Bağlantıları atla

Kişisel Verilerin Korunması Kanunu Kapsamında Yurtdışına Veri Aktarımı

A. GENEL TANIM

Kişisel verilerin korunması sürecinin son derece popüler olduğu son yıllarda, verilerin yurt dışına aktarılması konusu özellikle sunucusu yurtdışında bulunan şirket programlarını kullanan şirket sorumluları tarafından ayrı bir öneme sahiptir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9.maddesi kişisel verilerin yurt dışına aktarılmasını düzenlemekte olup; Kanun uyarınca temel kural, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı yönündedir. Mevcut maddenin 2.fıkrasında, istisnai bir düzenleme sağlanarak; belirtilen şartların varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına kanun uyarınca imkân tanınmıştır. Belirtmek gerekir ki, Kanun’un 3.maddesinin 1.fıkrasının (d) bendinde belirtilen genel nitelikli kişisel veriler ile; 6.maddesinin 1. Fıkrasında yer alan özel nitelikli kişisel veriler bu madde uyarınca aktarılabilecek verilerdir.

B. TEMEL DÜZENLEMELER

Yukarıda da bahsi geçtiği üzere, kişisel verilerin yurtdışına aktarımı için kural olarak ilgili kişinin açık rızası aranmaktadır. Aynı zamanda, ilgili kişinin açık rızasına dayanarak yurtdışına aktarım yapılabilmesi için de bu açık rızanın yurt dışına aktarım kapsamının ayrıntılı şekilde belirtilmesi gerekmektedir. Dülger’e göre; yurtdışına veri aktarımında alınacak olan açık rızanın genel koşullarının yanı sıra içermesi gereken asgari unsurları şu şekildedir:

– Yurtdışına aktarım yapılacağı bilgisi,
– Aktarım yapılacak ülke ya da ülkeler,
– Aktarımın amacı,
– Aktarım sonrası verinin hangi amaçlarla işleneceği,
– Verinin, alan kişi tarafından başka kişilere aktarılıp aktarılmayacağı.

Kural olarak, yurtdışına veri aktarımında verinin ülke dışına çıkması yeterli olup; üçüncü kişiye aktarılması zorunlu değildir. Örnek vermek gerekirse, Bir Türk şirketinin çalışan verilerini yurtdışında bulunan an şirketin sağladığı merkezi insan kaynakları uygulamasında tutmaktadır. Böylelikle şirketin Türkiye’deki çalışanlarının özlük bilgileri yurtdışındaki ana şirkete gönderilmektedir. Bu işlem yurtdışına aktarım olarak değerlendirilmelidir.

C. İSTİSNAİ DÜZENLEMELER

Kanunda belirtilen şartların varlığı halinde, istisnai düzenleme olarak açık rıza aranmaksızın kişisel verilerin yurtdışına aktarılmasına olanak sağlanmıştır. Buna göre; genel nitelikli veriler için, Kanun’un 5. Maddesinin 2. Fıkrasında yer alan için işlenme şartlarından birisinin bulunması veya özel nitelikli veriler için ise Kanun’un 6.maddesinin 3. Fıkrasında yer alan şartlardan birisinin bulunmasına bağlı olarak;

– Verilerin aktarımının yapılacağı ülkede yeterli korumanın bulunması ya da,
– Veri aktarımının yapılacağı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla

ilgili kişinin açık rızasının aranmayacağı belirtilmiştir. Bu düzenleme ile genel hükme bir istisnai bir düzenleme getirilerek; adeta açık rıza gerektirmeyen bir çözüm sunulmuş ve açık rıza dışındaki haller için Kanun, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre bir ayrıma gitmiş ve buna istinaden farklı düzenlemelerde bulunmuştur.

1. Yeterli Korumanın Bulunması:

Yeterli korumanın bulunması halinde, Kanun’un 5.maddesinin 2. fıkrasında bulunan genel nitelikli veriler bakımından işlenme şartlarından birisinin varlığı halinde ilgili kişinin açık rızasına gerek olmaksızın yurtdışına veri aktarımı yapılabilecektir.

Benzer şekilde veri aktarımının yapılacağı ülkede yeterli korumanın bulunması halinde, özel nitelikli kişisel verilerin yer aldığı m.6/3’de mevcut olan şartlardan birisinin bulunması durumunda;

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi,
– Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi,

Hallerinde ilgili kişinin açık rızası aranmaksızın yurtdışına veri aktarımı yapılabilecektir.

Kanun’un 9.maddesine göre, yeterli korumaya sahip ülkeler Kurul tarafından belirlenerek ilan edilecektir. Ancak mevcut tarih -17.02.2020- itibariyle henüz Kurul tarafından güvenli ülkelere (kişisel verilerin aktarımında yeterli korumanın bulunduğu ülke) ilişkin herhangi bir liste yayımlanmamıştır. Uygulamada özellikle veri sorumluları tarafından Avrupa Birliği ülkelerine yapılan aktarımlar, ilk etapta yeterli korumanın bulunduğu ülkeye aktarım olarak nitelendirilse de Kanun’un öngördüğü üzere Kurul tarafından resmi olarak açıklanmayan herhangi bir ülkeye yapılan aktarımlar, her halükarda bu hüküm altında gerçekleştirilen aktarım olarak düşünülmemelidir.

Bu noktada önemle hatırlatmak gerekirse, Avrupa Birliği ülkeleri nezdinde yürürlükte olan 25 Mayıs 2018 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü ile Türkiye’nin taraf olduğu ve Kanun’un yürürlüğe girdiği tarihte Resmi Gazete’de yayımlanarak kabul edilen 108 sayılı 28.01.2018 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi gibi unsurlar, hiçbir şekilde kendiliğinden Avrupa Birliği üye ülkelerini bu Kanun uyarınca yeterli korumanın bulunduğu ülkeler sınıfına dâhil etmez. Bu ve bunun gibi faktörler yalnızca Kanun’un ilgili maddesinde düzenlenen;

“Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.” hükmü çerçevesinde değerlendirilir. Mevcut durumda Avrupa Birliği ülkelerinin yeterli korumanın bulunduğu ülkeler sınıfına dahil edilememesinin en büyük nedeni de, ilgili hükmün b bendinde düzenlenen karşılıklık durumunun tam olarak sağlanamamasıdır.

2. Yeterli Korumanın Bulunmaması:

Yurtdışına veri aktarımı yapılacak ülkenin yeterli korumaya sahip olmaması durumunda, aktarım ancak Türkiye’deki ve yurtdışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt ederek Kurul’dan izin almaları durumunda mümkün olabilmektedir.

Olası Çözüm: Hâlihazırda Kurul tarafından ilan edilmiş yeterli korumaya sahip (güvenli ülke) ülkelerin listesi mevcut olmadığı için; yurtdışına veri aktarımlarının tamamı ya açık rıza alınarak ya da yeterli koruma yazılı olarak taahhüt edilip Kurul’dan izin alınması yoluyla yapılmalıdır.

Veri işleme sürecinin belirli bir aşamasının tamamlandığı ve hâlihazırda birçok ilgili kişinin kişisel verisinin yurt dışına aktarıldığı süreçlerde açık rıza metodu pratik olmayacağından bu noktada taahhüt yöntemi tercih edilebilir konuma gelmektedir. Taahhüt durumunda, Türkiye’de bulunan veri sorumlusu ve yeterli korumanın bulunmadığı ülkede bulunan veri sorumlusu veya veri işleyen yazılı bir taahhütname imzalamak suretiyle yeterli korumayı sağlayacaklarını taahhüt ederek; bu taahhütle birlikte Kurul’a başvurarak yurtdışına veri aktarımı hususunda izin almak zorundadırlar.

Ancak uygulamada aktarımın gerçekleştirileceği birçok veri sorumlusu/veri işleyen, ilgili taahhütnameyi sorumluluğun Kişisel Verileri Koruma Kurumu (“Kurum”) nezdinde bağlayıcı olması noktasındaki çekinceleri sebebiyle bu yöntemi kabul etmemektedir. Aynı zamanda merkezi yurt dışına bulunan birçok uluslararası şirket de ilgili metodu uygulamaktan kaçınmaktadır. Bu nedenle konu ile ilgili olarak Kurum’un bir açıklama yapması, pratik süreçteki tıkanıklığın giderilebilmesi açısından büyük önem arz etmektedir. Kurul tarafından, yurtdışına veri aktarımında tarafların karşılıklı hazırlayıp imzalayacakları taahhütnamede yer alacak asgari unsurları belirlemiş ve ilan etmiştir.

SONUÇ

Yukarıda detaylıca açıklandığı üzere, yurtdışına veri aktarımı kanun koyucu tarafından ayrıca düzenleme alanı bulmuştur. Günümüzde şirket iş takibi süreçlerinde kullanılan birçok programın ana sunucusunun yurtdışında bulunması sebebiyle verilerin yurtdışına aktarımı gündeme gelmekte ve bu kapsam altında verilerin işlenmesi, işlenme şartları, veri aktarımı ve veri güvenliği konularında da şirketlerin gerekli tedbir ve düzenlemeleri alması son derece önem arz etmektedir. Buna bağlı olarak, Kurul’un en kısa zamanda veri aktarımında yeterli korumaya sahip(yeterli ülke) ülkeleri belirlemesi iş süreçleri itibariyle yurtdışına veri aktarımında bulunmak durumunda olan veri sorumluları bakımından da yol gösterici bir düzenleme olacaktır.

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır. Size en iyi web deneyimini sağlamak için çerezleri kullanıyoruz. Gizlilik politikasını buradan okuyabilirsiniz.