Mobile logo
Top

Kişisel Verilerin Yurt Dışına Aktarılması

kişiselveriler.blog / Bilgi Bankası  / Kişisel Verilerin Yurt Dışına Aktarılması
Bilgi Bankası Temel Kavramlar Yazı

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışındaki kişi ve kurumlara aktarılması ticari hayatın bir gerekliliği olarak sıklıkla karşılaşılan bir durumdur. Özelikle yurt dışında yerleşik bir holding şirketin Türkiye’deki iştiraki olan şirketler denetim ve raporlama amacıyla kişisel veri içeren belgeleri yurt dışına aktarabilmektedir.

Kişisel Verilerin Korunması Kanunu yurt dışına veri aktarımını özel olarak düzenlemiş; kişisel verilerin yurt dışında aktarılmasını birtakım özel şartlara tabi tutmaktadır. 

YURT DIŞINA AKTARIM NEDİR?

Esasında kişisel verilerin aktarılması, bir veri sorumlusu/veri işleyen tarafından başka bir veri sorumlusuna / veri işleyene aktarılmasını ifade etmektedir. Kişisel Verilerin yurt dışına aktarılması ise Türkiye’deki ortamlarda bulunan kişisel verilerin yurt dışındaki ortamlara aktarılmasını ifade eder.

Bu kapsamda yurt dışındaki bir sunucuya veya sunucuları yur tdışında olan bulut platformlarına veri aktarmak 6698 sayılı Kanun kapsamında “yurt dışına aktarım” sayılacağı gibi bir şirketin, elde ettiği kişisel verileri Türkiye dışında bulunan kendi organlarına aktarması da “yurt dışına aktarım” olarak değerlendirilecektir. 

YURT DIŞINA AKTARIMIN ŞARTLARI

Genel kural olarak kişisel veriler, veri sahibinin açık rızası olmadan yurt dışına aktarılamaz.  Geçerli bir açık rızanın hangi şartları taşıması gerektiği “Açık Rıza Nedir?” başlıklı yazımızda detaylıca açıklanmaktadır.

Eğer veri sahibinden açık rıza alınmadıysa; Kanun’da düzenlenen veri işleme şartlarından en az birinin bulunması ve ayrıca (i) Kişisel verilerin aktarılacak ülkenin yeterli hukuki korumanın bulunduğu ülkelerden olması veya (ii) Veri aktarımının tarafları olan veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un aktarıma izin vermesi gerekmektedir. Görüldüğü üzere kişisel verilerin yurt dışına aktarılmasında yalnızca veri işleme şartlarının varlığı yeterli görülmemiş; ilave birtakım koşulların sağlanması mecburiyeti öngörülmüştür.

Dolayısıyla, örneğin, A ülkesindeki sunuculara kişisel verileri depolamak isteyen bir işletme, veri sahiplerinden açık rıza almadıysa hem “veri sorumlusunun sözleşmeyi ifa etmesi için gerekli olması” gibi bir veri işleme şartına sahip olması hem de Kişisel Verileri Koruma Kurulu’nun A ülkesini yeterli korumanın bulunduğu ülkelerden biri olarak kabul etmesi gerekmektedir. Bu kapsamda eğer A ülkesi Kurulca ilan edilecek yeterli korumanın bulunduğu ülkeler listesinde bulunmuyorsa; bu durumda hem veri aktaran işletmenin hem de veri elde edecek gerçek/tüzel kişinin yeterli korumayı yazılı olarak taahhüt etmesi ve bu aktarıma Kurul’un izin vermesi gerekecektir.

Ayrıca Kanun uyarınca kişisel veriler; açık rıza alınsa bile, Türkiye’nin veya veri sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir. Dolayısıyla, örneğin, milli güvenlik gibi ülke menfaatlerinin veya temel kişilik haklarının ihlali gibi veri sahibinin menfaatinin zarar görme riskinin bulunması halinde Kurul’dan izin almak mecburidir. 

YETERLİ KORUMA OLAN ÜLKELER

Kişisel Verileri Koruma Kurulu yeterli korumanın bulunduğu ülkelerin listesini henüz ilan etmemiştir. Her ne kadar Kurul yeterli korumanın bulunduğu ülkelerin listesini yayınlamamış olsa da hangi ülkelerin listede bulunacağına Kanun’da geçen aşağıdaki kriterler değerlendirilerek karar verilecektir:

  • Türkiye’nin taraf olduğu uluslararası sözleşmeler,
  • Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu,
  • Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi,
  • Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması,
  • Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler

Aynı şekilde Kurul, yeterli koruma bulunmasa bile veri aktaran ile veri aktarılan arasındaki yazılı taahhüdü inceleyip veri aktarımını onaylayıp onaylamamayı da bu kriterleri göz önünde bulundurarak değerlendirecektir. Tüm bunlara ilave olarak Kurul, değerlendirmelerini yaparken gerekli gördüğü kurum ve kuruluşların görüşünü alma hakkına da sahiptir.

HASSAS VERİLERİN YURT DIŞINA AKTARILMASI

Irk, sağlık bilgisi, siyasi görüş, dini inanç gibi kişisel veriler kanun kapsamında hassas veri olup bunlar da genel kural olarak ancak veri sahibinin açık rızası olması durumunda yurt dışına aktarılabilir. Ancak açık rızanın olmadığı hallerde ise, yukarıda sayılan veri işleme şartlarından yalnızca kanunda öngörülme şartının varlığı halinde hassas kişisel veriler yurt dışına aktarılabilir.

Sağlık ve cinsel hayata ilişkin veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası alınmaksızın işlenebilir.

Tüm bunlara ilave olarak kişisel veri aktarılacak ülkenin yeterli koruma bulunan ülkelerden olması, değilse veri sorumlularının yazılı taahhüt vermesi ve Kurul’dan izin alınmasına ilişkin şartlar devam etmektedir.

YURT DIŞINA AKTARIMDA DİKKAT EDİLMESİ GEREKEN KONULAR

Belirtmek gerekir ki, kişisel verileri aktarırken açık rıza almak veya veri işleme şartlarına sahip olmak tek başına yeterli olmayıp veri sorumlularının genel kural olarak

  • Aydınlatma yükümlülüğünü yerine getirme,
  • Silme, yok etme veya anonim hale getirme yükümlülüğüne uyma,
  • Veri işlemeye yönelik genel ilkelere uyma

gibi yükümlülükleri bulunmaktadır. Bunlara ilave olarak kişisel veriler aktarılırken teknik açıdan veri güvenliğine de dikkat edilmeli, kişisel verilerin kötü niyetli üçüncü kişilerin eline geçmesini önlemeye yönelik tedbirler alınmalıdır. Ayrıca verilerin aktarıldığı kişinin de kişisel verilerin korunması hukukuna uygun şekilde faaliyet göstereceğine emin olunmalı, mümkünse ilgili kişi-kurum ile Veri Aktarım Sözleşmesi imzalanmalıdır. Bu sözleşmede;

  • Kişisel verilerin hangi amaçla aktarılacağı,
  • Ne kadar süre boyunca saklanacağı,
  • Veri işlemede kimlerin yetkili olacağı,
  • Kişisel verilerin hangi şartlarda işleneceği,
  • Veri güvenliğini sağlamak için alınacak tedbirler

gibi hususların kararlaştırılmış olması, tarafların sorumluluklarını belirleme adına yerinde olacaktır.

YURT DIŞI AKTARIM ŞARTLARINA UYMAMANIN SONUÇLARI NELERDİR?

Kişisel verileri hukuka aykırı olarak üçüncü kişilere aktarmanın cezası 2 yıl ila 4 yıl arasında hapis cezası olup aynı zamanda kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı mevcuttur. 

Ayrıca yukarıda bahsedilen aydınlatma yükümlülüğünün ihlal edilmesi, veri güvenliğinin ihlal edilmesi gibi hallerde Kişisel Verileri Koruma Kurulu tarafından uygulanacak 1.000.000 TL’ye kadar idari para cezasına maruz kalma ihtimali mevcuttur. 

Toparlamak gerekirse; genel kural olarak kişisel verilerin aktarılmasında veri sahibinden açık rıza almak zorunludur (eğer diğer veri işleme şartları yoksa). Bu kuralın ihlali halinde veri sorumluları hakkında tazminata, para cezasına ve hapis cezasına mahkum edilme ihtimali gündeme gelecektir. Bu noktada Kişisel Verilerin Yurt Dışına aktarılmasının ayrı hükümlere tabi olduğunu önemine binaen tekrar hatırlatmak isteriz.

6 Şubat 2018
0
0
eğitim yurtdışı aktarım
Related Posts
Google GDPR uyumu için harekete geçti
 3 Ağustos 2020
Kişisel Verilerin Yurt Dışına Aktarılması
 16 Mayıs 2020
Almanya ‘nın Hessen Eyaleti’nden Microsoft’a Yasak
 9 Eylül 2019
Dilara Tunçtürk
Dilara Tunçtürk
Yorum Bulunmuyor

Yorum Yapın