Top
Google GDPR uyumu için harekete geçti – kişiselveriler.blog
fade
4540
post-template-default,single,single-post,postid-4540,single-format-standard,eltd-core-1.2.1,flow-ver-1.6.3,,eltd-smooth-page-transitions,ajax,eltd-blog-installed,page-template-blog-standard,eltd-header-type2,eltd-sticky-header-on-scroll-down-up,eltd-default-mobile-header,eltd-sticky-up-mobile-header,eltd-dropdown-default,eltd-dark-header,eltd-header-style-on-scroll,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Google GDPR uyumu için harekete geçti

kişiselveriler.blog / Haber  / Avrupa  / Google GDPR uyumu için harekete geçti

Google GDPR uyumu için harekete geçti

Ama biz sevinemiyoruz.

Google, Avrupa Adalet Divanı’nın ABD ve AB arasında kişisel verilerin aktarımı için önemli bir araç olarak kullanılan “Veri Koruma Kalkanı” nı iptal etmesinin ardından GDPR’ın yurt dışına veri aktarımı kurallarını çiğnememek için önlem aldı. 

Bu kapsamda tüm standart sözleşmelerine Avrupa Komisyonu’nun veri aktarımında kullanılması gereken standart maddelerini ekleyen Google, müşterilerine durum hakkında açıklama içeren  bir e-posta gönderdi.  (Anlaşmanın iptali hakkındaki haber için:https://kisiselveriler.blog/2020/07/16/avrupa-adalet-divani-ab-abd-veri-koruma-kalkani-anlasmasini-iptal-etti/)

GDPR yurt dışı veri aktarımına koşullu olarak izin veriyor ancak veri sahibinin açık rızasının alınmasını ön şart olarak belirlemiyor. Öncelikli olarak “güvenli ülke” ilan edilen ülkeler veri aktarımını serbest bırakan GDPR, bu statüde olmayan ülkelerdeki veri aktaran ve veri alan taraflar arasında verileri korumaya yönelik standart ve Avrupa Komisyonu tarafından belirlenmiş hükümler içeren bir sözleşmenin varlığını yeterli buluyor. 

Google’ın sözleşmesini düzeltmesi Türkiye’deki veri sorumluları olarak bizim için de iyi bir haber olabilirdi, ancak KVK yurt dışına veri aktarımında GDPR’ın aksine ön şart olarak açık rızayı koyuyor. (Not: GDPR’da rıza ve açık rıza, KVK’nın aksine ayrı ayrı düzenlenmiştir.) Açık rıza alamıyorsanız sadece ve sadece yasanın 5/1 ve 6/3 maddelerinde belirtilen hallerde yani işlenmesi için “açık rıza” gerekmeyen kişisel veriler için  sınırlı olmak üzere, güvenli ülke ilan edilen ülkeler varsa onlarla -bu statü verilmiş bir ülke henüz yok- veya bir veri aktarım sözleşmesi varsa mümkün olabiliyor. 

Veri aktarım sözleşmesi yeterli gibi gözükse de kanun bunu sadece “veri sorumluları” ile sınırlı tutmuş. Google gibi “veri işleyenlerle” yapacağınız veri alış verişini bu kapsamda düşünüp düşünemeyeceğimiz tartışmaya açık. 

Ayrı bütün bunları karşılamış olsanız bile söz konusu sözleşmeyi Kurul’a sunup izin vermelerini beklemeniz gerekiyor. 

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın