Çevrimiçi veri depolama popülerlik kazanıyor. Pazar liderleri elbette Amerikalıdır. Google Drive, iCloud veya Dropbox gibi sağlayıcılarla, Atlantik’in ötesindeki şirketler öne çıkıyor.
Yine de, hizmetlerinin yüksek kalitede olmasına rağmen, uluslarından dolayı hata yapmadıklarından emin olmak mümkün değil. Şirket verilerini çevrimiçi olarak Amerikan sağlayıcılar aracılığıyla depolamak ciddi bir hata olabilir.
Amerika Birleşik Devletleri bugün hem askeri, hem ekonomik, hem de endüstriyel açıdan dünyanın bir numaralı gücü. Bu bağlamda, hükümeti uluslararası topluma dayatma yetkisine sahip olduğu ayrıcalıkları kendine mal ediyor.
Bu durumda, özellikle Patriot Yasası veya Cloud Yasası gibi Amerikan yasaları, Amerikan olmayan vatandaşlara uygulanan bir yönetişim politikasının silahlı koludur. Diğer bir deyişle, seçimlerinize bağlı olarak, Amerikan yönetimi ve adaleti üzerinizde ve verileriniz üzerinde yetkiye sahiptir.
Amerika Birleşik Devletleri’nin, dünyada demokrasinin öncüsü olarak, en iyi siyasi sisteme sahip olduğu düşünülebilir; özellikle de güçler ayrılığı teorisi ve uygulaması açısından. Yani, Montesquieu gibi devlet teorisyenlerine çok değerli olan, güçlerin en iyi ayrıldığı sistem.
Gerçeklik tam olarak böyle değil. Amerika Birleşik Devletleri tarafından XX. yüzyılın ikinci yarısından itibaren, 2018’deki Cloud act ile zirveye ulaşan kitlesel gözetim yasaları, sadece kendi anayasalarına aykırı görünmekle kalmayıp, aynı zamanda hukukun üstünlüğü klasik anlayışına da ters düşmektedir. Diğer bir deyişle, böyle yasama düzenlemeleri getiren herhangi bir devlet muhtemelen derhal bir polis devleti olarak nitelendirilecektir.
Çünkü, Patriot Yasası ve Cloud Yasası’nın yanı sıra, Amerika Birleşik Devletleri hukuki cephaneliğini hala bir yasa ve bir başkanlık kararnamesine dayandırmaktadır: Yabancı İstihbarat Gözetim Yasası ve Başkanlık Kararnamesi. Bu nedenle, bu yasaların ışığında, verilerinizi Amerikan şirketi tarafından yönetilen bir Bulut’ta saklamanın neden riskli bir seçim olduğunu açıklayacağız. Bunu yapmak için, adım atmayı seçtiğinizde sizin için geçerli olacak yasaları inceleyeceğiz.
Patriot Act nedir ve dışsal yargı yetkisi koşulları nasıl çalışır?
Patriot Yasası, 11 Eylül 2001’deki saldırılardan sadece 45 gün sonra kabul edilen bir Amerikan iç güvenlik yasasıdır. Yani, aceleyle ve New York’taki olaylardan hâlâ travma yaşamış bir Kongre tarafından.
Sonuç, polis otoritelerine soruşturmalar yürütmeleri için verilen bir beyaz imzadır. Neden? Çünkü bir hakimin yetkisi gerekli olsa da, bu sonuncusu artık “makul sebep” yokluğuna dayanarak buna itiraz edemez (makul sebep).
Bu nedenle, tüm verileriniz, sizin bilginiz olmadan veya bir Amerikan yargıcının buna itiraz etme şansı olmadan kaydedilebilir. Amerikan Anayasası’nın büyük bir yardım sağladığını düşünmeyin, çünkü Amerikan Adalet Bakanlığı’na göre, Patriot Yasası yalnızca Yüksek Mahkeme tarafından zaten tanınan hukuki uygulamaları kodifiye etmektedir.
Örneğin, 1979’da hüküm verdi, gizli aramaların anayasaya aykırılık iddiasının “saçma” olduğunu belirtti. On iki yıl önce, polis memurlarının şüpheliye bir aramanın nedenini, ya da nedenlerini belirtmek zorunda olmadığını zaten düşünmüştü.
Yine de, Patriot Act’in yeniliği, Fransız veya Avrupalı bir şirket için, onun yurtdışında uygulanmasıdır. Yani, eğer faaliyetlerinizin, Amerikan topraklarına veya çıkarlarına tehdit oluşturan bir birey veya terörist grup ile bağlantılı olduğundan şüpheleniliyorsa, tüm idari araçlar sizin aleyhinize harekete geçebilir.
Bunun üstesinden gelebileceğinizi düşünmeyin, terörist gruplarla veya radikal fikirleri gözden kaçırmış bir müşteriyle bağlantı kurmayı planlamıyorsanız bile. Patriot Yasası’nın uygulanmasının göründüğünden çok daha belirsiz olduğunu göreceğiz. Bunun öncesinde, başka bir güvenlik boyutuna bakalım: Cloud Yasası.
Cloud act nedir?
Cloud Act, 2018 yılında, Amerikan yetkililerinin çevrimiçi veri depolama çözümlerinin kullanıcı verilerine serbest erişimini güçlendirmek amacıyla oylandı.
Resmi olarak, üçüncü ülke otoritelerinin, suç soruşturmaları çerçevesinde herhangi bir veri barındıran Amerikan şirketlerinden talepte bulunmalarını sağladığı gibi, adalet departmanı tarafından sunulmaktadır. suç soruşturmaları kapsamında bilgi edinmek.
Daha ayrıntılı bir şekilde, özellikle herhangi bir Amerikan idaresinin, verilerin şu koşullarda herhangi bir kullanıcı hakkında bilgi almasını sağlar:
– Amerika Birleşik Devletleri’nde saklanabilir,
– herhangi bir ülkede bir Amerikan şirketi tarafından saklanabilir,
– hepsi kimsenin bilmediği şekilde, yalnızca gerekli şirket ve ilgili idare dışında.
Bu son çıkan ABD yasası, Amerikan hükümetinin hizmetinde tek araç değildir.
FISA (Yabancı İstihbarat Gözetim Yasası) nedir?
FISA, 1978’de, federal otoritelerin gözetim faaliyetleri konusundaki uygulamalarını düzenlemek isteyen bir Kongre tarafından kabul edilmiştir. Patriot Act gibi, bu yasa zaten mevcut olan uygulamaları kodlamayı amaçlamaktadır.
2008’de eklenen 702. bölüm, Amerikan şirketlerini, Amerikan toprakları dışında bulunan bir kişinin hedefli izlenmesini kolaylaştırmaya zorlar.
Bu yasa, özellikle karşı istihbaratla ilgili bilgileri sahiplenmek, almak veya iletmekle şüphelenilen Amerikan vatandaşı olmayan bireyleri hedef almaktadır. Uygulama alanı, Patriot Yasası gibi, resmi olarak uluslararası terörizmle mücadeleye yöneliktir.
Yürütme emri veya başkanlık kararnamesi 12333
1981’de Ronald Reagan tarafından imzalanan başkanlık kararnamesi 12333, Washington Post’un hatırlattığı gibi, Patriot Act’in 215. bölümündekilerden çok daha önemli olanaklar sunan bir belgedir.
Yine de olsa, başkanlık kararnamesi 12333 bu sefer yalnızca yurtdışında yaşayan Amerikan vatandaşlarına uygulanmaktadır. Bu, Amerikan istihbarat ajanslarının, Amerikan müşterilerinizden birine ilgi duymaları durumunda verilerinizi incelemelerine olanak tanıyacaktır.
Bu kararname çerçevesinde, Amerikan istihbarat ajansları tarafından girilen tüm veriler, herhangi bir mahkeme kararı olmaksızın ve dolayısıyla yargıç ya da Kongre tarafından hiçbir kontrol olmaksızın toplanmaktadır.
Bunu anlamış olmalısınız, hukuk her zaman güçlünün karşısında zayıf olanın garantisi değildir. Bireysel özgürlüklerin veya daha geniş anlamda, kamu özgürlüklerinin her zaman koruyucusu olduğu söylenemez. Özellikle uygulamasına ve dolayısıyla yorumuna geldiğimizde.
Hukuk, yalnızca onun nasıl yorumlandığına bağlıdır
Hukuku iyi anlamak, bir yasayı basitçe okuyarak asla mümkün olmayacaktır. Neden? Çünkü onun harfi harfine uygulanması her zaman imkansızdır. Başka bir deyişle, bir yasa metninin kapsamını anlamak için, onun uygulanışını iyi kavramak gerekir. İşte burada, Amerikan Patriot Act ve Cloud Act yasalarının ortaya koyduğu tüm sorun budur.
Patriot Act “şüpheli faaliyet” terimini gündeme getirdiğinde, böyle bir faaliyet nasıl tanımlanır? Bu kavram neyi hedefliyor? Sadece yorumlama, belirli bir faaliyeti şüpheli olarak nitelendirmeye olanak tanır. Sorun, her yönetimin bu yasayı kendi yorumunu tamamen gizli bir şekilde yapmasıdır.
Bu, verilerinizin bir Amerikan şirketi aracılığıyla depolandıktan sonra, tüm verilerinizin CIA, NSA, Hazine gibi en bilinen yönetimlerin takdirine bağlı olarak erişilebilir olduğu anlamına gelir. Sıkıcı, değil mi? Ve ne bir suçlu ne de bir terörist olduğunuz için herhangi bir soruşturmadan muaf olduğunuzu düşünmeyin.
Bu hukuki arsenalin ana faydası teröristleri takip etmek değil, serbest rekabette bozulmalar yaratmaktır. Amerika Birleşik Devletleri’ni serbest ticaretin örneği olarak mı düşünüyordunuz? Tamamen yanıldınız.
Ayrıca, veri toplama yalnızca müşterilerinizin verileriyle ilgili değildir. Amerikan Hazine İdaresi’nin veri toplama ile ilgilenmesinin bir nedeni var. FCPA, dijital verilerinizi depolamanın size kesinlikle pahalıya mal olabileceğini gösterecektir.
FCPA yasası, ya da Amerikalı olmayan şirketler için yeni vergi
Yabancı Yolsuzluk Uygulamaları Yasası (Foreign Corrupt Practice Act), 1977’de kabul edilen, Amerikan yargısının şirketleri önemli miktarda ceza ödemeye mahkum etmesine olanak tanır. Böylece 2014’te Alstom 772 milyon dolar, Siemens 2008’de 800 milyon, Daimler 2010’da 185 milyon ve Alcatel-Lucent 2010’da 137 milyon dolar ödemiştir. Bunlar yalnızca en büyük miktarların küçük bir kısmıdır.
Kanıtların nasıl raporlandığını düşünüyorsunuz? Herhangi bir şekilde, sahip olduğunuz veriler de dahil olmak üzere, Cloud’unuzda. Amerika Birleşik Devletleri’nde ne nezdinde ne de çalışanınız olmadığı için güvende olduğunuzu düşünüyorsanız, FCPA’nın Amerikan çıkarları söz konusu olduğunda geçerli olduğunu bilin. Yine, “Amerikan çıkarları” kavramı yorumlamaya açıktır ve önemli olan sizin yorumunuz değildir.
Tüm bu Amerikan yasalarıyla ilgili bilgilerin ışığında, Avrupa topraklarında bir Fransız veya Avrupa şirketi tarafından yönetilen bir Cloud seçeneği oldukça ilginç görünüyor. Ancak, ünlü GDPR hakkında bir değerlendirme yapmak hala gereklidir.
GDPR, Fransız hukuku ve Avrupa hukuku ışığında
Avrupa Birliği tarafından, kullanıcıların Avrupa topraklarında faaliyet gösteren şirketlere internet üzerinden emanet ettiği verilerin güvenliğini sağlamak amacıyla kabul edilen Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girmiştir.
Veri işleme sorumlusunun kullanıcılarının verilerine ilişkin yükümlülüklerine ve bunlarla ilgili yaptırımlara ilgi duymanın önemli olduğunu, özellikle de verilerin transferindeki yapısını anlamadan önce, Amerika Birleşik Devletleri’ne.
Veri işleme sorumlusunun yükümlülükleri
GDPR, özellikle veri toplama bağlamında çocuk haklarının korunmasına dikkat eder. 13 yaşından küçük bir çocuğa ait verilerin toplanması her zaman yasak olsa da, 13 ile 16 yaş arasındaki çocuklar için yalnızca ebeveynlerin izniyle ve doğrudan çocuklara yönelik bir hizmetle ilgili olması durumunda izin verilir.
GDPR, veri işleme sorumlusunun yalnızca toplamanın amacına kesinlikle gerekli olan verileri toplamasını ve ilgili kişinin talebi üzerine verilerin silinmesini sağlayabilmesini de zorunlu kılar.
RGPD tarafından dayatılan tüm yükümlülüklere uyulması, denetim otoritesi tarafından bir sertifika verilmesine yol açabilir. Bu sertifika, yenilenebilir üç yıl süreyle geçerlidir.
RGPD ile ilgili detaylar hakkında daha fazla bilgi için, CNIL (ulusal bilgi ve özgürlükler komisyonu) bir kılavuz yayınladı çok küçük işletmelere (TPE) ve küçük ve orta ölçekli işletmelere (PME) hitap eden. Bu kılavuz, dosyalarınızın listesini oluşturmayı, verilerinizi sıralamayı ve bunları güvence altına almayı öğrenmenizi sağlayacak.
RGPD tarafından belirlenen yükümlülüklere uyulmaması durumunda, hatalı şirket çok ağır mali yaptırımlara maruz kalır.
İhlal durumunda uygulanacak yaptırımlar
Fransa ile ilgili olarak, CNIL bir dosyayı üç şekilde ele alır:
– CNIL web sitesinde kullanıcılar tarafından yapılan bir şikayet üzerine,
– internet sitesi veya şirketin kontrolü sonrasında,
– bir veri ihlali nedeniyle.
CNIL, önceki mali yıl içinde elde edilen dünya çapındaki cirosunun %4’üne veya 20.000.000 euroya kadar çıkabilen mali bir ceza ile CNIL’in web sitesinde ve légifrance’da kamuya açıklama yapılmasına kadar her türlü yaptırım paneline sahiptir.
Böylece, CNIL, Google’u 150 milyon euro para cezası ödemeye mahkum etti. CNIL, Amerikan şirketini kullanıcıların çerezleri kabul etme kolaylığına sahip oldukları gibi, çerezleri reddetmelerine de aynı kolaylığı sağlamamakla suçladı.
Aynı gün, 31 Aralık 2021’de, CNIL de Facebook’u benzer nedenlerle 60 milyon euro ile cezalandırdı.
Bu sert yaptırımlar, Avrupa’da veri koruma meselesinin önemini tek başına gözler önüne seriyor. Ancak, özellikle İnternet’te, tüm ağların iç içe geçtiği küreselleşmiş bir dünyada, veri paylaşımı veri koruma düzenlemelerini biraz karmaşık hale getiriyor.
Privacy Shield’dan Shrem II’ye, yargıç kişisel verilerin koruyucusu olarak ortaya çıkıyor
Avrupa’da toplanan veriler, üçüncü ülkelere veri transferine tabi olabilir. Bu, özellikle bir ana şirketin kişisel verileri bir yan kuruluşa veya başka bir sunucuya aktardığı durumlarda Avrupa ile ABD arasında geçerlidir.
2016’dan 2020’ye kadar, Avrupa Birliği’nden Amerika Birleşik Devletleri’ne yapılan bu veri transferine uygulanabilir düzenleme Privacy Shield tarafından belirlenmiştir. Bu, Avrupa kullanıcılarının Amerika Birleşik Devletleri’nde kişisel verilerinin işlenmesi konusunda güvence sunan bir ikili anlaşmaydı.
Yine de olsa, bu veri koruma garantisi, anlaşmanın ima ettiği kadar etkili değildi. Bu nedenle, Schrem adında bir Avusturyalı avukat, Facebook Ireland şirketine karşı, kişisel verilerinin Amerika Birleşik Devletleri’ne kısmen veya tamamen aktarılmasının yeterli koruma sağlamadığı iddiasıyla dava açtı; bu, bu sosyal ağın tüm kullanıcılarının verileri için de geçerliydi.
Avrupa Birliği Adalet Divanı, Schrems II olarak bilinen bir kararda, başvuranın lehine karar verdi ve böylece Privacy Shield’a son verdi. Kararın ana argümanları, Amerikan kamu otoritelerinin ve istihbarat servislerinin, aktarılan kişisel verilere erişim kolaylığı üzerinedir.
Fransa’nın içinde, hükümetin veri toplamasına karşı dernekler kurulmuştur. Böylece, Devlet Konseyi özellikle Covid 19 aşı randevuları kapsamında devlet ile Doctolib platformu arasındaki ortaklık hakkında görüş bildirmek zorunda kalmıştır.
Danıştay, hiçbir tıbbi verinin toplanmadığı gerekçesiyle, verilerin güvenliğinin kalitesini kontrol ettikten sonra derneklerin taleplerini reddetti.
Aynı fikirle, La Quadrature du Net gibi dernekler, Devlet Konseyi önünde 25 Şubat 2011 tarihli, internet servis sağlayıcılarına dijital verilerin saklanmasını zorunlu kılan kararnamesine karşı dava açtılar.
İdari yargıçlar, ulusal güvenlik, ulusun temel çıkarlarının korunması ve suçla mücadele ile ilgili gerekçelerle argümanlarını reddetti.
Ancak, Avrupa güvenlik güçlerinin, bir internet servis sağlayıcısını veya bir şirketi, bir yargıcın önceden izni olmadan zorla alması mümkün değildir. Sonuncusu, böyle bir talebin gerekliliğini değerlendirir araştırmalar çerçevesinde, araştırmacıların kendisine rapor verdiği.
Sonuç
Sonuç olarak, Avrupa’daki veri işleme ve bu verilere Avrupa Birliği üye devletlerinin içişleri veya adalet bakanlıkları tarafından erişim konusundaki durum sıkı bir şekilde düzenlenmiştir. Avrupa’da bu konuda Amerikan yasalarına benzer yasalar yoktur.
Bu nedenle, bir şirket çevrimiçi verileri bulut türü çözümler aracılığıyla depolamak istiyorsa, verilerini Avrupa topraklarında depolayan bir Avrupa sağlayıcısını seçmek önemlidir.
Bu durumda, bu şirketin verileri Avrupa Birliği dışındaki bir devlete, öncelikle Amerika Birleşik Devletleri’ne, aktarmadığını kontrol etmek de önemlidir. Böylece, Amerikan dış yasaları, bu bölgeyle hiçbir bağı olmayan bir şirkete çok zor bir şekilde uygulanabilir.
Veri depolamak için Amerikan şirketlerini kullanmak, endüstriyel casusluğa ve en yüksek teknolojiye sahip haksız rekabet uygulamalarına kapıyı ardına kadar açmaktır. Siemens, Alcatel-Lucent veya Alstom ile olsun, Amerikan hükümeti, adaletin desteğiyle, bu şirketlere yapılan rekabeti zayıflatmak için hiçbir şeyden çekinmemektedir.
Bu yüzden kendimize dövülmek için sopa vermeyelim.
