Kişisel Verilerin Yurt Dışına Aktarılması

Dünyanın “global bir köye” dönüştüğü günümüz bilgi toplumunda akıllı telefonların hayatımızda önemli bir yer edinmesi ile birlikte bilgiye erişim ve yığılan bilgi miktarı niceliksel olarak artmaya başlamıştır.  Önceleri bu veri yığınlarının anlamlandırılabilir olmaması nedeni ile değersiz ve “veri çöplüğünden” ibaret olduğu savunulsa da özellikle veri bilimi ve veri madenciliğinin de gelişmesiyle kişilerin sosyal medya paylaşımları, fotoğrafları, kullanmış oldukları uygulamalar ve daha birçok kaynaktan toplanan verilerin anlamlı bir veriye dönüşebileceği ve bu verilerin işlenmesinin özellikle çok uluslu Şirket topluluklarının politikalarının belirlenmesinde büyük bir rol oynadığı ortaya çıkmış oldu.  Her ne kadar verilerin işlenmesi müşterilerine mal ve hizmet sağlayıcılığı yapan bu Şirketlerin lehine bir durum olsa da bu durum arkasında kişisel verinin işlenmesinde, korunmasında, aktarılmasında nasıl bir yol izlenmesi gerektiği gibi birçok sorunu beraberinde getirmektedir. Özellikle Amazon, Facebook gibi çok uluslu Şirket topluluklarının dünyanın hemen hemen her ülkesinde işlemiş olduğu kişisel veriler göz önünde bulundurulduğunda günümüzde kişisel verilerin yurt dışına aktarılması hususu büyük önem arz etmektedir.

Kişisel verilerin yurt dışına aktarılması; Ülkemizde 7 Nisan 2016 tarihinde yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9. maddesinde düzenlenmiş olup Kanun, kişisel verilerin yurt dışına aktarılması için -yurt içi aktarımdan farklı olarak- veri sorumlularına birtakım ek yükümlülükler yüklemiştir.

  • Kişisel Verilerin Yurt Dışına Aktarılması Şartları

Kanunun 4. maddesinde düzenlenmiş olunan genel prensipler doğrultusunda işlenmek amacıyla elde edilen kişisel veriler; 9. madde gereğince ilgili kişinin açık rızasının bulunması durumunda yurt dışına aktarılabilecektir. Eğer ilgili kişinin açık rızasının bulunmuyorsa kişisel veri ancak 9. maddenin 2. fıkrasındaki şartların sağlanması durumunda yurt dışına aktarılabilecek, bu şartların sağlanmadığı aktarımlar hukuka aykırı olacaktır.

Kanun, kişisel verilerin yurt dışına aktarılması şartlarını Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 45. maddesi ile uyumlu bir şekilde verinin aktarılacağı ülkede yeterli koruma bulunup bulunması kıstasına göre belirlemiştir. Buna göre kişisel veri yeterli korumanın bulunduğu ülkelere aktarılacak ise kişisel verinin niteliğine göre (normal veyahut özel nitelikli kişisel bir veri olması)  6698 sayılı Kanunun 5/2 veya 6/3 maddelerinde düzenlenen işleme şartlarının sağlanması gerekmektedir. Bu işleme şartlarının sağlanması halinde kişisel veri ilgili kişinin açık rızası bulunmaksızın yurtdışına aktarılabilecektir.

Kişisel verilerin yeterli korumanın bulunmadığı ülkelere aktarımında ise; yeterli korumanın bulunduğu ülkelere kişisel veri aktarım şartlarına ek olarak Türkiye’deki ve verinin aktarılacağı yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurulun bu veri aktarımına onay vermesi gerekmektedir.

1- YETERLİ KORUMANIN BULUNMASI DURUMUNDA KİŞİSEL VERİNİN YURT DIŞINA AKTARILMASI

Kişisel veri; Kurul tarafından belirlenerek ilan edilen (halihazırda Kurulun ilan etmiş olduğu bir güvenli ülke listesi bulunmamaktadır) yeterli korumaya sahip ülkelerden birine aktarılacaksa öncelikle kişisel verinin özel nitelikli kişisel veri olup olmadığının tespit edilmesi gerekmektedir.

A- Aktarılacak verinin özel nitelikli kişisel veri olmadığı durumlarda;

Kanunun 5. maddesinin 2. fıkrasında yer alan işleme şartlarının sağlanması gerekmektedir. Bu şartlar sınırlı sayıda sayılmış olup şartlar genişletilemez.

Buna göre; kişisel verinin işlenmesinin kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel verinin işlenmesinin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarından birinin varlığı halinde ilgili kişinin rızası olmaksızın kişisel verinin yurt dışına aktarımı hukuka uygun olacaktır.

Örneğin İş Kanunu’nun 75. Maddesi gereğince işverenin her bir işçisi için özlük dosyası oluşturması ve istenmesi halinde yetkili mercilere sunma yükümlülüğü bulunması nedeni ile işverenin -işçi ile imzalamış olduğu iş sözleşmesi uyarınca- işçinin adli sicil kaydını, ikametgah adresini, iş başvuru formunu, kendisi ve bakmakla yükümlü olduğu aile üyelerinin nüfus cüzdanı bilgilerini işlemesi kanundan doğan bir yükümlülük olması nedeni ile hukuka uygun olacaktır.

B- Aktarılacak verinin özel nitelikli kişisel veri olması halinde;

6698 sayılı Kanunun 6. maddesinin 1. Fıkrasında özel nitelikli kişisel veri kapsamına giren kişisel veriler sınırlı sayıda sayılmış olup bu verilerin niteliği gereği aktarımın hukuka uygun olabilmesi için daha ağır şartların yerine getirilmesi gerekmektedir. Çünkü özel nitelikli kişisel verilerin üçüncü kişilere hukuka aykırı olarak aktarılması durumunda kişinin telafisi güç mağduriyetler yaşaması veyahut ayrımcılığa maruz kalması olasılığı çok yüksektir. Buna göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi; sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi halinde, yeterli korumaya sahip ülkelerden birine ilgili kişinin açık rızası aranmaksızın aktarılabilecektir.

2- YETERLİ KORUMANIN BULUNMADIĞI ÜLKELERE KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke olması durumunda kişisel veri işleme şartlarının varlığına ek olarak Türkiye’deki ve yeterli korumanın bulunmadığı yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı şekilde taahhüt etmeleri ve Kurulun onayının bulunması gerekir.

Kurul ilgili onayın verilip verilmeyeceğine karar verirken Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her bir kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği, işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri göz önünde bulundurur ve gerekli hallerde ilgili kurum ve kuruluşların görüşünü de alarak karar verir.

Ayrıca Kurul’a, Türkiye’den yurt dışına yapılacak veri aktarımlarında, Türkiye Cumhuriyeti’nin veyahut ilgili kişinin menfaatlerinin ciddi bir zarar görme ihtimalinin tespit edilmesi halinde, bu veri aktarımına onay verme veya veri aktarımını yasaklama yetkisi verilmiştir. Ancak Türkiye’nin tarafı olduğu uluslararası anlaşmaların kapsamına giren durumlarda söz konusu onay mekanizması uygulanmayacaktır.

  • Kişisel Verilerin Yurt Dışına Aktarılması İçin Verilecek Taahhütname

16.05.2018 tarihinde Kurul’un internet sitesinde kişisel verilerin yurt dışına aktarılması halinde veri sorumluları tarafından hazırlanması gereken taahhütnamede bulunması gereken asgari unsurlar ilan edilmiştir.

Ayrıca hem bir veri sorumlusundan diğer bir veri sorumlusuna aktarım, hem de bir veri sorumlusundan bir veri işleyene aktarım için iki ayrı taahhütname örneği hazırlanmış ve bu taahhütnamelerde hem veri sorumlusunun hem de veri işleyenin asgari yükümlülükleri belirlenmiştir.

Kurum; tarafından bugüne kadar gönderilen taahhütnamelerden herhangi birisine onay verilmediği öğrenilmiş olup Kurul tarafından taahhütnamelerin hazırlanması sırasında yapılan usul ve esas hatalarına işaret eden şekilde 07.05.2020 tarihinde Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru yayınlanmıştır. Bu duyuruda usule ve esasa yönelik hatalar anlatılmış ve veri sorumlusu ile veri işleyen kavramları üzerinde ısrarla durulmuştur.

Kurum’a verilecek taahhütnamelerin hazırlanması sırasında Kurum tarafından yayınlanan uygun örnekler seçilmeli yapılan iki duyuruya uygun bir şekilde taahhütnameler düzenlenmelidir. Aksi takdirde güvenli ülke ilan edilmediği de dikkate alındığında açık rıza olmayan her türlü yurt dışına aktarım hukuka aykırı olacaktır.

  • Kişisel Verilerin Yurt Dışına Aktarılmasında Bağlayıcı Şirket Kuralları (BCR)

Taahhütnameler, her ne kadar şirketler arasında gerçekleştirilebilecek iki taraflı veri aktarımlarını kolaylaştırsa da çok uluslu şirket toplulukları arasında yapılacak veri aktarımları yönünden uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu sebeple Kurul tarafından, 10.04.2020 tarihinde, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da “Bağlayıcı Şirket Kuralları” belirlenmiştir.

Bağlayıcı Şirket Kuralları; Kurul tarafından henüz hiçbir ülkenin güvenli ülke ilan edilmemiş olması sebebi ile çok uluslu şirketlerin grup şirketleri arasında yurt dışına veri aktarımını kolaylaştırmasını sağlayan bir uygulamadır. Bu kolaylıktan yararlanmak isteyen şirketlerin Kurul tarafından yayınlanan formu doldurup Kurul’a başvurmaları gerekecektir.

Bağlayıcı şirket kuralları ile ilgili formun doldurulması konusunda Kurul tarafından yardımcı bir doküman hazırlanmış ise de uygulamada Bağlayıcı Şirket Kuralları ile aktarımın pratik olarak mümkün olmadığı ve Türkiye’de hiçbir kişi ve kurumun Kurul’un hazırlamış olduğu yardımcı dokümandaki şartları karşılayamayacağı veya karşılamak istemeyeceği ifade edilmektedir.

3- KİŞİSEL VERİLERİN HUKUKA AYKIRI OLARAK YURT DIŞINA AKTARILMASI DURUMUNDA UYGULANACAK CEZAİ VE İDARİ YAPTIRIM

Kişisel verilerin hukuka aykırı olarak aktarılması; TCK’nın 136. maddesi vd. hükümlerinde düzenlemiş olup ilgili madde hükmü gereğince kişisel verileri hukuka aykırı olarak bir başkasına yayan kişi, iki yıldan dört yıla kadar hapis cezasıyla cezalandırılabilecektir. Kanunun 137. maddesinde suçun belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle veyahut kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle işlenmesi hali suçun cezayı artırıcı nitelikli halleri olarak sıralanmıştır. Buna göre kişisel verinin hukuka aykırı olarak yurt dışına aktarılması halinde TCK’nın 136. vd. madde hükümleri uygulanabilecektir.

6698 sayılı Kanunda kişisel verilerin hukuka aykırı olarak yurtdışına aktarımına ilişkin ayrı bir ceza hükmü bulunmamaktadır. Ancak Kanun’un 12. maddesi uyarınca veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi durumunda hükmedilebilecek idari para cezaları hukuka aykırı olarak kişisel verilerin yurt dışına aktarılması durumunda da uygulama alanı bulabilecektir.

amazon-kvkk

Nitekim Kurul; Amazon Turkey Perakende Hizmetleri Ltd. Şti. hakkındaki başvuruyla ilgili kararında; yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından da onaylanmadığı, bu nedenle veri sorumlusunun kişisel verilerin yurt dışına aktarılması konusunda ilgili kişilerin açık rızasının bulunmasının zorunlu olduğu, ancak veri sorumlusunun kişisel verilerin yurt dışına aktarılması için usulüne uygun bir açık rıza almadığı, sadece amazon hizmetlerinin kullanılmasıyla gizlilik bildiriminde yer alan hususların kabul edilmiş sayılacağının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği gerekçesi ile Kanunun 18. Maddesi göz önünde bulundurularak Şirkete 1.100.000 TL idari para cezası uygulanmasına karar vermiştir.[1]

Ayrıca 6698 sy Kanun’un 15/7.maddesine göre; Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde kişisel verilerin  yurt dışına aktarılmasını durdurabilecektir.

4- SONUÇ

Kişisel verilerin yurt dışına aktarılması; ilgili kişinin verinin aktarılmasına yönelik açık rızasına bağlı olup veri aktarımının ilgili kişinin açık rızası bulunmaksızın yapılabilmesi için Kanunun 9. maddesinde düzenlenen koşulların (verilerin özel nitelikli olup olması haline göre KVKK madde 5/2 veya madde 6/3de belirtilen şartlar) yerine getirilmesinin ardından veri aktarımının yapılacağı ülkenin Kurul tarafınca belirlenen “güvenli ülkeler” kapsamında olup olmadığı tespit edilmelidir. Verinin aktarılması istenen ülke “güvenli ülke” kapsamında yer almaz ise, aktarıma ilişkin yazılı taahhüdün ve Kurul’un veri aktarımına ilişkin onayının bulunup bulunmadığına bakılacaktır.  Hali hazırda güvenli ülkeler listesi ilan edilmediği için, yapılması gereken yeterli korumanın bulunmadığı ülkelere kişisel verilerin aktarılması usulünün izlenerek Kurul tarafından ilan edilen sözleşmeler ve taahhütnameler doğrultusunda hazırlanıp imzalanan belgeleri Kurula sunarak Kuruldan izin almaktır. Söz konusu sürecin usule ve esasa aykırı şekilde yürütülmesi halinde kişisel verilerin güvenliğini sağlamayan veri sorumlusu hakkında Kanunun 18. Maddesi uyarınca idari yaptırım uygulanabilecektir.

 

 

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir