Yeni bir ABD-AB veri aktarım anlaşmasının yakında yürürlüğe girmesini ve sınır ötesi veri aktarımı için gerekli olan külfetli yasal işleri hafifletmesini bekleyen binlerce şirket umutlarını yitirmemeli. ABD Başkanı Joe Biden’ın yasaların uygulanmasına yönelik icra emri Trans-Atlantik Veri Politikası Çerçevesi Kamu politikası ve hukuk uzmanları, bu yılın başlarında üzerinde anlaşmaya varılan anlaşmanın doğru yönde bir hareket olduğunu, ancak yeni anlaşmanın en erken önümüzdeki bahara kadar yürürlüğe girmeyeceğini ve o zaman bile yasal zorluklarla karşı karşıya kalacağını söylüyor.
bu icra emriBiden tarafından 7 Ekim’de imzalanan , Amerikan istihbarat teşkilatları tarafından elektronik gözetlemeye yeni kısıtlamalar getiriyor ve Avrupalılara kişisel bilgilerinin ABD istihbarat teşkilatları tarafından yasa dışı bir şekilde kullanıldığına inandıklarında şikayette bulunmaları için yeni yollar sunuyor.
Hareket, Avrupa Adalet Divanı’ndan iki yıl sonra geldi Gizlilik Kalkanı olarak bilinen önceki AB-ABD veri paylaşım anlaşmasını kapatın ABD’nin, özellikle devlet gözetimi ile ilgili olarak, kişisel veriler için yeterli koruma sağlamadığı gerekçesiyle 2020’de.
Yeni Trans-Atlantik Veri Politikası Çerçevesi, ABD gizlilik korumalarını iyileştirmeyi, Gizlilik Kalkanını değiştirmeyi ve nihayetinde beklenen yasal zorluklar ortaya çıktığında Adalet Divanı incelemesini geçmeyi amaçlıyor. Bununla birlikte, hem Biden İdaresi hem de Avrupa Komisyonu’nun yeni önerilen veri anlaşmasını onaylayan açıklamalar yayınlamasına rağmen, İngiltere merkezli uyum uzmanları Cordery’de bir uyum ve teknoloji avukatı olan Jonathan Armstrong’a göre, bitmiş bir anlaşma olmaktan çok uzak.
“Hem Beyaz Saray hem de Avrupa Komisyonu kendilerine güvendiklerini söylüyor olabilir, ancak daha önce de bu yola girdik ve her iki taraf da Gizlilik Kalkanı’nın yargı denetimine karşı koyacağını söyledi. Olmadı,” dedi Armstrong.
Trans-Atlantik Veri Politikası Çerçevesi için sırada ne var?
İlk olarak, AB, Biden’ın yürütme emriyle oluşturulan yeni kuralların, trans-Atlantik çerçevesinde üzerinde anlaşmaya varılan standartları karşılamaya yeterli olduğunu ve bunun da AB’ninkine eşdeğer gizlilik korumaları sunmak üzere hazırlanmış olduğunu onaylamalıdır. GDPR (Genel Veri koruma Yönetmeliği).
Önümüzdeki birkaç ay içinde, AB’nin yürütme organı olan Avrupa Komisyonu, bir yeterlilik kararı taslağı önerecek ve Avrupa Veri Koruma Kurulu (EDPB) ile istişareyi ve Avrupa Veri Koruma Kurulu’nun (EDPB) temsilcilerinden oluşan bir komiteden onay almayı içeren bir kabul prosedürü başlatacak. AB üye ülkeleri, bir Komisyon beyanı.
Armstrong, Avrupa Parlamentosu’nun da anlaşmayı onaylanmadan önce incelemek isteyeceğini söyledi.
Bu arada, GDPR ihlalleri nedeniyle Facebook’a yönelik şikayetleri Gizlilik Kalkanı’nın ve onun öncül anlaşması Safe Harbor’ın feshedilmesine yol açan Avusturyalı aktivist ve avukat Max Schrems, baskı grubu NOYB ile anlaşmaya itiraz edebileceğini zaten söyledi.
“İlk bakışta, temel sorunlar çözülmemiş gibi görünüyor ve ABAD’a geri dönecek. [Euopean Court of Justice] er ya da geç,” dedi Schrems Beyan NOYB tarafından yayınlandı.
Veri aktarımı eleştirmenleri toplu gözetimi hedefliyor
Schrems ve diğer eleştirmenlere göre, Biden’ın yürütme emri ve Trans-Atlantik Veri Politikası Çerçevesinin kendisiyle ilgili büyük bir sorun, ABD istihbarat teşkilatlarının kitlesel gözetimini yeterince ele almamasıdır.
Yürütme emri, ABD istihbarat faaliyetlerinin “yalnızca doğrulanmış bir istihbarat önceliğini ilerletmek için gerektiğinde ve yalnızca bu önceliğe orantılı ölçüde ve şekilde” yürütülmesini gerektirdiğini söylüyor. Ancak NYOB, AB hukuku aynı zamanda orantılı gözetim talep ederken, ABD’nin kitlesel gözetiminin uygulamada değişeceğine dair bir işaret olmadığını söyledi.
Buna ek olarak, Biden’ın emri, ABD Adalet Bakanlığı’nın gözetlemeyle ilgili şikayetleri ele almak için bir Veri Koruma İnceleme Mahkemesi kurmasını gerektirse de, NYOB’a göre, bu bir “fiili mahkeme” değil, daha ziyade ABD hükümetinin hukuk dalındaki bir organdır.
NYOB ayrıca, bir icra emrinin kanun değil, ABD başkanından hükümetin federal şubesine bir direktif olduğuna dikkat çekti.
Amerikan Sivil Özgürlükler Birliği (ACLU) lobi grubu da aynı fikirde.
ACLU Ulusal Güvenlik Projesi’nin kıdemli avukatı Ashley Gorski bir ACLU açıklamasında, “ABD gözetim rejimiyle ilgili sorunlar tek başına bir yürütme emriyle tedavi edilemez” dedi. “Gizliliğimizi korumak ve transatlantik veri aktarımlarını sağlam bir yasal temele oturtmak için Kongre anlamlı bir gözetim reformu yapmalıdır. Bu gerçekleşene kadar, ABD şirketleri ve bireyleri bedeli ödemeye devam edecek.”
Whitaker Solutions Küresel Veri Uyum Direktörü Tash Whitaker, anlaşmanın bir yeterlilik anlaşmasının gerekliliklerini karşılamasının muhtemel olmadığını söyledi. “Özellikle, yeni yürütme düzenindeki ifadelerde herhangi bir değişiklik olursa olsun, toplu gözetim muhtemelen olduğu gibi devam edecek. Ayrıca, iç hukukta veri sahipleri için yargısal tazmin ihtiyacı bulunmaktadır. Yürütme emri, bunun bir “Veri Koruma İnceleme Mahkemesine” atıfta bulunarak gerçekleştiğini öne sürüyor.
İşletmeler neden yeni bir Gizlilik Kalkanı istiyor?
İşletmeler, Atlantik ötesi veri aktarımlarını gerçekleştirmek için halihazırda gerekli olan zahmetli yasal müzakereleri azaltmak, bunu AB standartlarını karşılayacak şekilde yaptıklarından emin olmak ve AB tarafından yaptırım eylemlerinden kaçınmak için yeni bir veri aktarım anlaşmasının yürürlüğe girmesini istiyor. New York merkezli ticaret grubu Interactive Advertising Bureau’da (IAB) kamu politikasından sorumlu başkan yardımcısı Lartease Tiffith’e göre, Veri Koruma Yetkilileri (DPA)—AB’nin GDPR’sinin ihlalleriyle ilgili şikayetleri ele alan bağımsız kamu yetkilileri.
Tiffith’e göre, Gizlilik Kalkanı veya benzer bir anlaşmanın yokluğunda, şirketler veri aktarımlarının GDPR’ye uygun olarak yapıldığını doğrulamak için standart sözleşme maddeleri kullanır. “Bununla ilgili sorun, çok zahmetli olmalarıdır – onlara standart sözleşme maddeleri bile demem çünkü bazı yönlerden her birini müzakere etmeniz gerekir, bu nedenle standart muhtemelen yanlış bir isimdir.”
Tiffith, Privacy Shield’e kaydolan 5.000’den fazla ABD şirketinin neredeyse %70’inin, tüm veri sağlayıcılarıyla birden fazla sözleşme müzakere edecek kaynaklara sahip olmayan daha küçük şirketler olduğunu ve bunun büyük şirketler için de bir yük olduğunu söyledi.
Tiffith, Gizlilik Kalkanı ve yeni çerçevenin arkasındaki fikir, şirketlerin onaylanan yönergelere uyduklarını kendi kendilerine onayladıktan sonra, artık her tedarikçiyle bireysel veri gizliliği sözleşmeleri yapmak zorunda olmadıklarıdır.
Tiffith, “Diğer bir husus da, standart sözleşme maddelerinde bile, yeterli bir maddeye sahip olmadığınızı veya olması gereken her şeyi kapsamadığını tespit ettikleri takdirde şirketler DPA uygulamasına tabidir” dedi.
Veri aktarımı kurallarına ilişkin yasal zorluklar bekleniyor
Tiffith, Biden’ın yürütme emrinin doğru yönde atılmış bir adım olduğunu ve nihai bir anlaşma için zemin hazırladığını söyledi ve veri akışlarının tıp, siber güvenlik ve diğer teknolojilerin yanı sıra medya, reklam ve tüketim mallarının karşılıklı gelişimi için çok önemli olduğunu vurguladı. .
Öyle olsa bile, Tiffith, düzene yönelik erken eleştirileri göz önünde bulundurarak, anlaşmaya “yasal zorluklar olacağını” kabul etti.
Cordery uyum avukatı Armstrong, ABD ve AB yetkililerinden cesaret verici sözler almaları konusunda işletmeleri uyardı. Armstrong, “Özellikle veri aktarımıyla ilgili sorunlar ve olası zorluklar düşünüldüğünde, işletmelerin bu teselli sözlerine güvenmeleri için tehlikede olan çok fazla şey var” dedi.
Armstrong, AB onay süreci ve olası zorlukların bir sonucu olarak, yeni planın ertelenmesi gerektiğini ve siparişin en erken 2023 baharının sonlarına kadar yürürlüğe girme olasılığının düşük olduğunu söyledi. O zaman bile, çoğu kuruluşun, diğer uyumluluk önlemleri üzerinde çalışmaya devam ederken, özellikle de veri gönderdikleri kuruluşlar ve o yargı bölgesinde yürürlükte olan önlemler üzerinde çifte durum tespiti yaparken, bunu geçici bir anlaşma olarak görmek isteyeceğini söyledi. .
Whitaker, “Sonuç olarak, ABD’nin bunun arkasından bir tür AB yeterliliği elde etmesi mümkündür, ancak lobiciler mahkemede buna GDPR’den daha hızlı meydan okuyacağından muhtemelen kısa ömürlü olacaktır” dedi.
(Marc Ferranti tarafından ek raporlama)
Telif Hakkı © 2022 IDG Communications, Inc.