ECJ Gizlilik Kalkanı etkisiz ilan - karar web sitesi operatörleri için ne anlama geliyor

6 Dk.
Gizlilik Kalkanı ECJ
Son güncelleme: 05/08/2020

16.07.2020 tarihinde, Avrupa Adalet Divanı (AİhM) Gizlilik Kalkanı geçersiz ilan edildi. Bu karar, diğer şeylerin yanı sıra, Abd şirketleri tarafından sağlanan hizmetleri kullanan tüm web sitesi operatörleri için geçerlidir. Bu makalede, ben bir web sitesi operatörü veya ajansı olarak karar sizin için ne anlama geldiğini ve şimdi yapmanız gerekenleri size açıklayacağım.

Hukuki durum

Herhangi bir veri işleme yasal bir temel gerektirir

Kişisel verilerin herhangi bir şekilde işlenmesi yasal bir temel gerektirir (Art. GDPR ). Web siteleri için ana yasal temelleri şunlardır:

  • İlgili kişinin rızası (örn. tanımlama bilgilerini ayarlamak için);
  • sözleşmeden doğan bir yükümlülüğün yerine getirilmesi (örn. çevrimiçi mağazalar söz konusu olduğunda);
  • denetleyicinin veya web sitesi operatörünün meşru çıkarı (örn. e-posta sorularını yanıtlamak).

Onay geleneksel olarak web sitelerinden bir onay kutusu ile elde edilir. Bunun en iyi örneği, web sitesi ziyaretçisinin belirli tanımlama bilgilerinin ayarlanmasına (örn. pazarlama veya izleme çerezleri) onay verdiği Çerez Banner'ıdır. Bu konuda daha fazla bilgi edinmek istiyorsanız, benim makalede bulacaksınız "Çerez afiş - ama sağ! Aklınızda bulundurmanız gereken bu 7 şey" Aradığın şey.

Ancak, yukarıda belirtilen yasal temeller yalnızca verilerin gerçek işlenmesiyle ilgilidir.

ECJ Gizlilik Kalkanı etkisiz ilan - karar web sitesi operatörleri için ne anlama geliyor

Avrupa dışı ülkelere veri aktarımı için gerekli ek yasal dayanak 

Eğer veri işleme AB'de değil, Avrupa dışı ülkelerde (yani üçüncü bir ülkede- ek bir yasal temele ihtiyaç vardır) gerçekleşecekse, ek bir yasal dayanak gereklidir.

Kişisel verilerin üçüncü ülkelere aktarılmasına yönelik yasal temeller, 44 üncü maddede bulunabilir. GDPR .

Özellikle, Avrupa Komisyonu'nun (Madde 45) sözde yeterlilik kararları web sitesi operatörleri için önemlidir. GDPR ).

Böyle bir kararla Komisyon, üçüncü bir ülkenin yeterli düzeyde veri koruması sağlayabileceğine ve kişisel verilerin üçüncü ülkeye aktarılabileceğine karar verir.

İsviçre, Avustralya ve Yeni Zelanda gibi çok sayıda ülke yle geçmişte yeterlilik kararları alınmıştır. 

Gizlilik Kalkanı

Bu, Gizlilik Kalkanı Avrupa Komisyonu'nun ABD'ye veri aktarışları için yeterlik kararı ydı. Temmuz 2016'da piyasaya sürüldü ve sadece birkaç ay sonra Güvenli Liman Anlaşmasının Yürürlükten Kaldırılması (önceki gizlilik kalkanı) AİhM tarafından.  

Gizlilik Kalkanı kapsamında, ABD'li şirketler AB'den gelen kişisel verileri işlerken belirli bir veri koruma düzeyine uymayı gönüllü olarak kabul etti. Bu sertifikadan sonra, AB'den gelen kişisel veriler size iletilebilir.

AİhM'nin Gizlilik Kalkanı kararı

ECJ'nin kararı, İrlanda Yüksek Mahkemesi'nin AİhM'ye verdiği ve Avusturyalı veri koruma aktivisti Maximilian Schrems'in Facebook Ireland Ltd. aleyhindeki işlemlerine dayanan bir ön karar talebine dayanıyordu.

AİhM, 16 Temmuz 2020 tarihinde verdiği kararda Gizlilik Kalkanı etkisiz ilan edilir. Bu nedenle, daha önce yasal dayanak olarak Gizlilik Kalkanı'na dayanan kişisel verilerin AB'den ABD'ye aktarılması kabul edilemez.

Bu dramatik sesler - ve öyle.

Web sitesi operatörleri için kararın sonuçları

Hemen hemen her web sitesi yargının sonuçlarından etkilenecek muhtemeldir. Kural olarak, hemen hemen her web sitesi, sadece Avrupa yan kuruluşları (Facebook Ireland Ltd. ve Google Ireland Ltd. gibi) aracılığıyla değil, aynı zamanda ilgili ABD ana şirketi (örn. Facebook Inc. ve Google LLC) aracılığıyla sağlanan bir ABD şirketinin en az bir hizmetini entegre etmiştir.

Bu hizmetlerin çoğu için, kişisel veriler alınan Amerika Birleşik Devletleri'ne (muhtemelen varsayılan bağlı olarak) aktarılır. Bu tür hizmetlere örnek olarak şunlar verilebilir:

  • Google Analytics, Google Haritalar veya Google Fontları gibi Google hizmetleri (yerel olarak entegre edilmedikçe);
  • Bülten hizmetleri (örn. Mailchimp);
  • Sosyal Medya Plugins (Facebook, Instagram, YouTube, Twitter, vb.)
  • Bulut yedekleme hizmetleri;
  • Online alışveriş çözümleri.

Bir web sitesi operatörü gizlilik politikasını doğru bir şekilde hazırlamışsa, ABD'ye veri aktarımların gerçekleşebileceği her hizmet için aşağıdaki bilgileri bulması gerekir:

"ABD şirketi XYZ, kişisel verilerinizi ABD'de de işliyor ve AB/ABD Gizlilik Kalkanı'na gönderdi. Gizlilik Kalkanı hakkında daha fazla bilgi için https://www.privacyshield.gov/EU-US-Framework bakın."

woocommerce barındırma x turuncu

Veri aktarımları için olası alternatif yasal temeller

Gizlilik Kalkanı temelinde şimdiye kadar ABD'ye veri aktarımlarına şu andan itibaren veya yeni bir Komisyon yeterlilik kararına ancak farklı bir yasal temele dayanmaları halinde izin verilene kadar izin verilecektir.

Bu nedenle, göz önünde bulundurun:

İlgili kişinin rızası

Web sitesi işletmecileri için yasal dayanak, ilgili kişinin açık rızasının üzerindedir (Madde 49 s. 1 GDPR ). Ancak, durum, veri öznesinin onay vermeden önce veri aktarımının riskleri hakkında bilgilendirilmiş olmasıdır.

Sözleşmenin ifası için iletim

Ayrıca, veri konusu (web sitesi ziyaretçisi) ve denetleyici (web sitesi operatörü) arasındaki bir sözleşmenin yerine getirilmesi için kişisel verilerin ABD'ye aktarılmasının gerekli olduğu da düşünülebilir.

Ancak, web sitesi operatörünün sözleşmenin yürütülmesi için bir ABD şirketinin hizmetini kullanması yeterli değildir (örn. bir ABD çevrimiçi mağazası Plugin ). Ne gerekli sözleşme kendisi bir ABD bağlantısı vardır, yani bir ABD webshop, örneğin sipariş olmasıdır.

Avrupa Komisyonu standart veri koruma maddeleri

Kişisel verilerin Amerika Birleşik Devletleri'ne aktarılmasının Avrupa Komisyonu tarafından kabul edilen standart veri koruma maddelerine (Madde 46(2) dayanması pek olası değildir. GDPR ) desteklenebilir.

Standart veri koruma maddeleri, AB tabanlı bir veri ihracatçısı ile üçüncü bir ülkede kurulmuş bir veri ithalatçısı arasında yapılabilen model sözleşmelerdir. Bunlarla, Avrupa dışı veri ithalatçısı, kendisine iletilen kişisel verilerin GDPR karşılaştırılabilir bir koruma düzeyi.

Gizlilik Kalkanı hakkındaki kararında, AİhM gerçekten de standart veri koruma maddelerinin içeriğinin kendi içinde sakıncalı olmadığı konusunda karar ver. Ancak, bunlara uyum un üçüncü ülkede de etkin bir şekilde uygulanması gerekiyor.

ebook: Sitenizin performansını profesyonel gibi ölçün

Bu aslında ABD'ye veri aktarımları ile mümkün olup olmadığı son derece şüpheli görünüyor. AİhM, AB vatandaşlarının ABD makamlarının veri izleme programlarına karşı uygun yasal korumaları olmadığı için Gizlilik Kalkanı'nı diğer şeylerin yanı sıra etkisiz ilan etti. Ve bu durum standart veri koruma maddeleri durumunda hemen hemen aynı olması muhtemeldir.

Bu nedenle AİhM, veri koruma denetim makamlarının, üçüncü ülkedeki standart veri koruma maddelerine uyulmadığını veya bunlara uyulamayacağını düşünmeleri halinde, kişisel verilerin standart veri koruma maddelerine dayanarak üçüncü bir ülkeye aktarılmasını askıya almak veya yasaklamak zorunda olduğuna da karar veremiştir. 

Bu nedenle, standart veri koruma maddelerine dayalı olarak ABD'ye veri aktarımlarının veri koruma yetkilileri tarafından itiraz edilmesi ve kabul edilemez ilan edilmesi beklenmektedir.

Şimdi bir web sitesi operatörü olarak yapmanız gerekenler

Gizlilik Kalkanı'na dayalı olarak Amerika Birleşik Devletleri'ne tüm kişisel veri aktarımları kabul edilemez olduğundan, web sitesi operatörleri aşağıdaki önlemleri uygulamalıdır:

#1 belirli Avrupa sunucuları

Bazı ABD şirketleri hizmetlerinizi Avrupa sunucuları aracılığıyla sunmayı teklif eder. Bu durumda, web sitesi operatörleri Avrupa sunucusunu seçmelidir.

#2 ilgili kişinin rızası

Bir Avrupa sunucusunun seçimi mümkün değilse, kişisel verilerinin ABD'ye aktarılması için veri konusunun açık rızası alınmalıdır. Bu onay, tanımlama bilgilerinde olduğu gibi bir onay kutusu ile verilebilir.

Çerezleri ayarlayan her web sitesinin, tek tek tanımlama bilgilerini ayarlamak için uygun bildirimleri ve onay kutularını içeren bir çerez afişi olması gerektiğinden, bu durum ABD'ye yapılması planlanan veri aktarımlarıyla ilgili daha fazla (risk) ipucu ve onay kutularıyla desteklenebilir. Herhangi bir onay kutusu olduğu gibi, bakım tabii ki web sitesi ziyaretçisi onay kutusunu kendisi (opt-in) tıklamak zorunda olduğundan emin olmak için alınmalıdır, önceden aktive onay kutuları (opt-out) Federal Adalet Divanı içtihat göre kabul edilemez olduğundan.

Kuşkusuz, bu rıza çözümünün tek "dezavantajı" rıza verilmediği takdirde ilgili hizmetin web sitesinde etkin olmamasıdır.

Bunun ne anlama geldiğini kısaca burada Google Fonts örneğini açıklayalım:

Bazen Google yazı tipleri web sitesine yerel olarak dahil edilmez, ancak sayfaya Google sunucularından web tarayıcısı tarafından erişildiğinde. Bu bir Amerikan Google Server ile yapılırsa, web tarayıcısı verileri, yani web sitesi ziyaretçisinin kişisel verileri, ABD'deki bu Google Server'a iletilir.

FREE DEV Program RAIDBOXES

Google yazı tiplerinin yeniden yüklenmesinin web sitesi operatörünün meşru çıkarlarına dayanıp dayanmadığı zaten şüphelidir (şahsen bu konuda büyük şüphelerim var), çünkü Google yazı tipleri de yerel olarak entegre edilebilir. Ancak bu meşru çıkar kabul edilse bile, kişisel web tarayıcısı verilerinin Amerikan Google sunucularına aktarılması için ek bir yasal temele ihtiyaç duyulacaktır. Bu ek yasal temel Gizlilik Kalkanı olmuştur. Bu şimdi etkisiz olduğundan, şimdi Amerikan Google sunucularının Google yazı tiplerinin yeniden yüklenmesi için web sitesi ziyaretçisinin onayı gerektirecektir. Bu izin verilmezse, Google yazı tipleri yeniden yüklenmemeli.

Bu, Google Fonts'un en geç en geç web sitesinde yerel olarak entegre edilmesi gerektiği anlamına gelir.

gizlilik politikası#3 uyarlama

Veri koruma beyannamesinin yeni yasal duruma uyarlanabilmek önemlidir.

Gizlilik Politikası bir web sitesinde yer alan kişisel verilerin işlenmesini tam ve doğru bir şekilde yansıtması gerektiğinden, yalnızca Gizlilik Kalkanı'ndaki önceki bilgileri silmek yeterli değildir – en azından ilgili hizmetler hala kullanılıyorsa.

Aslında, veri iletimi artık web sitesi ziyaretçinin rızasıdayalı ise, bu da buna göre belirtilmelidir. Buna ek olarak, rıza durumunda, abd'ye aktarılan kişisel verilerin ABD makamları tarafından ABD veri izleme programları çerçevesinde değerlendirilmesi ve AB vatandaşlarının bu konuda uygun yasal koruma seçeneklerinin olmaması gibi verilerin ABD'ye aktarılmasıyla ilgili risklerin de gösterilmesi gerekecektir.

Görüntüle

AİhM'nin Güvenli Liman Anlaşması'nı etkisiz ilan etmesinin ardından, Avrupa Komisyonu'nun ABD ile Gizlilik Kalkanı'nı müzakere etmesi sadece birkaç ay sürdü.

Küçümsenmemesi gereken transatlantik veri alışverişinin önemi göz önüne alındığında, yeni bir düzenlemenin bulunması ve Avrupa Komisyonu'nun kişisel verilerin ABD'ye aktarılması için yeni bir yeterlilik kararı alması kesinlikle uzun sürmeyecektir.

AİhM'nin endişelerini gideriyorsa ve ABD'deki AB vatandaşları için daha fazla veri koruması oluşturuyorsa, bu web sitesi operatörleri için de iyi bir şeydir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.