anonym.legal
Bloga DönGDPR & Uyumluluk

DSB Avusturya: Schrems I & II'nin Arkasındaki DPA — NOYB Davalarının Veri Aktarımlarınız İçin Anlamı

Avusturya'nın DSB'si, NOYB'nin (2022-2024'te 422 şikayet işlenmiştir) ev sahibi DPA'sıdır. Google Analytics kararı, Schrems III riski ve DSB davalarının %78'inin veri aktarımlarını hedef alması. Teknik uyum gereksinimleri.

March 7, 20268 dk okuma
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

Avusturya'nın Datenschutzbehörde (DSB) kuruluşu, Max Schrems tarafından kurulan gizlilik savunuculuğu organizasyonu NOYB — None of Your Business — tarafından açılan davalarda baş denetleyici otoritedir. NOYB, 2018'den bu yana 1.000'den fazla stratejik GDPR şikayeti sunmuştur ve DSB, bunlardan 2022-2024'te 422'sini ele almıştır. DSB'nin uygulama anlayışı, AB veri aktarım yasasını iki kez yeniden şekillendiren stratejik davaları anlamak anlamına gelir.

NOYB ve DSB: Stratejik Bir Uygulama Deseni

Schrems I (2015): Max Schrems'in Facebook'un AB-ABD veri aktarımlarıyla ilgili şikayeti, 4.000'den fazla şirketin kullandığı Safe Harbor çerçevesini geçersiz kıldı.

Schrems II (2020): Schrems'in takip eden itirazı, 5.000'den fazla şirketi etkileyen AB-ABD Gizlilik Kalkanı'nı geçersiz kıldı ve mevcut AB-ABD Veri Gizliliği Çerçevesi'ne (2023) yol açan acil bir yeniden müzakere sürecini tetikledi.

Beklenen Schrems III (2025-2026): NOYB, DPF yeterlilik kararına itirazda bulunmuştur ve FISA Bölüm 702'nin GDPR ile uyumsuz olduğunu savunmaktadır. Bir CJEU başvurusu beklenmektedir.

DSB'nin uygulama davalarının %78'i veri aktarımları veya üçüncü taraf entegrasyonları ile ilgilidir — bu aktarım merkezli odak, Avusturya uygulamasının belirleyici özelliğidir.

DSB'nin Google Analytics Kararı

DSB'nin Ocak 2022'deki Google Analytics kararı, tüm sonraki aktarım uygulamaları için bir desen oluşturmuştur:

  1. IP adresleri kişisel verilerdir. Kısaltılmış IP'ler bile oturum verileriyle birleştirildiğinde, Google'ın veritabanında yeniden tanımlama imkanı sağlar.
  2. ABD tedarikçi erişimi = aktarım. ABD mühendisleri AB kullanıcı verilerine (destek, bakım veya yasal zorunluluk için) erişebildiğinde, bu erişim GDPR kapsamında bir veri aktarımı oluşturur.
  3. Yeterli TIA olmadan SCC'ler = ihlal. ABD gözetim yasasının geçersiz kılmadığını gösteren bir Aktarım Etkisi Değerlendirmesi olmadan Standart Sözleşme Maddeleri yetersizdir.

DSB, Avusturya web sitesi işletmecisinin — Google değil — yasadışı aktarım için veri kontrolörü olduğunu bulmuştur. Bu ilke, üçüncü taraf betikleri yerleştiren her AB işletmesini etkiler.

Ek Teknik Önlemler: Gerçekten Ne İşe Yarar

Schrems II sonrasında, EDPB, yalnızca SCC'lerin yetersiz olduğu durumlarda gerekli ek teknik önlemler hakkında rehberlik yayınladı. DSB, bu rehberliği uygulamaktadır:

AB'de tutulan anahtarlarla şifreleme: AB kişisel verileri, ABD'ye aktarılmadan önce şifrelenirse ve şifre çözme anahtarları yalnızca AB merkezli anahtar sahipleri tarafından tutulursa, veriler GDPR aktarım amaçları için etkili bir şekilde anonim hale gelir — ABD makamları, okuyamadıkları verilere erişim zorlayamaz.

Aktarım öncesi takma adlandırma: Aktarılan veriler yalnızca takma adlandırılmış tanımlayıcılar içeriyorsa (yeniden tanımlama anahtarı AB'de tutuluyor), aktarılan veriler aktarım için "kişisel veri" değildir.

Yerel işleme: Verilerin asla AB barındırılan altyapıyı terk etmemesi, aktarım gereksinimlerini tamamen ortadan kaldırır. Sadece toplu, gerçekten anonimleştirilmiş istatistikler aktarılır.

DSB, AB kişisel verilerini işlemek için ABD SaaS tedarikçilerini kullanan kuruluşların ya bu önlemleri uygulaması ya da verilerin gerçekten anonimleştirildiğini göstermesi gerektiğini bulmuştur.

ABD Tedarikçilerini Kullanan Kuruluşlar İçin Schrems III Riski

Sadece AB-ABD Veri Gizliliği Çerçevesi'ne (DPF) güvenen kuruluşlar, belirli bir riskle karşı karşıyadır: Eğer NOYB'nin CJEU itirazı başarılı olursa — Safe Harbor (2015) ve Gizlilik Kalkanı (2020) ile olduğu gibi — kuruluşlar hemen alternatif aktarım mekanizmaları aramak zorunda kalacaklardır.

Ek teknik önlemler (AB'de tutulan anahtarlarla şifreleme, aktarım öncesi gerçek anonimleştirme) kullanan kuruluşlar, DPF geçersiz kılma riskinden korunmaktadır. Veri gerçekten anonimleştirilmiş veya ABD tedarikçisinin erişemeyeceği anahtarlarla şifrelenmişse, aktarım teknik olarak gerçekleşmez.

Özellikle Avusturya operasyonları için: ABD araçlarını (Google Analytics, Mixpanel, Amplitude) kullanan web sitesi analizleri, ABD merkezli ana şirketleri olan CRM sistemleri (Salesforce, HubSpot) ve ABD erişilebilir yönetici erişimine sahip bulut altyapısı, tümü DSB uygulama maruziyeti yaratır. Hafifletme, bu sistemlerdeki kişisel verilerin ya tedarikçinin sistemlerine ulaşmadan önce gerçekten anonimleştirilmiş olması ya da yalnızca AB kontrolörü tarafından tutulan anahtarlarla şifrelenmiş olmasıdır.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle