Avrupa'nın dijital egemenliği ve ABD bulut altyapılarının hassas alanlarda stratejik kullanımına ilişkin tartışma yeni bir ivme kazanıyor. Federal İçişleri Bakanlığı adına Köln Üniversitesi'ndeki hukuk bilimcileri tarafından hazırlanan daha önce yayınlanmamış bir rapor, Bilgi Edinme Özgürlüğü Yasası (IFG) kapsamındaki bir talebe yanıt olarak artık kamuya açık hale geldi. ABD yetkililerinin aynı zamanda Avrupa veri merkezlerinde depolanan verilere de kapsamlı erişime sahip olduğu sonucuna varıyor.
Reklamdan sonra devamını okuyun
Gizli servislerin erişimi
Uzmanların, altyapılar Amerika Birleşik Devletleri dışında işletilse bile, ABD gizli servislerinin ve diğer devlet kurumlarının buluttaki verilere erişim konusunda yasal hakka sahip olup olmadıklarını ve ne ölçüde sahip olduklarını açıklamaları gerekiyor. Rapora göre, Bulut Yasası ile genişletilen Saklı İletişim Yasası (SCA) ve Yabancı İstihbarat Gözetim Yasası'nın (FISA) 702. Maddesi, özellikle ABD yetkililerinin bulut sağlayıcılarından veri teslimi talep etmelerine izin veriyor.
Tartışmalı bir nokta ABD'nin yargı yetkisinin kapsamının belirlenmesidir. Bu nedenle şirketlerin, verileri ABD dışında saklansa bile yayınlamaları gerekmektedir. Önemli olan bilginin fiziksel olarak depolandığı yer değil, ilgili firmanın bu bilgi üzerindeki kontrolüdür. Bu, Avrupa topraklarındaki veri merkezlerinde bulunan ve Alman yan kuruluşları tarafından yönetilen verilerin bile erişime tabi olduğu anlamına geliyor. Önkoşul, ABD'li ana şirketin nihai kontrolü elinde bulundurmasıdır.
ABD Yargı Yetkisinin Kapsamı
Ancak ABD yasalarının kapsamı burada bitmiyor. Rapora göre ABD'nin yargı yetkisi yalnızca ABD şirketlerinin Avrupalı yan kuruluşlarını kapsayamaz. Ayrıca, ABD ile ilgili iş bağlantılarına sahip olmaları koşuluyla, tamamen Avrupalı şirketleri de etkileme potansiyeli bulunmaktadır. Bu, dolaylı veya doğrudan veri erişimi riskini Avrupa iç pazarında faaliyet gösteren çok sayıda şirkete yayar.
Her ne kadar bir bulut sağlayıcısı verilere erişimi şifreleme yoluyla teknik olarak engelleyebilirse de, bu durum veriyi aktarma zorunluluğunu ortadan kaldırmaz. ABD usul hukuku, tarafların hukuki bir anlaşmazlık başlamadan önce usul açısından ilgili bilgileri saklamasını gerektirir. Bu nedenle, düzenli olarak açıklama talepleriyle karşı karşıya kalan bir bulut hizmet sağlayıcısı, verileri saklamak zorunda kalabilir. Kendisini teknik önlemlerle erişimden mahrum bırakırsa, ciddi para cezaları veya cezai sonuçlarla karşı karşıya kalabilir.
Avrupa'da denetleyici makamların, Genel Veri Koruma Yönetmeliği (GDPR) temelinde bilgilerin üçüncü ülkelerdeki yetkililere açıklanmasını yasaklamasına izin verilmektedir. ABD'ye veri aktarımları şu anda AB Komisyonu'nun sallantılı yeterlilik kararına (AB-ABD Veri Gizliliği Çerçevesi) dayanabiliyor. Ancak rapor, ABD yasalarının küresel erişiminden kaynaklanan hukuki gerilimleri gösteriyor. Dijital egemenliği güçlendirmek için Avrupa alternatifleri geliştirme ihtiyacına işaret ediyor.
Reklamdan sonra devamını okuyun
Bu MS 365 & Co. için ne anlama geliyor?
Güncel bir analizde avukatlar Stefan Hessel, Christina Ziegler-Kiefer ve Moritz Schneider yine de bulut tabanlı Microsoft 365 çözümünün veri koruma uyumlu kullanımının temelde hala mümkün olduğu sonucuna varıyorlar. ABD'nin bölge dışı yetkilerinden kaynaklanan soyut risk, Avrupa yasalarının sistematik olarak ihlal edildiğine dair bir kanıt olmadığı sürece, kendi başına işleyicinin otomatik olarak güvenilmezliğini teşkil etmez. Sorumluların uyumluluk yükümlülüklerine odaklanmaları ve riskin yüksek olması durumunda bir veri koruma etki değerlendirmesi yapmaları gerekecektir. Diğer uzmanlar bunu bu şekilde görmüyor.
(vbr)
Bir yanıt yazın