Fransa'nın veri koruma kurumu CNIL bugün yaptığı açıklama ile Google Analytics kullanan bir şirketin, Avrupa Birliği'nin Genel Veri Koruma Yasası'nı (GDPR) ihlal ettiğini duyurdu. Kişisel veri transferlerinin Avrupa Birliği'nin dışındaki veri koruma yasaları konusunda eş değer olmayan ülkelere taşınmasını kapsayan Madde 44 aşılmış oldu.
AB ve ABD arası veri transferleri problemi
Bu arada ABD'nin de söz konusu ülkelerden biri olduğunu belirtelim. Zira ABD, ABD vatandaşı olmayan kişilerin, verilerinin satın alınıp alınmadığını, nasıl kullanıldığını bilmeleri ya da kötüye kullanım durumunda tazminat talebinde bulunmaları için herhangi bir yol göstermiyor.
GDPR ise yasal ihracat şartı olarak vatandaşların bilgileriyle birlikte hareket etmesini zorunlu tutuyor. Bu noktada Avrupa Birliği üst mahkemesinin 2015 yılında AB-ABD Gizlilik Kalkanı anlaşmasını geçersiz kıldığını hatırlatalım. O dönemden bu yana kişisel verilerin transatlantik transferlerinin yasallığı belirsizliğini koruyor.
Bu belirsizlik ortamı içinde CNIL, Avrupa'nın gizlilik savunucusu noyb tarafından düzenlenen 101 şikayeti incelemekteydi. CNIL, şikayetlerden birine konu olan web sitesine GDPR'a uyması ve gerektiği takdirde Google Analytics hizmetini kullanmayı durdurmasını talep etti. Söz konusu site 1 ay içinde bu talebe uymak durumunda.
CNIL, Google'ın bu alanda aldığı ek önlemleri yetersiz bulduğunu belirtiyor. Daha önce Avusturya'da da benzer bir pozisyon ile karşı karşıya kalan şirket, AB vatandaşlarının Google Analytics üzerinden ABD'ye taşınan verilerinin yeterince korunmasını sağladığını savunmuştu.
CNIL paylaştığı basın açıklamasında şu ifadelere yer verdi:
Her ne kadar Google, Google Analytics işlevi kapsamında gerçekleşen veri transferlerini düzenlemek için ek önlemler almış olsa da; bu önlemler ABD istihbarat servislerinin bu verilere erişimini dışarıda bırakacak kadar yeterli değil.
CNIL bu nedenle bu hizmetten yararlanan ve verileri taşınan Fransız websitesi kullanıcılarının risk altında olduğunu belirtti. Yine de kurum, Google Analytics'in kullanılmasına tamamen karşı değil. Google Analytics yalnızca "anonim istatistiksel verilerin" aktarılmasını sağlayacak önemli değişikliklerle kullanılabilecek.
Avusturya'nın Google Analytics için kişisel veri yaklaşımı
Anonim istatistiksel verilerden bahsetmişken geçen ay Avusturya'nın Google Analytics özelinde değerlendirdiği bir konuyu da aktarmakta fayda var. Bildiğiniz üzere benzer bir dava, Avusturya'da Google Analytics aleyhinde sonuçlandı. İnceleme sürecinde Avusturya, kişisel veri tanımına odaklanırken, Google tarafından tutulan diğer veri kümelerini de değerlendirmeye aldı. Böylece, bir IP adresinin verilmesinin dahi kişisel veri ihlali konusunda yeterli olduğunu öne sürdü.
Fransa'nın kararı
Fransa'daki karar sürecine geri dönecek olursak, CNIL mevcut koşullar altında Google Analytics kullanımının uygun olmadığını açıkladı. Bu nedenle CNIL'in belirttiğine göre söz konusu site, GDPR'a uymak için faaliyetlerlerini durdurmak zorunda kalabilir.
CNIL bunlara ek olarak AB dışına veri transferi yapmayan alternatif bir analiz aracı tercih edilmesini de önerdi.
Kurum yaptırımlar uygulamanın ötesinde; hangi web site analiz hizmetlerinin kullanıcı onayı almaya gerek olmadan faaliyet gösterebileceğini belirlemek için bir değerlendirme programı başlattığını açıkladı. Yani CNIL, yakın zamanda vatandaşlarına Google Analytics alternatifleri önermeye başlayacak.
ABD şirketlerinin AB operasyonları tehlikede
Şu anda devam eden ve 101 şikayeti içeren soruşturma, diğer AB yasa koyucularının üstlendiği soruşturmalarla paralel bir şekilde yürütülüyor. CNIL'ın aktardığına göre, söz konusu soruşturma, Avrupa İnternet kullanıcılarının verilerinin ABD'ye aktarılmasıyla sonuçlanan siteler tarafından kullanılan diğer araçları da kapsayabilir.
Bu da bizleri ABD merkezli tüm araçların Avrupa Birliği'nde GDPR özelinde problemlerle karşılaşacağını gösteriyor. Üstelik CNIL yakın gelecekte bu durumu düzeltmek üzere yasal önlemlerin alınacağını da belirtiyor.
Henüz yasal bir önlem alınmamış olsa da noyb'un kurucusu Max Schrems ise birbirinden farklı Avrupa Veri Koruma Otoritelerinin aynı sonuca vardığını ve Google Analytics'in kullanılmasının yasa dışı olduğunu dile getiriyor.
Tek çözüm anlaşma imzalanması
Bu andan itibaren ABD'li şirketlerin, AB'deki operasyonlarını GDPR'a takılmadan yürütebilmesi için yapılabilecek tek şey, AB ve ABD arasında veri transferlerine yönelik yeni bir anlaşma imzalanması.
Taraflar bu kapsamda görüşmelerini sürdürse de; henüz kesin bir sonuca varılmadı. Buradaki en büyük problemlerden biri ABD'de hala AB'nin GDPR'ına benzer bir federal gizlilik yasası bulunmaması. Bu durum, ABD'nin kendi vatandaşlarının bilgileri için kapsamlı korumalardan yoksun olduğu anlamına geliyor.
Son dönemde Kaliforniya dahil olmak üzere bazı ABD eyaletleri bu yasa açığını kapatmak için kendi kanunlarını çıkardı. Ancak ABD vatandaşları için sunulan yasalar kapsayıcı ve bütünlük sahibi olmadığı için yetersiz kalıyor.
AB ve ABD arasında veri transferlerine yönelik yeni bir anlaşma imzalanana kadar, Avrupalı girişimler, bazı ABD şirketlerinin alternatifini yaratmak için harekete geçecektir.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap