KVKK – Yurtdışına Veri Aktarımı Kamuoyu Duyurusu
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. Kanunun 32 nci maddesi uyarınca Kanunun 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girmiştir. Bununla birlikte, Kanunun “Geçiş hükümleri” başlıklı Geçici 1 inci maddesinin üçüncü fıkrasında Kanunun yayımı tarihinden önce işlenmiş olan kişisel verilerin, yayımı tarihinden itibaren 2 yıl içerisinde Kanun hükümlerine uygun hale getirileceği düzenlenmiştir. Bu anlamda, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanuna uyum için makul bir süre hem Kanunda yer alan düzenlemelerle hem de Kurumumuzun işbirliğine dayalı anlayışı ile kişisel veri işleme faaliyetinde bulunan ilgililere tanınmıştır.
Kurumumuz faaliyete geçtiği günden bu yana, kişisel verilerin korunmasına yönelik farkındalık yaratmak ve ilgililerin iş süreçlerini Kanuna uygun olarak yeniden tasarlayabilmeleri adına Ülkemizin her bölgesine yayılan organizasyonlar gerçekleştirmekte, ilgili meslek örgütleri ve sivil toplum kuruluşları ile sürekli olarak bilgi alışverişinde bulunmakta, veri sorumluları ile veri işleyenleri yönlendirmekte ve ilgili paydaşlardan gelen talepleri uygun düştüğü ölçüde karşılamaktadır. Bu kapsamda, eğitim programları düzenlenmekte ve Kanuna etkili bir uyumun sağlanabilmesi için işleme faaliyetinde bulunan aktörlere kolaylık sağlanmaya çalışılmaktadır. Ayrıca yine önemle ifade etmek gerekir ki, başta Türkiye Odalar ve Borsalar Birliği ve muhtelif sektör temsilcileri olmak üzere çeşitli paydaşların talebi doğrultusunda Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmesi için tanınan süre kapsamlı uyum sürecinin gerektirdiği özen, Sicile kayıt uygulamasıyla kişisel verileri işlenen ilgili kişiler bakımından sağlanması amaçlanan şeffaflığın tam anlamıyla gerçekleşmesi gereği ve COVID-19 salgınının etkileri dikkate alınarak üç kere uzatılmıştır. Yine, COVID-19 salgını sürecinde uzaktan ve/veya dönüşümlü çalışma uygulamalarının neden olabileceği zorluklar; her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu (Kurul) tarafından göz önünde bulundurulmuştur.
Kurumumuz, Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamanın ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmenin yanında, veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmayı da misyon olarak benimsemektedir. Kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değer büyük bir önem arz etmektedir. Nitekim Kurumumuz da bu farkındalığa sahip olarak kişisel verilerin korunması ve dijital dönüşümün çok yoğun bir şekilde yaşandığı günümüzün gereklerine uygun olarak kişisel verilerin önemli bir parçasını teşkil ettiği verimi yüksek ve avantajlı iş süreçlerinin sürdürülebilmesi arasında bir denge gözetmektedir. Ancak takdir edilecektir ki, Kurumumuz Kanunda öngörülen görev ve yetkileri çerçevesinde faaliyetlerini sürdürmektedir. Bu anlamda, kişisel verilerin Kanunda yer verilen usul ve esaslara uygun olarak işlenmesinin sağlanması ve zorunlu izin ve/veya yetkilendirme süreçlerinin işletilmesi Kurumumuzun asli yükümlülüğüdür. Ancak bu noktada belirtilmesinde fayda görülmektedir ki, ilgili mevzuat hükümleri çerçevesinde Kurumumuz çağdaş hukuk düzenlerinde yürürlükte bulunan kişisel verilerin korunması ile ilgili düzenlemeler ve bunlara ilişkin uygulama ile aynı doğrultuda etkinlik göstermektedir.
Öte yandan, çeşitli özel sektör temsilcileri ve akademik kuruluşlardan Kanun ve ilgili ikincil mevzuatın uygulanmasına ve Kurumumuzun yürüttüğü faaliyetlere ilişkin birtakım eleştirilerde bulunulduğu görülmektedir. Söz konusu eleştiriler, çoğulcu bir yaklaşımla kişisel verilerin korunması alanında daha uygulanabilir modellerin oluşturulması imkânını tanıması bakımından Kurumumuz tarafından olumlu karşılanmakla birlikte, ilgililer nezdinde oluşabilecek yanlış anlaşılmaların giderilmesi gerektiği değerlendirilmektedir. Bu Kamuoyu Duyurusu da kişisel verilerin yurt dışına aktarılması özelinde Kurumumuzun çalışmalarını ve bakış açısını ortaya koyarak bu yanlış anlaşılmaların önüne geçilmesi amacıyla yayınlanmaktadır.
a) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Kanunda Öngörülen Düzenleme
Kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslar, Kanunun 9 uncu maddesinde düzenlenmekte olup; söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı; ancak Kanunun 5 inci maddesinin ikinci fıkrası ile özel nitelikli kişisel veriler bakımından 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükme bağlanmıştır.
Kişisel verilerin yurt dışına aktarılması, Kanunun 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyetidir. Yani, kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Nitekim özel olarak Kanunun 9 uncu maddesinde düzenlenmiş olsa da ilgili hükümde Kanunun 5 inci ve 6 ncı maddelerinde düzenlenmiş kişisel verilerin işlenme şartlarına atıf yapılmaktadır.
Diğer taraftan belirtmek gerekir ki, kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır. Bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanunun uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınması amaçlanmaktadır. Bu bağlamda, kişisel verilerin yurt dışına aktarımına ilişkin düzenlemeler ve bu düzenlemeler çerçevesinde Kurumumuz tarafından benimsenen yaklaşım ve yürütülen faaliyetler küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan bir miktarda gerçekleşen sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflemektedir.
b) Yeterli Koruma Bulunan Ülkelerin (Güvenli Ülkelerin) Belirlenmesi
b-1) İlgili Ülkede Yeterli Koruma Bulunup Bulunmadığına İlişkin Değerlendirme
Kanunun 9 uncu maddesinin üçüncü fıkrasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği düzenleme altına alınmıştır. Bununla birlikte, anılan maddenin dördüncü fıkrasında, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına; Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını değerlendirmek suretiyle karar vereceği hükme bağlanmıştır. Nitekim Kurulun 02.05.2019 tarihli ve 2019/125 sayılı kararı ile de, yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form Kurumumuz resmi internet sitesinde yayımlanmış olup, söz konusu forma göre yeterli korumanın bulunduğu ülkelerin belirlemesinde, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alınacağı belirtilmiştir.
Kurul tarafından yeterli koruma bulunup bulunmadığına ilişkin yapılacak değerlendirme; çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında sonuçlandırılabilecektir (Madde 29 Çalışma Grubu, Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive, s. 26, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/1998/wp12_en.pdf ). Öte yandan, “yaşayan” birer doküman olarak nitelendirilebilecek yeterlilik kararları, periyodik gözden geçirmelere tabi tutulacak ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir. Dolayısıyla, güvenli ülke statüsü tayini, ilgili ülke ile yakın işbirliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreci ifade etmektedir (Avrupa Komisyonu, COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World, s. 8-9, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN).
b-2) Güvenli Ülke Statüsünün Karşılıklı Olarak Tanınmasının Önemi
Kanunun 9 uncu maddesinin dördüncü fıkrasının (b) bendi uyarınca Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacaktır. Bu noktada belirtmek gerekir ki, Dışişleri Bakanlığı ile güvenli ülke statüsü tayinine ilişkin yapılan bütün yazışmalarda mütekabiliyet hususu ön plana çıkmakta ve yürütülecek müzakerelerin her hal ve şartta karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmaktadır.
Öte yandan, kişisel verilerin korunması bakımından güvenli ülke statüsünün değerlendirmeye konu ülke ile karşılıklı olarak tanınması Ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için de büyük bir önem arz etmektedir.
b-3) Kurumumuz Tarafından Yürütülen Güvenli Ülke Statüsü Tayini Çalışmaları
Hâlihazırda güvenli ülke statüsü tayini için diğer devletlerden Kurumumuza iletilmiş herhangi bir talep bulunmamakla birlikte, mevcut ve potansiyel ticari ilişkiler, coğrafi ve/veya kültürel bağlar ve siyasi/diplomatik ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilmekte ve bu kapsamda çalışmalar yoğun bir şekilde sürdürülmektedir. Diğer taraftan, diğer kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve diğer paydaşlar tarafından hakkında yeterlilik kararı verilmesinin yararlı olacağı değerlendirilen ülkelere ilişkin önerilerde bulunulması halinde Kurumumuz çalışmalarını uygun düştüğü ölçüde yönlendirmektedir. Ayrıca belirtmek gerekir ki, güvenli ülke statüsü tayinine ilişkin çalışmalar Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütülmektedir. Bu çerçevede; Kurumumuz tarafından güvenli ülke statüsü tayini ile ilgili olarak muhtelif ülkelerle görüşmelerimiz devam etmekte olup, Avrupa Birliği (AB) ile hem resmi hem de gayri resmi nitelikte yapılan görüşmeler kapsamında gerek karşılıklı yeterlilik kararı verilmesi gerek Ülkemizde yürürlükte olan kişisel verilerin korunması mevzuatının AB müktesebatına uygun olarak güncellenmesi konularında istişarelerde bulunulmaktadır. Bununla birlikte, Kurumumuz üye devletler adına yeterlilik kararı vermeye yetkili Avrupa Komisyonunun ve Avrupa Komisyonuna yeterli koruma değerlendirmesi hususunda görüş veren Avrupa Veri Koruma Kurulunun konuya ilişkin çalışmalarını ve dokümanlarını yakından takip etmekte ve bu süreçte tesis edilen yeterlilik kararlarını inceleyerek potansiyel müzakereler için hazırlıklarını tamamlamaktadır. Bu kapsamda, Kurumumuz; ilgili diğer kamu kurum ve kuruluşları ile koordinasyon içerisinde Avrupa Komisyonu ile karşılıklı güvenli ülke görüşmelerinin yürütülebilmesi için gerekli her türlü tedbiri almış durumdadır.
b-4) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme)
b-4-1) 108 sayılı Sözleşmenin 12 nci maddesinin Ülkemizdeki uygulamasına ilişkin olarak:
Bilindiği üzere, 108 sayılı Sözleşmenin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12 nci maddesi,
“1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.
2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.
3) Bununla birlikte her bir Taraf, 2 nci fıkradaki hükümlere aşağıdaki durumlarda istisna getirebilir:
a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;
b) Bu transferin bir Tarafın ülkesinden, bir diğer taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.”
hükmünü amir bulunmakta olup, düzenlemede Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacakları veya özel bir izin mekanizması öngörmek suretiyle kısıtlayamayacakları öngörülmüştür. 108 sayılı Sözleşmeye ilişkin Açıklayıcı Raporda da (Rapor) hükmün ikinci fıkrasında yer alan düzenlemenin amacının, Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu belirtilmiştir. Bununla birlikte, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınıraşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığı açıklaması da yapılmıştır (Avrupa Konseyi, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Paragraf 67. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800ca434).
Öte yandan, Kanunun 9 uncu maddesinin dördüncü fıkrasının (a) bendinde Kurulun veri aktarımına izin verip vermeyeceğine ilişkin yapacağı değerlendirmede Ülkemizin taraf olduğu uluslararası sözleşmelerin dikkate alınacağı hükme bağlanmıştır. Bu anlamda, kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olmasının Kurulun değerlendirmesine esas teşkil edecek unsurlardan biri olduğu anlaşılmaktadır. Nitekim 108 sayılı Sözleşmeye taraf olma durumu, yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarihli ve 2019/125 Kararında kabul edilen kriterler arasında da yer almaktadır. Bununla birlikte, maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ile Ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumunun da Kurulun değerlendirmesinde göz önünde bulunduracağı düzenlenmiştir.
Bu çerçevede, yukarıda belirtildiği üzere, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine ilişkin Raporda yer alan açıklama ve Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmede hem 108 sayılı Sözleşme gibi Ülkemizin taraf olduğu uluslararası sözleşmeleri hem de kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini değerlendireceğine ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme dikkate alındığında Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu açıktır.
b-4-2) 108 sayılı Sözleşmenin 12 nci maddesinin AB’deki uygulamasına ilişkin olarak:
AB hem mülga 95/46/AT sayılı Direktif hem de Gerçek Kişilerin Kişisel Verilerin İşlenmesi Bakımından Korunması ve Bu Verilerin Serbest Dolaşımı Hakkında ve 95/46/AT sayılı Direktifi Yürürlükten Kaldıran 27/04/2016 tarihli ve (AB) 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir. Nitekim 108 sayılı Sözleşmeye taraf olsa dahi bir ülkenin ancak yeterli koruma sağlayıp sağlamadığına ilişkin hakkında yapılacak ayrı bir değerlendirme sonrasında güvenli ülke olarak ilan edildiği görülmektedir(Örnek: İsviçre). Öte yandan AB, 108 sayılı Sözleşmeye ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün yürürlüğe girmesinden sonra da Sözleşmeye ve Protokole taraf ülkeler için aynı süreci işletmiştir (Örnek: Andorra).
Kurulun “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması” hakkında 22.07.2020 tarihli ve 2020/559 sayılı Kararında yukarıdaki değerlendirmeler çerçevesinde 108 sayılı Sözleşmenin 12 nci maddesi hükmünü gerekçe göstererek Kanunun 9 uncu maddesinin ikinci fıkrası uyarınca aktarım tarafları arasında düzenlenmiş yazılı bir taahhütnamenin ve Kurulun izninin bulunmaması nedeniyle yurt dışına kişisel veri aktarımı gerçekleştiren bir veri sorumlusu hakkında idari para cezasına hükmedilmiştir. Ancak belirtilmesinde fayda görülmektedir ki, söz konusu karar birtakım eleştirilerde ifade edildiği gibi yurt dışına veri aktarımını imkânsız hale getirmemektedir. Kararla, Ülkemizin taraf olduğu 108 sayılı Sözleşme ve Sözleşmeye Ek Protokolün uygulamasına Kurumumuzun yaklaşımı açıklanmakta ve 108 sayılı Sözleşmeye taraf olma durumunun Kurumumuz tarafından güvenli ülke statüsü tayini için yeterli olmadığı vurgulanarak veri sorumlularının Kanunun 9 uncu maddesi uyarınca yazılı bir korumayı taahhütte bulunarak kişisel veri aktarımlarını gerçekleştirmeleri gerektiği belirtilmektedir.
c) Yeterli Koruma Bulunmayan Ülkelere Kişisel Veri Aktarımı
Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendi kapsamında yeterli korumanın bulunmadığı ülkelere aktarımın gerçekleştirilebilmesi için aktarım taraflarının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun aktarıma izin vermesi gerekmektedir. Kurul öncelikle, yurt dışına kişisel veri aktarımında veri sorumlusu tarafından hazırlanacak taahhütnamelerde yer alacak asgari unsurları belirlemiştir. Daha sonrasında ise çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda Bağlayıcı Şirket Kuralları alternatif bir yeterli koruma sağlama yolu olarak belirlenmiştir.
c-1) Taahhütnameler
Kurumumuz tarafından hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına kişisel veri aktarımlarında kullanılmak üzere iki tür taahhütname hazırlanmıştır. Ancak, Kurumumuza veri sorumluları tarafından yapılan başvurularda taahhütnamelerin ekinde yer alan söz konusu kişisel veri aktarımının dayandığı işleme şartına, amacına, aktarıma konu veri kategorilerine, veri konusu kişi grubuna veya gruplarına, aktarım yapılacak tarafın alacağı idari ve teknik tedbirlere ve saklama süresi gibi unsurlar ile ilgili açıklamaların aktarıma izin verilip verilmeyeceğine ilişkin değerlendirmeye esas teşkil edilebilecek detayda ve açıklıkta olmadığı görülmüştür. Ayrıca, yapılan başvuruların idari makamlara yapılacak başvurularda riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit edilmiştir. Bunun üzerine bahse konu taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar ile ilgili detaylı bir kamuoyu duyurusu hazırlanarak Kurumumuzun resmi internet sitesinde yayımlanmıştır.
Diğer taraftan belirtmek gerekir ki, yurt dışına kişisel veri aktarımı gerçekleştirmek amacıyla yapılan başvurular, Kurumumuzun ilgili tüm birimleri tarafından hem hukuki hem teknik boyutlarıyla titizlikle incelenmekte ve mümkün olan en kısa süre içerisinde başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanınmaktadır. Bu anlamda, başvurucular desteklenmekte ve iş süreçlerinin aksamaması adına gerekli yönlendirmeler yapılmaktadır. Dolayısıyla, Kurumumuzun taahhütnamelerin onaylanması ve aktarıma izin verilmesi sürecinde zorlaştırıcı bir yaklaşım benimsediği eleştirisi gerçeği yansıtmamaktadır.
c-2) Bağlayıcı Şirket Kuralları
Kurumumuz tarafından veri sorumlularının organizasyonlarının ve iş süreçlerinin farklılık gösterdiği dikkate alınarak kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerin oluşturulması gereğini karşılayacak alternatif bir yöntem olarak Bağlayıcı Şirket Kuralları oluşturulmuştur. Bu kapsamda, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman yayımlanarak ilgililerin kullanımına sunulmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde Kanunun 9 uncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır. Ayrıca belirtmek gerekir ki, söz konusu yöntem AB’de kişisel verilerin korunmasında temel düzenleme niteliği haiz Genel Veri Koruma Tüzüğünde de hakkında yeterlilik kararı verilmemiş ülkelere yapılacak aktarımlarda kullanılabilecek uygun güvenlik düzeyini sağlama yöntemlerinden biri olarak öngörülmektedir.
d) Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Diğer Kanunlarda Öngörülen Düzenlemeler
Kanunun 4 üncü maddesinin birinci fıkrası “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünü amirdir. Bu anlamda, Kanun çerçeve düzenleme niteliğini haiz olarak yurt dışına aktarım dâhil olmak üzere kişisel verilerin işlenmesine ilişkin temel usul ve esasları belirlemekte; sektörlere ilişkin farklı düzenlemelerin bulunması halinde bu düzenlemeleri tamamlayıcı bir rol üstlenmektedir. Diğer bir deyişle, farklı alanlarda sürdürülen kişisel veri işleme faaliyetlerinin tabi olduğu kanuni düzenlemeler Kanun ile beraber uygulanmakta ve bu şekilde söz konusu faaliyetlerin kendine özgü yapısından kaynaklanan gereklilikler de yerine getirilmiş olmaktadır. Kurumumuz da bütüncül bir bakış açısıyla hem mevzuatı tümüyle göz önünde bulundurarak hem de söz konusu kişisel veri işleme faaliyeti özelinde dikkate alınması gereken diğer unsurları tespit ederek faaliyetlerini yürütmektedir.
Yine Kanunun 9 uncu maddesinin altıncı fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” düzenlemesine yer verilmiştir. Anayasanın 90 ıncı maddesinin beşinci fıkrasında ise; “Usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir. (…)” denilmek suretiyle milletlerarası antlaşmaların usulüne uygun olarak iç hukukumuza dâhil edilmesi halinde kanun hükmünde sayılacağı açıkça düzenlenmiştir. Bu çerçevede, kanunlarda ve usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalarda kişisel verilerin yurt dışına aktarımına ilişkin bir düzenlemenin mevcut olması halinde, bu düzenlemeye göre hareket edilecektir. Nitekim Kurulun bankacılık sektörüne ilişkin olarak vermiş olduğu bir kararında 5411 sayılı Bankacılık Kanununun 73 üncü maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların Kanunun diğer hükümleri ile bağlı kalınmak şartıyla Kanunun 9 uncu maddesinin altıncı fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.
SONUÇ
Kişisel verilerin korunmasını isteme hakkı, Anayasanın “Temel Haklar ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde yer alan 20 nci maddenin üçüncü fıkrasında,
“IV. Özel hayatın gizliliği ve korunması
- Özel hayatın gizliliği
Madde 20 – …
(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
şeklinde düzenlenerek bir temel hak ve özgürlük olarak tanınmıştır. Bu anlamda, Kurumumuz her geçen gün daha fazla tehdit altında olan bir temel hak ve özgürlüğün korunması amacına hizmet etmektedir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurumumuz da bu bilince sahip olarak kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunmakla birlikte gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis etmekte olup, Kurumumuzun sürdürdüğü faaliyetler bireyleri en üst düzeyde korumaya yönelmiş bulunmaktadır. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin de faydalanabilmesi adına söz konusu gelişmeler takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışılmaktadır. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurumumuzca yürütülen güvenli ülke çalışmaları devam etmektedir. Bu noktada önemle ifade etmek gerekir ki, kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurul’un iznini öngören süreç, Kanunun 9 uncu maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucudur.
Kamuoyuna saygı ile duyurulur.
Yurtdışına Aktarım – 2
Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması,
- Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
6698 sayılı Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması bakımından aynı şartları aramakla birlikte kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Buna göre, kişisel verilerin yurtdışına aktarılması için 6698 sayılı Kanunda belirlenmiş şartlar maddeler halinde aşağıda detaylandırılmıştır.
1- İlgili kişinin açık rızasının bulunması
İlgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. Açık rıza alınması hakkında detaylı bilgi için tıklayınız.
2- Yeterli korumanın bulunması
Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;
a) Aktarılacak veri özel nitelikli kişisel veri değilse;
6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
b) Aktarılacak veri özel nitelikli kişisel veri ise;
6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde
yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
NOT: Yeterli korumanın bulunduğu ülkeler için tıklayınız (Bu konuda Kurul tarafından henüz bir belirleme yapılmamıştır.)
3- Yeterli korumanın bulunmaması halinde
Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;
- Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında , özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı.
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri aşağıdaki yöntemlerle gerçekleştirilebilecektir:
3a Taahhütnameler
İlgili kişinin açık rızasının bulunmadığı ve kişisel verinin aktarılacağı ülkenin yeterli korumaya sahip olmadığı durumda; kişisel verinin yurt dışına aktarılabilmesi için Kanunun 5 inci maddesinin 2 nci fıkrası ile 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kurul tarafından kabul edilerek ilan edilen “Taahhütnameler”dir.
Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir.
Veri Sorumlusundan Veri Sorumlusuna Aktarım |
Veri Sorumlusundan Veri İşleyene Aktarım |
3b Bağlayıcı Şirket Kuralları
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek bir diğer yöntem “Bağlayıcı Şirket Kuralları”dır.
Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu |
Veri Sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman |
Kaynak: KVKK
[vc_row][vc_column][vc_message message_box_color=”juicy_pink”]
KVKK – Kişisel Verilerin Yurtiçi Aktarımı
[/vc_message][vc_column_text]