TLDR:
Schrems II, AB-ABD Privacy Shield çerçevesini geçersiz kılan ve GDPR kapsamında uluslararası kişisel veri transferlerine sıkı gereksinimler dayatan 2020 Avrupa Birliği Adalet Divanı (CJEU) kararının (Dava C-311/18) yaygın adıdır. Gizlilik aktivisti Max Schrems’in adını taşıyan karar, kuruluşların AB dışına kişisel veri aktarma şeklini temelden yeniden şekillendirdi.
Mahkeme Neye Karar Verdi
CJEU, ABD gözetim yasalarının (FISA 702, EO 12333) ve AB vatandaşları için yargısal başvuru eksikliğinin, ABD’nin GDPR ile “esasen eşdeğer” bir koruma seviyesi sağlamadığı anlamına geldiğini buldu. Privacy Shield anında geçersiz kılındı. Standart Sözleşme Maddeleri (SCC) prensip olarak desteklendi ancak ek güvenceler gerektirdi—alıcı ülkenin yerel yasalarını değerlendiren bir Transfer Etki Değerlendirmesi (TIA) ve ek önlemler (şifreleme, takma adlama, gözetim erişimine yasal itirazlar).
AB-ABD Veri Gizlilik Çerçevesi
Yanıt olarak, Avrupa Komisyonu ve ABD Hükümeti bir halef çerçeve müzakere etti (Trans-Atlantik Veri Gizlilik Çerçevesi, Temmuz 2023’te AB-ABD Veri Gizlilik Çerçevesi olarak kabul edildi). Bu çerçeve ABD istihbaratının AB verisine erişimini sınırlandıran ve Veri Koruma İnceleme Mahkemesi kuran Yürütme Kararı 14086’yı içerir.
Bugün Pratik Uyum
AB’den üçüncü ülkelere kişisel veri aktaran kuruluşlar şunları yapmalıdır: yeterlilik kararlarına güvenmek (Birleşik Krallık, İsviçre, Japonya, Güney Kore, sertifikalı ABD kuruluşları için AB-ABD DPF), yeterlilik olmadan transferler için güncellenmiş SCC’leri (2021 sürümü) kullanmak, alıcı ülke hukukunun analizini belgeleyen Transfer Etki Değerlendirmeleri yapmak, ek teknik önlemleri uygulamak (özellikle AB’de tutulan anahtarlarla şifreleme) ve düzenleyici gelişmeleri izlemek. Türk KVKK paralel gereksinimlere sahiptir; Türkiye şu anda yeterlilik kararına tabi değildir, bu nedenle AB’den Türkiye’ye transferler SCC artı TIA gerektirir.