SCC (Standart Sözleşme Hükümleri) nedir?
Standart Sözleşme Hükümleri (SCC), AB/AEA’dan yeterlilik kararı bulunmayan “üçüncü ülkelere” kişisel veri aktarımını meşrulaştıran önceden onaylanmış AB sözleşme şablonlarıdır (GDPR Madde 46(2)(c)). Mevcut metin, 4 Haziran 2021 tarihli Avrupa Komisyonu Karar (AB) 2021/914‘tür; Schrems II öncesi hükümlerin yerini almıştır. 2021 SCC’leri dört aktarım senaryosunu kapsayan modüler yapı kullanır: veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen, veri işleyen-veri işleyen ve veri işleyen-veri sorumlusu.
SCC modülleri
- Modül 1: Veri sorumlusu-veri sorumlusu aktarımları.
- Modül 2: Veri sorumlusu-veri işleyen (SaaS için en yaygın).
- Modül 3: Veri işleyen-veri işleyen (alt veri işleyen aktarımı).
- Modül 4: Veri işleyen-veri sorumlusu (ithalatçıdan iadeli akış).
Schrems II sonrası — TIA gereksinimi
ABAD C-311/18 (Schrems II) kararı sonrası SCC’ler tek başına yeterli değildir. Veri ihracatçısı, üçüncü ülke hukukunu (özellikle devlet erişim yasalarını) değerlendiren bir Transfer Etki Değerlendirmesi (TIA) yapmalı ve gerekirse ek önlemler uygulamalıdır (teknik: şifreleme, takma adlaştırma; sözleşmesel: taahhütler, bildirim; örgütsel: politikalar, denetimler).
İngiltere muadili — IDTA / UK Addendum
Brexit sonrası İngiltere, Uluslararası Veri Aktarım Anlaşması (IDTA) veya AB SCC’lerine UK Eki kullanır. Çok-yargı bölgeli aktarımlar (örn. AB + İngiltere) tipik olarak AB SCC’leri + UK Eki birlikte kullanır.
KVKK ve SCC
KVKK Madde 9, yurt dışı aktarımları için ya açık rıza, ya yeterli koruma kararı, ya da yazılı taahhüt + Kurul izni şartlarını arar. KVKK Kurulu AB SCC’lerini doğrudan otomatik kabul etmez; ancak “yazılı taahhüt” yapısı altında SCC içeriklerinin KVKK gereklerini karşılayacak şekilde uyarlanması yerleşik uygulamadır. AB tarafına ihracat yapan Türk veri işleyenler için SCC Modül 2, müşteri DPA’sının standart eki olur.
Yapın: 2021 SCC’lerini kullanın (eski 2010 veri sorumlusu-veri sorumlusu hükümlerini değil); üçüncü ülke riskini ve ek önlemleri belgeleyen bir TIA ekleyin.
Yapmayın: gözetim ağırlıklı yargı bölgelerine aktarımlar için yalnızca SCC’lere güvenmeyin — Schrems II ek önlemler gerektirir.