Yedi sivil toplum örgütü, Avrupa Komiseri Michael McGrath’ı, ülkenin devam eden gizlilik ve veri hakları erozyonu konusundaki büyük kaygıları belirterek İngiltere’nin veri yeterlilik durumunu iptal etmeye çağırıyor.
McGrath’e 3 Haziran 2025 tarihli açık bir mektupta yazan kuruluşlar, İngiltere’deki mevcut veri işleme uygulamalarının – hükümetin gelecek veri reformları ile birlikte – Avrupa veri koruma standartlarından önemli bir ayrışmayı temsil ettiğini savunuyor.
Avrupa Veri Hakları (EDRI), Now, Statewatch ve Gizlilik Uluslararası Sivil Toplum grupları, İngiltere’ye Avrupa Komisyonu (EC) tarafından yeterlilik verildiğinden, “İngiltere’nin gizlilik ve veri korumasının sürekli ve sistemik bir erozyonu gördüğünü” söyledi.
Avrupa Birliği’nin (AB) Genel Veri Koruma Yönetmeliği (GDPR) ve Kolluk Direktifi’nde (LED) belirtilen standartlardan sapmanın, Avrupa vatandaşlarının temel haklarını zaten zayıflattığını belirten gruplar, İngiltere hükümetinin önerilen veri kullanımı ve erişim faturası (DUAB) tarafından “bu bozulmanın daha da artırılacağını” söyledi.
“İngiltere gibi üçüncü ülkelerin AB ile sınırsız kişisel veri akışlarından yararlanmasına izin verirken, aynı zamanda evde yasal güvenceleri sadece AB’deki insanların haklarını tehlikeye atmakla kalmaz, aynı zamanda AB’nin veri koruma çerçevesinin güvenilirliğini de zayıflatır, AB işletmelerini haksız rekabete maruz bırakır ve sendikanın düzenleyici liderliğinin küresel liderliğini devalüe eder”.
“İngiltere hükümetinin önerdiği reformlar ve son eylemler İngiltere’nin verilerini ve gizlilik korumalarını zorla tehdit ediyor. Bu iş statüsü belirsizliği artıracak ve bireyleri ve işletmeleri tehdit edecek.”
EC’den belirleyici bir eylem olmadan, Avrupa Birliği Adalet Mahkemesi (CJEU) tarafından taze İngiltere yeterlilik kararlarının alınabileceğini “önemli bir risk” olduğunu da sözlerine ekledi.
AB’den çıkarken İngiltere, blok kuralları uyarınca bir “üçüncü ülke” haline geldi, bu da EC’nin ülkenin veri koruma çerçevesinin ve uygulamalarının AB vatandaşlarının verileri için esasen eşdeğer bir koruma düzeyi sağlayıp sağlamadığını periyodik olarak değerlendirmesi gerektiği anlamına geliyor.
Başlangıçta İngiltere’nin hem GDPR hem de LED kapsamında ayrı bir yeterlilik statüsüne verdikten sonra, EC, gelecekteki veri koruma yasaları Avrupa’dan önemli ölçüde ayrılıyorsa kararın iptal edilebileceği konusunda açıktı.
Sorunlu Veri Koruma Uygulamaları
“Gizlilik ve veri koruma önlemlerinin sistematik olarak zayıflamasını temsil edecek” DUAB önerileri hakkında yorum yapmak-sivil toplum grupları, tasarının otomatik karar vermeye tabi olmama hakkını azaltacağını; Veri işleme veya transferlerin yasallığı etrafında karar verirken parlamento incelemelerini atlatmalarını sağlayacak İngiltere bakanlarına “kapsamlı” yasama gücü devrediyor; ve aksi takdirde hükümet ve kolluk kuvvetlerine kişisel verilere “geniş erişim” vermek.
DUAB’ın kuruluşların veri koruma standartlarına sahip açıkça daha düşük veri koruma standartlarına sahip yargı alanlarına aktarmalarına izin vereceğini ve İngiltere’yi “veri aklama merkezine” dönüştüreceğini de sözlerine ekledi.
Gruplar ayrıca DUAB dışında olumsuz veri koruma sonuçları ile diğer yasal girişimleri vurguladılar. Bu, GDPR’nin “temel ilkeleriyle uyumsuz” olduğunu iddia ettikleri ve Avrupa vatandaşlarının verilerini İngiltere istihbarat hizmetlerine ve terörle mücadele mevzuatına tabi tutacağı için önümüzdeki sınır güvenliği, sığınma ve göçmenlik faturasını içermektedir.
Ayrıca, yaklaşan Dolandırıcılık Bill’in milyonlarca fayda davacının banka hesaplarını sürekli algoritmik gözetim altına alacağını ve bankaların bakanların “spekülatif takdirine” insanların hassas finansal bilgilerini ifşa etmeye zorlandığını belirttiler. Bu tür banka hesabı izlemesinin, bir bireyin İngiltere’de bulunup gelmediğine bakılmaksızın gerçekleşebileceğini söylediler.
Bununla birlikte, paylaşılan endişeler gelecek yasama önerileriyle sınırlı değildi ve mevcut veri koruma uygulamaları ile ilgili sorunları içeriyordu. Örneğin, Bilgi Komiseri Ofisi’nin (ICO) bağımsızlığı ile ilgili olarak, gruplar hukukun tüm gücünü taşıyan düzenleyici eylemleri gerçekleştirme konusundaki suskunu vurguladılar.
“2024’te ICO, yalnızca, yanıt verdiklerinde hukukun gücünden yoksun olan eylemleri tercih eden 25.582’den bir şikayette düzenleyici eylemde bulunduklarını ortaya koyan istatistikler yayınladı” diye yazdı.
“ICO’nun üstünlüğünden endişe duyuyoruz. [these] Eylemler… ICO’nun İngiltere veri deneklerinin etkili düzeltme hakkı pahasına İngiltere işletmeleri için yenilik veya büyümeyi engellememek için aldığı siyasi baskının bir belirtisidir. ”
Ayrıca, veri düzenleyicisinin, Haziran 2024’te Microsoft’un Azure platformunda barındırılan polis verilerinin egemenliğini garanti edemeyeceğini açıkladıktan sonra, İngiltere Polisliği’nin hipers ölçekli kamu bulut altyapısı kullanımı hakkındaki açık veri koruma endişelerini resmi olarak araştırmama kararını vurguladılar.
İskoç Biyometri Komiseri’nin bilgisayar tarafından haftalık olarak belirlenen sorunları araştırmaya yönelik çağrılara rağmen, “ICO müdahale etmeyi reddetti… polis bulut altyapısının yasallığı üzerinde karar vermenin İngiltere-ABD bulut eylemi anlaşmasının işleyişini hayal kırıklığına uğratacağı endişelerini belirtti”.
Computer Weekly’nin polis hiper ölçekli bulut kullanımı hakkındaki önceki raporları, bu hizmetlerin İngiltere’nin kolluk kuvvetlerine özgü veri kurallarına uyma yeteneği ile ilgili büyük sorunları belirlese de, hükümetin polis işlemedeki DUAB değişiklikleri, zaten uyulmayan gereksinimleri kaldırarak belirlenen sorunları çözmeye çalışıyor.
Sivil toplum grupları tarafından gündeme getirilen diğer ciddi kaygılar arasında, “zorunlu ve orantılılığı değerlendirmek için etkili gözetim, şeffaflık veya mekanizma olmadan” ilerleyen Canlı Yüz Tanıma (LFR) teknolojisinin artan kullanımı ve Hükümetin ev ofisinde şifrelemede şifrelemeyi kaldırmaya zorlamak için gizli teknik yetenek bildirimlerinin (TCN’ler) kullanımı, Apple ile yakın zamanda yaptığı gibi, son zamanlarda Apple ile birlikte olduğu gibi.
EDRI politika danışmanı Itxaso Domínguez de Olazábal, “Yetki nezaket değil, verileri yurtdışına gönderildiğinde insanların temel haklarının korunması yasal bir garanti” dedi.
“İngiltere bu korumaları sistematik olarak geri alıyor ve bunu yaparken sadece AB halkının verilerini değil, hak temelli yönetişim ilkesi de riske atıyor. Eğer komisyon açık bir farklılığa rağmen yeterliliği genişletirse, rahatsız edici bir sinyal gönderir: ticaret veya jeopolitiklerin tehlikede olduğunda veri korumasının pazarlık edilebilir.”
Mektup hakkında yorum yapan açık haklar grubunda bir politika görevlisi olan Mariano Delli Santi, DUAB’ı “Birleşik Krallık’ta veri koruma ve gizlilik üzerine bir dizi saldırının sonuncusu” olarak nitelendirdi.
“Ardışık hükümetler sadece İngiliz halkına bu saldırılara zarar vermekle kalmıyor, aynı zamanda AB ile olan ilişkimizi zayıflatıyor. İngiltere’nin ekonomik görünümünü iyileştirmeye çalıştığı bir zamanda yeterlilik statüsümüzü kaybetmek, her ne pahasına olursa olsun kaçınılması gereken maliyetli bir yara olacak.”
Bilgisayar Haftalık Mektup hakkında Bilim, İnovasyon ve Teknoloji Departmanı (DSIT) ile temasa geçti, ancak yayınlama zamanına göre yanıt almadı. Hem departman hem de bakanlar daha önce ve defalarca DUAB’nin veri yeterliliği göz önünde bulundurularak hazırlandığını söyledi.
Computer Weekly de EC ile temasa geçti, ancak benzer şekilde yayın sırasında hiçbir yanıt almadı.