Avrupa Birliği genel veri koruma tüzüğü (GDPR) kapsamında AB dışına kişisel veri aktarımı
Yükleniyor...
Tarih
2022
Yazarlar
Dergi Başlığı
Dergi ISSN
Cilt Başlığı
Yayıncı
İstanbul Bilgi Üniversitesi
Erişim Hakkı
info:eu-repo/semantics/openAccess
Özet
ÖZET: Kişisel verilerin sınır ötesi aktarımları, teknolojinin gelişmesine ve internet kullanımının yaygınlaşmasına bağlı olarak büyük oranda artış göstermiştir. Bu artışla birlikte veri korumasına ilişkin endişeler ortaya çıkmış ve bu endişelere istinaden ülkeler kişisel verileri korumak için iç hukuklarında yasal düzenlemeler yapmıştır. Yapılan yasal düzenlemelerde veri korumasını bazı ülke mevzuatları ileri düzeyde sağlarken bazı ülke mevzuatlarının bu düzeyde sağlayamadığı görülmektedir. Veri korumasına ilişkin ülkelerin mevzuatları arasındaki bu farklılıklar verilerin aktarıldığı yerde korumasız kalmasına sebep olabilmektedir. Bu nedenle kişisel verilerin sınır ötesi aktarımı, veri korumasına yönelik yasal mevzuatlar içerisinde ayrıca düzenlenmiştir. Avrupa Birliği’nin (“AB”) güncel veri koruma mevzuatı olan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) yer alan kişisel veri aktarım mekanizmaları da, üçüncü ülkelerin yasal mevzuatlarının AB’ninkinden farklı olmasının meydana getireceği riskleri dikkate alarak, AB içinde kişisel veriler için sağlanan koruma seviyesinin üçüncü ülkelerde de aynı düzeyde sağlanması amacıyla düzenlenmiştir. Bu çalışmanın amacı, GDPR’da düzenlenen kişisel verilerin AB dışına aktarımının genel çerçevesini ve veri aktarım mekanizmalarını mevzuat ve uygulamada incelemektir. Bu kapsamda, öncelikle kişisel verilerin aktarılması konusunun anlaşılabilmesi ve GDPR’da yer alan aktarımlara ilişkin hükümlerin ne zaman uygulanacağının belirlenebilmesi açısından “üçüncü ülkelere aktarım” kavramı tanımlanarak aktarıma ilişkin genel ilkelerden bahsedilmiştir. Sonrasında GDPR’da yer alan aktarım mekanizmaları, amaç, etkinlik ve işleyiş açısından detaylı olarak incelenmiştir. Ardından söz konusu mekanizmalar, başta Schrems I ve Schrems II kararları olmak üzere Avrupa Birliği Adalet Divanı’nın (“ABAD”) güncel ve geçmiş kararları ışığında yorumlanarak, kararların aktarım mekanizmalarına etkisi değerlendirilmiştir. Çalışmada, Madde 29 Çalışma Grubu (Article 29 Working Party – “WP29”) ve Avrupa Veri Koruma Kurulu’nun (“EDPB”) GDPR’ın üçüncü ülkelere ve uluslararası kuruluşlara transferini düzenleyen hükümlerinin pratikte nasıl uygulanacağını gösteren ve söz konusu hükümleri yorumlayan belgeleri esas alınmıştır. Çalışmanın son bölümünde, yurtdışına kişisel veri aktarımı Türk Hukuku’nda incelenmiş ve Kişisel Verileri Koruma Kurulunun (“Kurul”) güncel kararlarının veri aktarımına etkileri ele alınmıştır. Son olarak, Kişisel Verileri Koruma Kanunu (“KVKK”) ile GDPR’ın karşılaştırması yapılmış ve yapılan karşılaştırmaya istinaden, KVKK’nın gelişimi için ihtiyaç duyduğu hususlara ilişkin önerilerde bulunulmuştur.
ABSTRACT: Cross-border transfers of personal data have greatly increased due to the development of technology and the widespread use of the internet. With this increase, concerns about data protection have emerged and countries have made legal arrangements in their domestic laws to protect personal data based on these concerns. In the legal regulations made, it is seen that while some countries legislations provide data protection at an advanced level, some countries legislations cannot provide this level. These differences between the legislation of the countries regarding data protection may cause the data to remain unprotected in the place where it is transferred. For this reason, the cross-border transfer of personal data is regulated separately within the legal regulations for data protection. The personal data transfer mechanisms included in the European Union General Data Protection Regulation (“GDPR”) numbered 2016/679, which is the current data protection legislation of the European Union ("EU"), have been arranged in order to ensure the level of protection provided for personal data in the EU in third countries, taking into account the risks that the legal legislation of third countries may pose from being different from that of the EU. The aim of this study is to examine the general framework of the transfer of personal data outside the EU regulated in GDPR and data transfer mechanisms in legislation and practice. In this context, first of all, the concept of "transfer to third countries" has been defined and general principles regarding the transfer have been mentioned in order to understand the transfer of personal data and to determine when the provisions regarding the transfers in the GDPR will be applied. Afterwards, the transfer mechanisms in the GDPR were examined in detail in terms of purpose, effectiveness and function. Then, the mentioned mechanisms were interpreted in the light of the current and past decisions of the Court of Justice of the European Union (“CJEU”), especially the Schrems I and Schrems II decisions, and the effects of the decisions on the transfer mechanisms were evaluated. The study is based on the documents of the Article 29 Working Party (“WP29”) and the European Data Protection Board (“EDPB”), which show how the provisions of the GDPR regulating the transfer to third countries and international organizations will be applied in practice and interpret the said provisions. In the last part of the study, the transfer of personal data abroad is examined in Turkish Law and the effects of the current decisions of the Personal Data Protection Board (“Board”) on data transfer are discussed. Finally, Law on Protection of Personal Data (“KVKK”) and GDPR were compared, and based on the comparison, suggestions were made regarding the issues needed for the development of KVKK.
ABSTRACT: Cross-border transfers of personal data have greatly increased due to the development of technology and the widespread use of the internet. With this increase, concerns about data protection have emerged and countries have made legal arrangements in their domestic laws to protect personal data based on these concerns. In the legal regulations made, it is seen that while some countries legislations provide data protection at an advanced level, some countries legislations cannot provide this level. These differences between the legislation of the countries regarding data protection may cause the data to remain unprotected in the place where it is transferred. For this reason, the cross-border transfer of personal data is regulated separately within the legal regulations for data protection. The personal data transfer mechanisms included in the European Union General Data Protection Regulation (“GDPR”) numbered 2016/679, which is the current data protection legislation of the European Union ("EU"), have been arranged in order to ensure the level of protection provided for personal data in the EU in third countries, taking into account the risks that the legal legislation of third countries may pose from being different from that of the EU. The aim of this study is to examine the general framework of the transfer of personal data outside the EU regulated in GDPR and data transfer mechanisms in legislation and practice. In this context, first of all, the concept of "transfer to third countries" has been defined and general principles regarding the transfer have been mentioned in order to understand the transfer of personal data and to determine when the provisions regarding the transfers in the GDPR will be applied. Afterwards, the transfer mechanisms in the GDPR were examined in detail in terms of purpose, effectiveness and function. Then, the mentioned mechanisms were interpreted in the light of the current and past decisions of the Court of Justice of the European Union (“CJEU”), especially the Schrems I and Schrems II decisions, and the effects of the decisions on the transfer mechanisms were evaluated. The study is based on the documents of the Article 29 Working Party (“WP29”) and the European Data Protection Board (“EDPB”), which show how the provisions of the GDPR regulating the transfer to third countries and international organizations will be applied in practice and interpret the said provisions. In the last part of the study, the transfer of personal data abroad is examined in Turkish Law and the effects of the current decisions of the Personal Data Protection Board (“Board”) on data transfer are discussed. Finally, Law on Protection of Personal Data (“KVKK”) and GDPR were compared, and based on the comparison, suggestions were made regarding the issues needed for the development of KVKK.
Açıklama
Anahtar Kelimeler
Kişisel Veri, Genel Veri Koruma Tüzüğü, Kişisel Verilerin Aktarımı, Schrems II, Sınıraşan Kişisel Veri Aktarımı, Personal Data, General Data Protection Regulation, Transfer of Personal Data, Cross-Border Transfer of Personal Data