecek.
İlk gözden geçirme, ilgili tüm unsurların ABD yasal çerçevesinde tam olarak uygulandığından ve uygulamada etkin bir şekilde işlediğinden emin olmak için yeterlilik kararının verildiği yıl içinde gerçekleştirilecektir.
AB yeterlilik kararının duyurulması, Birleşik Krallık ve ABD hükümetlerinin resmi olarak AB-ABD Veri Gizliliği Çerçevesinin Birleşik Krallık Uzantısı olarak anılan Haziran 2023’ün başlarında yeni bir veri köprüsü anlaşmasını ilke olarak taahhüt etmelerini takip eder.
Veri köprüsü duyurusunu, Temmuz 2023’ün başlarında, küresel olarak serbest veri akışını kolaylaştırmak için Nisan 2022’de kurulan Küresel Sınırlar Arası Gizlilik Kuralları (CBPR) forumunda Birleşik Krallık’a “ortak” statüsü verildiğine dair başka bir duyuru izledi. farklı veri koruma çerçeveleri arasında birlikte çalışabilirlik elde edin.
AK daha önce, AB’den ayrılmasının ardından Birleşik Krallık’a Haziran 2021’de kişisel verilerin bloğa ve bloktan serbest akışının devam etmesine izin vererek veri yeterliliği vermişti, ancak gelecekteki veri koruma yasaları önemli ölçüde farklılaşırsa kararın yine de iptal edilebileceği konusunda uyardı. Avrupa’dakiler.
tepkiler
Teknoloji sektörü, üç yıllık yasal belirsizliği sona erdirdiği gerekçesiyle yeterlilik kararına olumlu yanıt verdi.
Örneğin teknoloji sektörü lobi grubu TechUK’un CEO’su Julian David, çerçevenin işletmelere netlik ve yasal kesinlik sunan “önemli ve uzun zamandır beklenen bir dönüm noktası” olduğunu söyledi.
“Artık üyelerimiz, Birleşik Krallık ve ABD hükümetleri ile Birleşik Krallık işletmelerinin sertifikalı ABD kuruluşlarına ücretsiz olarak veri aktarmasına olanak tanıyacak ve dijital ticarette milyarlarca dolar değerinde alışverişi kolaylaştıracak Birleşik Krallık-ABD veri köprüsünü tamamlamak için çalışmayı dört gözle bekliyoruz.” dedi David.
Bilgisayar ve İletişim Endüstrisi Derneği’nin (CCIA Europe) kamu politikası direktörü Alexandre Roure da işletmeler için “büyük bir atılım” olarak nitelendirdiği kararı memnuniyetle karşıladı. Yıllarca bekledikten sonra, Atlantik’in her iki yakasındaki her büyüklükteki şirket ve kuruluşun nihayet kalıcı bir yasal çerçevenin kesinliğine kavuştuğunu da sözlerine ekledi.
“Her şeyden önce, üye devletlerin bu çıkmaza son verme kararlarını alkışlıyoruz, ancak CCIA ayrıca veri akışlarını kolaylaştırırken aynı zamanda bireylerin haklarını koruyan yeni bir mekanizma oluşturmak için sıkı çalışmaları için Komisyon’a ve ABD hükümetine teşekkür etmek istiyor. dedi.
Hunton Andrews Kurth hukuk firmasının ortaklarından David Dumont, Schrems II’nin Gizlilik Kalkanını geçersiz kılmasından bu yana ABD’nin hükümet gözetim faaliyetlerine ilişkin yasal çerçevesinin “önemli ölçüde değiştiğini” ekledi.
“ABD, kişisel verilere erişimi sınırlayan yasal güvenceler koydu ve Veri Koruma İnceleme Mahkemesi gibi daha sağlam gözetim mekanizmaları uygulamaya koydu” dedi.
“Avrupa Komisyonu, yeni transatlantik veri aktarım çerçevesinin Schrems II konularını yeterince ele alacağına ve yeni yeterlilik kararının, Avrupa Birliği Adalet Divanı’nda yapılacak bir itirazdan büyük olasılıkla kurtulacağına ikna olmuş görünüyor. çerçevede ortaya konan yeni güvenceler, AB’deki güvencelere esasen eşdeğer kabul edilmek için yeterlidir.”
Değişikliklerin ışığında, daha fazla yasal itirazın başarılı olmasının pek olası olmadığını da sözlerine ekledi: “İnsanların konuyla ilgili sabrını bir şekilde yitirdi ve kuruluşlar yasal kesinlik ve onaylandıktan sonra karara güvenebileceklerine dair güvence arıyorlar. .
“Yeni yeterlilik kararı ABAD tarafından bir kez daha iptal edilirse, kuruluşlar başarılı bir AB-ABD veri aktarım çerçevesinin fizibilitesine olan inancını kaybedebilir ve verileri meşrulaştırmak için tek ve kalıcı çözüm olarak AB Standart Sözleşme Maddelerine dönebilir. Amerika’ya transfer.”
Schrems, ‘Yasada önemli bir değişiklik yok’ diyor
Bununla birlikte, dijital haklar örgütü noyb başkanı ve Privacy Shield’a meydan okuyan avukat Max Schrems, “büyük ölçüde başarısız olan Privacy Shield anlaşmasının bir kopyası” olduğunu söylediği karara itiraz etmeyi çoktan taahhüt etti.
“Deliliğin tanımının aynı şeyi tekrar tekrar yapıp farklı bir sonuç beklemek olduğunu söylüyorlar. Tıpkı Gizlilik Kalkanı gibi, son anlaşma da maddi değişikliklere değil, siyasi çıkarlara dayanıyor. Bir kez daha mevcut Komisyon, karmaşanın bir sonraki Komisyonun sorunu olacağını düşünüyor gibi görünüyor” dedi.
“Artık Limanlarımız, Şemsiyelerimiz, Kalkanlarımız ve Çerçevelerimiz vardı – ancak ABD gözetim yasasında önemli bir değişiklik olmadı. Bugünkü basın açıklamaları, geçtiğimiz 23 yılın basın açıklamalarının adeta birebir kopyası. Sadece bir şeyin ‘yeni’, ‘sağlam’ veya ‘etkili’ olduğunu duyurmak onu Adalet Divanı önünde kesmez. Bunun işe yaraması için ABD gözetim yasasında değişikliklere ihtiyacımız var – ve bizde yok.”
Noyb’ye göre sorunun büyük bir kısmı, ABD’nin, ABD dışındaki kişilerin ABD vatandaşı olmadıkları sürece hedefli olarak izlenmesine izin veren Yabancı İstihbarat İzleme Yasası’nın (FISA) 702. bölümünde reform yapmayı reddetmesidir. vatandaş.
FISA yasaları uyarınca verilen herhangi bir mahkeme emri aynı zamanda, alıcıların emri aldıklarını başkalarına bildirmelerini engelleyen yasal bir araç olan bir gag emriyle birlikte gelir.
Noyb, FISA 702’nin yasadaki ‘geçersiz maddeler’ nedeniyle ABD tarafından 2023’ün sonuna kadar uzatılması gerektiğini de sözlerine ekledi: “Bu, ABD yasalarını iyileştirmek için mükemmel bir fırsat olurdu, ancak AB ile yeni anlaşma göz önüne alındığında, ABD’nin FISA 702’de reform yapması için küçük bir neden olacaktır.”