Avrupa Komisyonu, İngiltere ile veri yeterliliği anlaşmasını yenileyerek Avrupa Birliği (AB) ile altı yıl daha serbest veri akışını garanti ediyor.
Anlaşma, Birleşik Krallık’ın veri koruma çerçevesinin, iki Avrupa düzenlemesine (Genel Veri Koruma Yönetmeliği (GDPR) ve Kanun Uygulama Direktifi (LED)) dayalı olarak AB ile eşdeğer korumalara sahip olduğunun kabul edilmesini sağlar. Mevcut yeterlilik düzenlemesinin 27 Aralık’ta sona ermesi planlanıyordu ancak artık 2031’deki aynı tarihe kadar devam edecek.
Dijital Hükümet ve Veri Bakanı Ian Murray, X’teki (eski adıyla Twitter) bir gönderide karardan “heyecanlandığını” söyledi.
“AB’nin Birleşik Krallık’a yönelik iki yeterlilik kararını yenilemesini memnuniyetle karşılamaktan heyecan duyuyorum. Büyümeyi, yenilikçiliği ve güvenliği desteklemek için Birleşik Krallık ile AB arasında güvenli, güvenilir veri akışlarını sağlamaya kararlıyız” diye yazdı.
Avrupa Komisyonu’nun teknoloji egemenliği, güvenlik ve demokrasiden sorumlu başkan yardımcısı Henna Virkkunen, veri yeterliliğinin yenilenmesinin Kanal’ın her iki yakasındaki işletmelere ve vatandaşlara fayda sağladığını söyledi.
“Bu, maliyetleri ve idari yükleri azaltırken veri koruma kurallarına tam uyum içinde Avrupa Ekonomik Alanı ile Birleşik Krallık arasında kişisel verilerin serbest akışını sağlar. Bu süreklilik, Avrupalı şirketlerin Birleşik Krallık’taki ortaklarıyla sorunsuz bir şekilde veri paylaşmaya devam etmelerine olanak tanıyarak yenilikçiliği, rekabet gücünü ve güvenilir dijital işbirliğini destekler.”
Birleşik Krallık’ın bloktan ayrılmasının ardından AB ile veri yeterliliği kritik bir konu haline geldi ve orijinal 2021 anlaşması, 2018 Veri Koruma Yasası (DPA) tarafından getirilen önlemlere dayanıyordu.
Bu yılın haziran ayında hükümet, işletmelerin ve kamu sektörünün veri paylaşımını kolaylaştırmayı amaçlayan Veri (Kullanım ve Erişim) Yasası aracılığıyla Birleşik Krallık’ın veri koruma rejiminin bazı kısımlarını değiştirdi ve hükümet bunun bürokrasiyi kolaylaştıracağını ve verimliliği artıracağını iddia etti.
Çeşitli sivil toplum grupları Haziran ayında Avrupa’nın demokrasi, adalet, hukukun üstünlüğü ve tüketicinin korunmasından sorumlu komisyon üyesi Michael McGrath’a bir mektup yazarak, mahremiyet ve veri haklarının aşınmasıyla ilgili önemli endişeleri öne sürerek ve Birleşik Krallık’ın yeni yeterlilik kararlarının Avrupa Adalet Divanı tarafından iptal edilebileceğine dair “önemli bir risk” uyarısında bulunarak AB’yi Birleşik Krallık’ın veri yeterliliği statüsünü iptal etmeye çağırdı.
“Birleşik Krallık gibi üçüncü ülkelerin AB ile sınırsız kişisel veri akışlarından yararlanmasına izin verirken aynı zamanda ülke içindeki yasal korumaları zayıflatmak yalnızca AB’deki kişilerin haklarını tehlikeye atmakla kalmıyor, aynı zamanda AB’nin veri koruma çerçevesinin güvenilirliğini de baltalıyor, AB işletmelerini haksız rekabete maruz bırakıyor ve Birliğin küresel sahnedeki düzenleyici liderliğinin değerini düşürüyor” diye yazdılar.
“Birleşik Krallık hükümetinin önerdiği reformlar ve son eylemleri, Birleşik Krallık’ın veri ve mahremiyet korumalarını tehlikeye atma tehdidinde bulunuyor. Bu durum belirsizliği artıracak ve hem bireyleri hem de işletmeleri tehdit edecek.”
Parlamentoda ayrıca, polisin hassas yasa uygulama verilerini işlemek için ABD merkezli hiper ölçekli bulut sağlayıcılarını kullanmasının, Yasa Uygulama Direktifi’ne uygunluğu riske atabileceğine dair uyarılar da vardı.
Haziran 2024’te Computer Weekly, Microsoft bulut hizmetlerine yüklenen Birleşik Krallık polis verilerinin, LED’in bariz bir ihlaliyle bazı işleme biçimleri için rutin olarak denizaşırı gönderildiğini ortaya çıkardı.
Mart ayında Lordlar Kamarası’nda yapılan bir tartışma sırasında, Liberal Demokrat meslektaşı Tim Clement-Jones, bulut hizmeti sağlayıcılarının verileri Birleşik Krallık dışında nasıl rutin olarak işlediğini ve LED’deki önlemleri uygulayan DPA’nın Üçüncü Kısmı uyarınca polis teşkilatlarına sözleşmeye dayalı garantiler sağlayamadıklarını vurguladı: “Sonuç olarak, kolluk kuvvetlerinin veri işlemesi için kullanımları, görünüşte yasal değil” dedi.
Hükümet, bu aktarım gerekliliklerine uyum eksikliğini ortadan kaldırmak için bunları yeni veri kanununun kapsamı dışında bıraktı.
O dönemde Clement-Jones, “Hükümetin yasayı değiştirme girişimleri, sorunu vurguluyor ve bulut hizmet sağlayıcılarındaki geçmiş işlemlerin Birleşik Krallık GDPR ve DPA ile uyumlu olmadığını gösteriyor” dedi.
Veri yeterliliğinin yenilenmesine ilişkin yorum yapan Avrupa Komiseri McGrath, “Birleşik Krallık, Avrupa Birliği için önemli bir stratejik ortaktır ve yeterlilik kararları bu ortaklığın temel dayanağını oluşturmaktadır.
“Kişisel verilerin serbest akışını sağlayarak, adalet ve yasa uygulama alanlarında hem ticari alışverişi hem de işbirliğini destekliyorlar. Bunların yenilenmesi, Komisyon’un, Birleşik Krallık’ın yasal çerçevesinin, son yasal gelişmeler bağlamı da dahil olmak üzere, AB standartlarıyla yakından uyumlu olan kişisel veriler için sağlam korumalar sağlamaya devam ettiği yönündeki değerlendirmesini yansıtıyor.”