TIA (Transfer Etki Değerlendirmesi) nedir?
Bir Transfer Etki Değerlendirmesi (TIA), AB/AEA veri ihracatçısının SCC, BCR veya diğer Madde 46 transfer araçlarına dayanarak “üçüncü ülkeye” kişisel veri göndermeden önce yürütmesi gereken belgelenmiş vaka-bazlı analizdir. TIA gereksinimi ABAD’ın Schrems II kararından (C-311/18, Temmuz 2020) ve EDPB Tavsiyeleri 01/2020’den kaynaklanır.
TIA unsurları (EDPB altı adım metodolojisi)
- Aktarımı haritalandır: ihracatçı, ithalatçı, veri kategorileri, amaçlar, sonraki aktarımlar.
- Aktarım aracını belirle: SCC, BCR, istisnalar (Madde 49).
- Üçüncü ülke hukukunu değerlendir: özellikle devlet erişimi (istihbarat, kolluk) ve veri sahipleri için etkili çareler.
- Ek önlemleri belirle hukuki çerçeve yetersizse: teknik (AB’de tutulan anahtarlarla şifreleme), sözleşmesel, örgütsel.
- Önlemleri kabul etme prosedürleri (DPA güncellemesi, vendor taahhütleri).
- Yeniden değerlendirme uygun aralıklarla.
Yaygın üçüncü ülke bulguları
- ABD: tarihsel olarak sorunlu (FISA 702, Başkanlık Emri 12333); DPF kapsamındaki katılımcı kuruluşlar için şimdi iyileşti.
- Hindistan, Çin, Rusya: genellikle güçlü ek önlemler veya alternatif mimari gerektirir.
- İngiltere, İsviçre, İsrail: yeterlilik kapsamında — bu ülkelere aktarım için TIA gerekmez.
Türk şirketleri için
Türkiye AB tarafından yeterlilik listesinde değildir; AB veri ihracatçıları Türkiye’ye aktarım için SCC + TIA gerektirir. TIA, Türkiye’deki devlet erişim mevzuatını (özellikle MASAK, MİT Kanunu, 5651 Sayılı Kanun), KVKK Kurulu denetim yetkilerini ve veri sahibi etkili çareleri değerlendirir. Türk veri ithalatçıları için TIA dosyasını desteklemek (ithalatçı anketi, alt veri işleyen ifşası, encryption-at-rest belgeleri) AB müşteri kazanmanın pratik şartıdır.
Yapın: TIA’ları üçüncü ülke hukuku veya aktarım mimarisi değiştiğinde yenilenen yaşayan belgeler olarak yürütün.
Yapmayın: jenerik “SCC kullanıyoruz” ifadesine güvenmeyin — Schrems II belgelenmiş değerlendirme gerektirir, sadece sözleşme değil.