DPF (AB-ABD Veri Gizliliği Çerçevesi) nedir?
AB-ABD Veri Gizliliği Çerçevesi (DPF), Avrupa Komisyonu’nun Temmuz 2023 yeterlilik kararıdır (ve paralel UK Eki ile İsviçre-ABD Çerçevesi); AB/AEA’dan sertifikalı ABD kuruluşlarına o spesifik aktarımlar için ek SCC veya TIA olmadan kişisel veri aktarımına izin verir. DPF, geçersiz kılınan Privacy Shield’in (Schrems II) yerini alır ve ABD Başkanlık Emri 14086 (sinyal istihbarat güvenceleri) ile Veri Koruma İnceleme Mahkemesi (DPRC) çare mekanizmasına dayanır.
DPF nasıl işler?
- ABD kuruluşu öz-sertifikasyon ABD Ticaret Bakanlığı’na yapar.
- Yıllık yeniden sertifikasyon statüyü korumak için gereklidir.
- Kamuya açık liste: DPF listesi (dataprivacyframework.gov) aranabilir; aktarım yapan ihracatçılar yeterlilik temeline dayanmadan önce kontrol eder.
- İlke uyumu: bildirim, seçim, sonraki aktarım için hesap verebilirlik, güvenlik, veri bütünlüğü, erişim, başvuru-icra-sorumluluk.
Sınırlamalar
- DPF yalnızca sertifikalı ABD kuruluşlarını kapsar — sertifikasız vendor’lar hâlâ SCC + TIA gerektirir.
- Schrems III riski: NOYB hukuki itirazlar sinyali verdi. İhracatçılar genellikle DPF güvencesi yanında SCC’leri “yedek” olarak korur.
- Hassas veri: özel nitelikli kişisel veriler için ek seçim/onay yükümlülükleri uygulanır.
Türk şirketleri için
Türk şirketleri DPF’ye katılamaz (sadece ABD tabanlı kuruluşlar için). Ancak Türk SaaS’ler ABD vendor seçiminde DPF sertifikalı sağlayıcılara öncelik vererek AB müşterilerinin uyum yükünü hafifletebilir. KVKK Kurulu DPF’yi doğrudan tanımaz; ABD’ye yapılan KVKK aktarımı için açık rıza veya yazılı taahhüt + Kurul izni standart koşulu uygular.
Yapın: yeterlilik temeline dayanmadan önce resmi listeden DPF sertifikasyonunu doğrulayın; SCC’leri yedek olarak saklayın.
Yapmayın: “vendor Privacy Shield sertifikalı dedi” iddiasının güncel olduğunu varsaymayın — Privacy Shield 2020’de geçersiz kılındı.