Devlet İş Birliği ve Yasal Talepler

1. Kapsam ve Amaç

Bu politika, ABD federal veya eyalet makamları, kolluk birimleri, savcılık makamları, düzenleyici otoriteler, mahkemeler veya kanunen yetkilendirilmiş diğer resmi kurumlar tarafından DreamVerge veya DreamVerge adına veri işleyen hizmet sağlayıcılara yöneltilen veri taleplerinin değerlendirilmesine ilişkindir.

Amacımız iki yönlüdür: bir yandan geçerli ve bağlayıcı hukuki taleplere uygun şekilde yanıt vermek, diğer yandan kullanıcıların mahremiyetini, veri minimizasyonu ilkesini ve sınır ötesi veri koruma yükümlülüklerini mümkün olan en güçlü şekilde korumak.

Bu metin, hukuki süreçlerimizi şeffaflaştırmak için hazırlanmıştır. Somut olaylarda uygulanacak usul; talebin türüne, verinin niteliğine, hangi şirket veya hizmet sağlayıcının fiili kontrol sahibi olduğuna, ilgili ülkelerin veri koruma kurallarına ve bağlayıcı mahkeme kararlarına göre değişebilir.

2. CLOUD Act Nedir, Ne Değildir?

ABD’de 2018 yılında kabul edilen Clarifying Lawful Overseas Use of Data Act, kısaca CLOUD Act, elektronik delillere erişim bakımından fiziksel veri lokasyonuna değil, belirli koşullarda hizmet sağlayıcının veri üzerindeki muhafaza, kontrol veya erişim imkanına odaklanan bir çerçeve getirmiştir.

Bu çerçevenin pratik sonucu şudur: ABD hukukuna tabi bir hizmet sağlayıcıdan, veriler ABD dışında saklansa bile, bazı durumlarda verinin üretilmesi istenebilir. Ancak bu durum, ABD makamlarının her türlü veriye her zaman serbestçe ulaşabileceği anlamına gelmez.

CLOUD Act bir “sınırsız erişim lisansı” değildir. Talebin dayandığı hukuki aracın geçerli olması, yetkili makamdan çıkması, kapsamının belirli olması, meşru bir soruşturma veya hukuki amaçla bağlantılı olması ve gereklilik-orantılılık denetiminden geçebilmesi gerekir.

• Sunucu konumu tek başına belirleyici değildir.
• Erişim yetkisi ile hukuki yetki aynı şey değildir; ikisi birlikte incelenir.
• Çatışan yabancı hukuk varsa, itiraz veya daraltma imkanları değerlendirilebilir.
• Her veri kategorisi aynı hukuki eşikte değildir.

3. Talep Türleri ve İnceleme Eşikleri

ABD kaynaklı taleplerde, talebin niteliği hangi verinin hangi standartla değerlendirileceğini etkiler.

DreamVerge, talebin adı ne olursa olsun sadece başlığa bakarak işlem yapmaz. Belgenin çıkaran makamı, dayandığı yasa, coğrafi ve kişisel kapsamı, zaman aralığı, hedef hesapların belirginliği ve istenen veri kategorileri ayrı ayrı kontrol edilir.

İçerik verisi ile abonelik veya oturum verisi aynı hassasiyet düzeyinde değildir. Bu nedenle talebin türüne göre farklı belge standardı, farklı iç onay seviyesi ve farklı itiraz stratejisi uygulanabilir.

• Mahkeme emri veya arama kararı: Özellikle içerik verisi bakımından daha yüksek yargısal denetim aranabilir.
• Mahkeme celbi veya idari celp: Kimlik bilgisi, faturalama kaydı veya sınırlı hesap verileri gibi içerik dışı kategoriler için gündeme gelebilir.
• Koruma veya muhafaza talepleri: Belirli verilerin silinmeden korunması istenebilir; bu durum her zaman derhal ifşa anlamına gelmez.
• Acil durum talepleri: Ölüm, ağır yaralanma, çocuk güvenliği veya benzeri yakın risk iddiası varsa hızlandırılmış inceleme yapılabilir.

4. İç Değerlendirme ve Doğrulama Adımları

Sadece “resmi görünmesi” yeterli değildir. Talebin özgünlüğü, imza veya elektronik doğrulama unsurları, karar numarası, yetkili makam bilgisi ve varsa usuli dayanak belgeleri teyit edilir.

İstenen veriler bizim sistemlerimizde mevcut değilse, tutulmuyorsa, silinmişse veya fiilen kontrolümüzde değilse, bunu kayıt altına alır ve hukuken gerekli olduğu ölçüde talep sahibine bildiririz. Bilmediğimiz, üretmediğimiz veya takip etmediğimiz verileri yaratıp paylaşmayız.

Aşırı geniş tarih aralıkları, hedefi belirsiz kullanıcı toplulukları veya genel keşif niteliği taşıyan talepler, mümkün olduğunda daraltma talebi, ek açıklama isteme veya itiraz değerlendirmesine tabi tutulur.

• Talebin gerçekten resmi makamdan gelip gelmediğini doğrularız.
• Belgenin usulen geçerli ve yürürlükte olup olmadığını kontrol ederiz.
• DreamVerge veya ilgili hizmet sağlayıcının veriye fiilen erişip erişemediğini inceleriz.
• Talebin kapsamını veri minimizasyonu ilkesiyle daraltmaya çalışırız.
• Çatışan yabancı hukuk, kullanıcı hakları ve bildirim yasağı risklerini ayrıca analiz ederiz.

5. Kullanıcı Bildirimi, Gizlilik ve Gecikmeli Bildirim

Yasal bir yasak, mahkeme kaynaklı gizlilik emri, soruşturmanın gizliliğini koruma gereği veya somut zarar riski bulunmadığı sürece; verisi talep edilen kullanıcıyı haberdar etmeyi hedefleriz. Bu hedef, her olayda otomatik bildirim yapılacağı anlamına gelmez.

Bazı ABD talepleri, kullanıcının belirli bir süre bilgilendirilmemesini emredebilir. Böyle bir durumda bildirim yasağının kapsamını ve süresini inceler, aşırı geniş ise daraltma imkanlarını değerlendiririz.

Bildirim yapılabildiği durumlarda, mümkün olduğu ölçüde talebin kapsamı, ilgili tarih aralığı, talep eden makamın genel niteliği ve kullanıcının mevcut başvuru hakları hakkında makul bilgi sunmayı amaçlarız.

6. Yabancı Hukukla Çatışma ve Sınır Ötesi Sorunlar

ABD kaynaklı bir talep, verinin bulunduğu ülkenin veri koruma hukuku veya zorunlu gizlilik kuralları ile çatışabilir. Böyle durumlarda tek kriter ABD talebinin varlığı değildir; karşı hukuk düzeninin bağlayıcılığı, veri öznesinin bağlantısı, hizmetin sunulduğu yer ve alternatif resmi kanallar da önem taşır.

DreamVerge, somut olayda mümkünse daha dar kapsamlı üretim, anonimleştirme, kısmi redaksiyon, zaman aralığını daraltma veya uygun uluslararası adli yardımlaşma kanalına yönlendirme seçeneklerini değerlendirir.

ABD ile başka bir ülke arasında geçerli bir icra veya veri erişim anlaşması bulunması, incelemeyi etkileyebilir; yine de her somut olay ayrıca değerlendirilmeye devam eder.

7. Acil Durum Talepleri

Acil durum talepleri, hayatı tehdit eden, ağır bedensel zarar riski içeren, çocukların korunmasına ilişkin veya benzeri yakın ve ciddi tehlike iddiaları taşıyan başvurulardır. Bu başvurular normal sıradan farklı ve daha hızlı ele alınabilir.

Bununla birlikte “acil” etiketi tek başına yeterli değildir. Talep sahibinin kimliği, tehdidin somutluğu, zaman hassasiyeti, istenen veri kategorisinin riskle gerçekten bağlantısı ve daha dar bir veri setinin yeterli olup olmayacağı ayrıca incelenir.

Acil durumlarda dahi sadece riskin azaltılması için gerekli en dar veri setini değerlendirmek temel ilkemizdir. Olay sona erdiğinde veya yeterli zaman oluştuğunda olağan hukuki belgelendirme ve iç kayıt süreçleri tamamlanır.

8. Şeffaflık, Kayıt ve Sınırlamalar

Şeffaflık politikamız, kullanıcı güvenini korumayı amaçlar; ancak devam eden soruşturmalar, gizlilik emirleri, ticari güvenlik önlemleri ve hukuki kısıtlar nedeniyle her talebi kamuya tek tek açıklayamayabiliriz.

Bu politika bir hukuk bürosu görüşü, mahkeme taahhüdü veya tüm olası senaryolar için eksiksiz bir normlar listesi değildir. Hizmet mimarisi, kullanılan üçüncü taraf sağlayıcılar ve yürürlükteki yasalar değiştikçe süreçlerimiz de güncellenebilir.

• Her resmi talep için iç denetim kaydı tutulur.
• Talebin kaynağı, dayanağı, kapsamı ve yanıt şekli kayıtlanır.
• Uygun olduğunda toplulaştırılmış şeffaflık raporlaması yapılabilir.
• Bu sayfa, bireysel davalara ilişkin kamuya açık teyit veya ret anlamına gelmez.