Uluslararası veri aktarımı[1] ile uluslararası uçuşlar arasında benzerlik kurulabilir.[2] Uluslararası uçuşlarda, insanlar farklı ülkeler arasında seyahat ederken; uluslararası veri aktarımında, veri, farklı ülkeler arasında transfer edilir. Her ülkenin, kendi havacılık kurallarının geçerli olduğunu iddia etmesi durumunda, uluslararası uçuşlar neredeyse imkansız hale gelmez miydi? Uluslararası sivil havacılık kuralları[3]; ülkeler arasında birlik sağlayarak, uluslararası uçuşları uyumlu, düzenli ve güvenli hale getirir.
Bugün, veri koruması hukuku bakımından bölgesel ve ülkesel düzeyde çok farklı düzenlemeler bulunmaktadır. Bu hukuki parçalılığın; birbiriyle uyumlu olmayan, çelişen düzenlemelere yol açması kaçınılmazdır. Görüyoruz ki; söz konusu çok farklı düzenlemelere uyum sağlamaya çalışmak, şirketler için en çok uluslararası veri aktarımı bakımından zorlayıcıdır. Uluslararası Hava Taşımacılığı Birliği (“IATA”) Genel Müdür Yardımcısı Conrad Clifford, bu konuda şu tespitte bulunmaktadır: “Havayolu şirketleri, yolcuları farklı yargı alanları arasında fiziksel olarak taşımak için kişisel verileri işlemeli ve transfer etmelidir. Ancak neredeyse 140 ülke tarafından belirlenen ulusal veri koruma ve aktarım kurallarının uygulanması ve uyumu o kadar karmaşık hale gelmiştir ki havayolu şirketleri genellikle bu yasaların hedeflediği amaçlara ulaşamaz.”.[4]
Clifford’ın yukarıdaki sözlerinde değindiği, farklı veri koruması ve aktarımı düzenlemelerine uyumsuzluk, şirketler için; iş süreçlerinde gecikmelere, risklere ve cezalara yol açabilmektedir. Ayrıca, verinin güven içinde özgür akışı, global dijital ekonominin temelidir. Bu çerçevede; uluslararası veri aktarımının önemi ve bu alandaki farklı düzenlemelerin mevcut parçalı rejimi sebebiyle yaşanan zorluklar, devletler ve global örgütler tarafından hususi olarak ele alınmakta ve konuya global düzeyde bir uzlaşı ile çözüm getirilmek istenmektedir.
Birleşmiş Milletler (“UN”) Ticaret ve Kalkınma Konferansı’nın Mayıs 2023 tarihli raporuna göre[5]; veri aktarımlarının, 2026’ya kadar mevcut hacminin üç katına ulaşması beklenmektedir. UN’e göre, güvenli veri aktarımını sağlayan bütünleşik bir sisteme acilen ihtiyaç duyulmaktadır. Böylelikle tüm ülkeler veri paylaşımının ortak faydalarından pay alabilir. Ayrıca, ilk kilometre taşı, üye devletlerin 2030 yılının sonuna kadar benimseyebilecekleri Global Veri Anlaşması taslağının ilkelerinin hazırlanması olacaktır.[6]
Büyük Britanya Hükümeti, uluslararası veri aktarımı konusuna verdiği önem ve global bir veri aktarımı sistemi kurulmasına öncülük etme amacı doğrultusunda, Uluslararası Veri Aktarımı Uzman Konseyini kurmuştur. Konsey, Kasım 2023’te “Uluslararası Veri Aktarımları için Sürdürülebilir, Çok Taraflı ve Evrensel Bir Çözüme Doğru” adlı bir rapor yayımlamıştır (“UK Raporu”).[7] UK Raporu’nda; veri aktarımının global doğası gereği, hukuki parçalılık ve çatışma halinin, yalnızca yerel yasal reformlar veya ülkeler arası ikili girişimler yoluyla çözülemeyeceği belirtilmektedir. Uluslararası toplumun; veri aktarımları için, global düzeyde ortak standartlar üzerinde anlaşması ihtiyacı üzerinde durulmaktadır.
Uluslararası veri aktarımına global kurallar getirilmesi konusunda farklı çözümler geliştirilebilir. Bunlardan ilki, UK Raporu’na göre şu olabilir: Global CBPR Sisteminin (“Global Cross-Border Privacy Rules System”); sisteme katılan yargı alanları arasındaki farklı ulusal veri koruma yasaları arasındaki boşlukları kapatan bir örnek olduğu ve temel ortak koruma mekanizmalarının, veri ile birlikte yargı alanları arasında taşınmasını sağladığı düşünülmektedir. Bu nedenle; sözü geçen sistem, evrensel bir standart ve güvenli veri aktarımlarını sağlayan, çok taraflı global sertifikasyon süreci için faydalı bir model ve temel oluşturabilir.[8] Bir başka çözüm yolu olarak ise; uluslararası veri aktarımına global kurallar getirilmesi için, ISO (“the International Organization for Standardization”) ile iş birliği yapılarak, bir standart geliştirme süreci başlatılabilir. ISO’ya halihazırda üye 167 ülke olduğu düşünüldüğünde; bu global standardizasyon ve sertifikasyon girişimi, geniş bir kapsama sahip olabilecektir.
[1] Günümüzde, dünya üzerinde ticari hayatın hızlı ve karmaşık yapısı içerisinde, verinin tek değil çift hatta çok yönlü bir akışı olması doğaldır. Yalnızca Türkiye’den yurt dışına veri aktarımı olmasını beklemeyiz. Bu bağlamda, “uluslararası veri aktarımı” ifadesini kullanıyorum.
[2] WIPO (“World Intellectual Property Organization”) tarafından belirlenen fikri mülkiyet hakları üzerindeki uluslararası uzlaşma, global düzeyde etkili bir çalışma modelinin bir örneğidir.
[3] Birleşmiş Milletler’e bağlı Uluslararası Sivil Havacılık Örgütü (“ICAO”) 1947 yılında kurulmuş olup, ICAO’ya üye 193 ülke bulunmaktadır. Uluslararası sivil havacılık kuralları, üye devletler tarafından global düzeyde uygulanmaktadır.
[4] Thoughts on ICAO’s role in data protection, https://www.iata.org/en/pressroom/opinions/thoughts-on-icaos-role-in-data-protection/, accessed 29.04.2024.
[5] Intergovernmental Group of Experts on E-commerce and the Digital Economy, “Digital and Data
Governance”, https://unctad.org/system/files/non-official-document/Contribution_by_the_High-Level_Advisory_Board_on_Effective_Multilateralism.pdf, erişim 29.04.2024.
[6] “Digital and Data Governance” (n5).
[7] “Towards a Sustainable, Multilateral, and Universal Solution for International Data Transfers”, A report by the UK Government’s International Data Transfer Expert Council, https://assets.publishing.service.gov.uk/media/65734b2f33b7f2000db72135/towards_
a_sustainable_multilateral_and_universal_solution_for_international_data_transfers.pdf, erişim 29.04.2024.
[8] “The Global CBPR Framework presents new potential for an existing tried and tested system which could be improved and updated, where necessary, over time. As a globally acceptable privacy accountability mechanism, it was greatly influenced by the origins of the APEC Privacy Framework, but it does not have to be bound by the past. In fact, there has been significant change and legal developments since the adoption of APEC Privacy Framework, and it would be only natural to seek to upgrade the rules to reflect the developments in OECD guidelines, the GDPR, and other key privacy laws.”, “Towards a Sustainable, Multilateral, and Universal Solution for International Data Transfers” (n7).
Global Rules For International Data Transfer
International data transfer[1] can be likened to international flights.[2] In international flights, people travel between different countries; in international data transfer, data is transferred between different countries. If each country were to assert its own aviation rules, wouldn’t international flights become almost impossible? International civil aviation rules[3] provide unity among countries, making international flights harmonious, orderly, and safe.
Today, there are vastly different regulations at the regional and national level regarding data protection law. It is inevitable that this legal fragmentation leads to inconsistent, conflicting regulations. Observing that adapting to diverse regulations can be particularly challenging for companies, especially regarding international data transfer. Conrad Clifford, Deputy Director General of the International Air Transport Association (“IATA”), makes the following statement within this respect: “Airlines respect and comply with national data protection and transfer rules set by almost 140 countries, but the cumulative implementation and compliance with national data protection laws has become so complex that airlines often cannot achieve the goals that these laws pursue.”[4]
As pointed out in Clifford’s above statement, non-compliance with different data protection and transfer regulations can lead to delays, risks, and penalties for companies in their business processes. Additionally, data free flow with trust is fundamental to the global digital economy. Within this framework, the importance of international data transfer and the challenges arising from the existing legal fragmentation in this area are being specifically addressed by states and global organizations, with the aim of finding a global consensus solution.
As outlined in a report from the United Nations (“UN”) Conference on Trade and Development dated May 2023,[5] data transfers are expected to triple by 2026. According to the UN, a system for trusted and secure data flow is urgently needed, enabling all countries to share in the mutual benefits of data sharing. Additionally, the first milestone would be preparing a draft of the principles to be included in a Global Data Compact, which member states could adopt before the end of 2030.[6]
The United Kingdom Government, aiming to lead the establishment of a global data transfer system and emphasizing the importance of international data transfer, established the International Data Transfer Expert Council. The Council published a report titled “Towards A Sustainable, Multilateral, and Universal Solution for International Data Transfers” in November 2023 (“UK Report”).[7] According to the UK Report, data-related legal fragmentation and conflict cannot be resolved through domestic law reforms, or through bilateral initiatives between countries alone. The need for the international community to agree on common standards for data transfers at the global level is emphasized.
Different solutions can be developed to establish global rules for international data transfer. According to the UK Report, one of these could be the Global CBPR System (“Global Cross-Border Privacy Rules System”), which is considered to be an example of bridging the gaps between differing national data protection laws across participating jurisdictions and ensures that baseline common protections travel with data across jurisdictions.[8] Therefore, the system in question can serve as a useful model and basis for a multilateral global certification process that ensures universal standards and secure data transfers. Another solution pathway could be to collaborate with the International Organization for Standardization (“ISO”) to initiate a standard development process for establishing global rules for international data transfer. Considering that ISO already has 167 member countries, this global standardization and certification initiative could have extensive coverage.
[1] In today’s fast-paced and complex commercial landscape worldwide, it is natural for data to flow not only in one but in multiple directions. We do not expect data transfer solely from Turkiye to abroad. In this context, I use the expression “international data transfer”.
[2] The international consensus on intellectual property rights established by World Intellectual Property Organization (“WIPO”) is an example of an effective working model at the global level.
[3] The International Civil Aviation Organization (“ICAO”), established in 1947 under the United Nations, has 193 member countries. International civil aviation rules are implemented globally by member states.
[4] Thoughts on ICAO’s role in data protection, https://www.iata.org/en/pressroom/opinions/thoughts-on-icaos-role-in-data-protection/, accessed 29.04.2024.
[5] Intergovernmental Group of Experts on E-commerce and the Digital Economy, “Digital and Data
Governance”, https://unctad.org/system/files/non-official-document/Contribution_by_the_High-Level_Advisory_Board_on_Effective_Multilateralism.pdf, accessed 29.04.2024.
[6] “Digital and Data Governance” (n5).
[7] “Towards a Sustainable, Multilateral, and Universal Solution for International Data Transfers”, A report by the UK Government’s International Data Transfer Expert Council, https://assets.publishing.service.gov.uk/media/65734b2f33b7f2000db72135/
towards_a_sustainable_multilateral_and_universal_solution_for_international_data_transfers.pdf, accessed 29.04.2024.
[8] “Towards a Sustainable, Multilateral, and Universal Solution for International Data Transfers” (n7).
Yazı: Ç. Saba Uğurerkan, Att., LL.M., CIPP/E
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
