Schrems II nedir?
Schrems II, Avrupa Birliği Adalet Divanı’nın (ABAD) 16 Temmuz 2020 tarihinde verdiği Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems (Case C-311/18) kararıdır. Karar AB-ABD Privacy Shield‘ı geçersiz kılmış ve kişisel verinin AB’den ABD’ye (ve diğer üçüncü ülkelere) aktarımı için yepyeni gereklilikler getirmiştir.
Avusturyalı aktivist Max Schrems’in ikinci zaferi
Max Schrems 2013’te ilk davasını açmıştı (Schrems I, 2015 — Safe Harbor’ı geçersiz kıldı). 2020’deki Schrems II, halefi Privacy Shield’ı da geçersiz ilan etti. Schrems’in argümanı: ABD gözetim mevzuatı (FISA Section 702, EO 12333) AB veri sahiplerinin temel haklarını ihlal eder.
Karar sonuçları
- Privacy Shield geçersiz: 5,400+ Privacy Shield-sertifikalı ABD şirketi anında uyum dışı kaldı
- Standard Contractual Clauses (SCC) geçerliliği korundu — ancak ABAD, SCC kullanan veri ihracatçılarının veri alıcısı ülkenin gözetim mevzuatını ek olarak değerlendirmesini ve gerekirse ‘tamamlayıcı tedbirler’ almasını şart koştu
- Transfer Impact Assessment (TIA): Her sınır-ötesi aktarım için bir hukuki değerlendirme zorunlu hale geldi
Tamamlayıcı tedbirler
EDPB (European Data Protection Board) Kasım 2020’de tamamlayıcı tedbirler için rehber yayımladı:
- Teknik: Şifreleme (anahtarın AB’de kalması), pseudonymisation, split processing
- Sözleşmesel: Veri alıcısına ek bilgi yükümlülükleri, mahkeme kararına itiraz yükümlülüğü
- Organizasyonel: Şeffaflık raporu, denetim hakları, employee training
2023 sonrası: AB-ABD Data Privacy Framework
10 Temmuz 2023’te AB ve ABD yeni bir çerçeve — EU-U.S. Data Privacy Framework (DPF) — üzerinde anlaştı. ABD şirketleri DPF-sertifikalı olabilirler ve AB’den veri alabilirler (Privacy Shield’ın yerine). Ancak Max Schrems aynı argümanlarla yeni dava (Schrems III) açmıştır; geçerliliği belirsizdir.
Türk KVKK perspektifi
Türkiye Schrems II kararına doğrudan tabi olmasa da, KVKK çerçevesinde sınır-ötesi aktarım için 9. madde benzer ‘yeterlilik’ analizi getirir. 2024 değişikliği (7499 sayılı Kanun) ile AB GDPR‘a paralel SCC/BCR mekanizmaları Türk hukukuna girdi. Türk veri sorumluları, AB’ye veri aktarırken hem Türk hem AB kuralları için TIA yapmalı.
Founder için pratik etki
AB müşterileri olan Türk SaaS şirketleri için: (1) Veri akış haritası ile sınır-ötesi her transferi belgeleyin; (2) Standart Sözleşme + TIA kombinasyonu için DPA template’iniz hazır olsun; (3) Şifreleme + EU-tabanlı hosting altyapısı için bir ‘EU veri rezidansı’ opsiyonu sunun (rakipler bunu sunmaya başladı). Vircon Legal sınır-ötesi veri aktarım yapılandırması konusunda danışmanlık vermektedir — KVKK Tracker‘a da bakın.