Kişisel Verilerin Aktarılması
Kişisel verilerin farklı kişi ve kurumlara aktarılması uygulamada sıkça karşılaşılan bir durum olmakla birlikte ticari hayatın da gerekliliklerindendir. Ancak Kişisel Verilerin Korunması Kanunu bu hususu özel olarak düzenlemiş olup kişisel verilerin aktarılmasını birtakım şartlara tabi tutmaktadır. Her ne kadar bu yazının konusu kişisel verilerin aktarılması olsa da; önemine binaen belirtmek isteriz ki kişisel verilerin yurt dışına aktarılması daha özel şartlara tabi olup konu ile ilgili Kişisel Verilerin Yurt Dışına Aktarılması başlıklı yazımızı okuyabilirsiniz.
KİŞİSEL VERİLERİN AKTARILMASI NE DEMEKTİR?
Esasında Kişisel Verilerin aktarılması, bir veri sorumlusu/veri işleyen tarafından başka bir veri sorumlusuna / veri işleyene aktarılmasını ifade etmektedir.
Örneğin, bir bankanın kişisel verilerin bir kısmını bir bilgi işlem şirketine aktarması bu kapsamda değerlendirilebilir.
Bu noktada karıştırılma ihtimalini bertaraf etmek için belirtmeliyiz ki; aynı tüzel kişi bünyesinde farklı birimler arasında veri paylaşımı yapılması Kişisel Verilerin Korunması Kanunu kapsamında veri aktarımı sayılmamaktadır.
Dolayısıyla, örneğin, bir bankanın insan kaynakları departmanı ile muhasebe departmanı arasındaki veri alışverişi Kanun’da belirtildiği anlamıyla özel şartlara tabi olan bir veri aktarımı değildir. Zira kişisel veri, tek bir veri sorumlusunun farklı departmanları arasında iletilmiştir.
Ancak bir şirketler topluluğunda bir şirketten diğerine veri iletimi kanun kapsamında özel şartlara sahip bir veri aktarımı sayılmaktadır çünkü burada iki farklı tüzel kişilik arasında bir veri iletimi mevcuttur.
VERİ AKTARIMI HANGİ ŞARTLARA TABİDİR?
Genel kural olarak kişisel veriler, veri sahibinin açık rızası olmadan aktarılamaz. Açık rızanın tam olarak ne olduğu ve hangi şartları taşıması gerektiği Açık Rıza başlıklı yazımızda detaylıca açıklanmış olsa da; yeri gelmişken belirtmek gerekir ki, veri sahibinden veri aktarımına ilişkin açık rıza alınırken yapılacak bilgilendirmede kişisel verilerin kimlere aktarılacağının ismen belirtilmesine gerek olmayıp hangi faaliyet alanındaki veri sorumlularına/veri işleyenlere aktarılacağının belirtilmesi yeterli olacaktır. (Örneğin, sigorta şirketleri, grup şirketler, reasürorler, holding şirket gibi)
Veri sahibinden açık rıza alınması veri aktarımında yegâne şart olmayıp, aşağıdaki veri işleme şartlarının bulunması halinde de kişisel veriler açık rıza olmaksızın aktarılabilir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık,
- Bir sözleşmenin kurulması veya ifası,
- Veri sorumlusunun hukuki yükümlülüğü,
- Alenileştirilmiş olma,
- Bir hakkın tesisi, kullanılması veya korunması amacı,
- Veri Sorumlusunun Meşru Menfaatleri
Dolayısıyla, örneğin, veri sahibinin kendisinin Linked-in aracılığıyla alenileştirmiş olduğu verisinin bir üçüncü kişiye aktarımı için o kişiden açık rıza almak zorunlu olmadığı gibi veri sorumlusunun kişisel verileri içeren faturaları (beyanname hazırlanması vb. amaçlarla) muhasebeciye göndermesi için de açık rıza almasına gerek bulunmamaktadır. Konuyla ilgili daha detaylı bilgi için Hangi Hallerde Açık Rıza Gerekmez? başlıklı yazımızı okuyabilirsiniz.
HASSAS VERİLER DE AYNI ŞARTLARA TABİ MİDİR?
Irk, sağlık bilgisi, siyasi görüş, dini inanç gibi kişisel veriler kanun kapsamında hassas veri olup bunlar da genel kural olarak ancak veri sahibinin açık rızası olması durumunda aktarılabilir. Ancak açık rızanın olmadığı hallerde ise yukarıda sayılan veri işleme şartlarından yalnızca kanunlarda öngörülme şartının varlığı halinde hassas kişisel veriler aktarılabilir.
Sağlık ve cinsel hayata ilişkin veriler için ise kanunda öngörülme şartının varlığı da yeterli değildir. Söz konusu veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası alınmaksızın işlenebilir.
Hassas verilerin işlenme şartlarıyla ilgili daha detaylı bilgi almak için “Hassas Veriler Nelerdir?” başlıklı yazıyı okuyabilirsiniz.
KİŞİSEL VERİLERİ AKTARIRKEN NELERE DİKKAT EDİLMELİDİR?
Belirtmek gerekir ki kişisel verileri aktarırken açık rıza almak veya veri işleme şartlarına sahip olmak tek başına yeterli olmayıp veri sorumlularının genel kural olarak;
- Aydınlatma yükümlülüğünü yerine getirme,
- Silme, yok etme veya anonim hale getirme yükümlülüğüne uyma,
- Veri işlemeye yönelik genel ilkelere uyma
gibi yükümlülükleri bulunmaktadır. Bunlara ilave olarak kişisel veriler aktarılırken teknik açıdan veri güvenliğine de dikkat edilmeli, kişisel verilerin kötü niyetli 3. kişilerin eline geçmesini önlemeye yönelik tedbirler alınmalıdır. Ayrıca verilerin aktarıldığı kişinin de kişisel verilerin korunması hukukuna uygun şekilde faaliyet göstereceğine emin olunmalı, mümkünse ilgili kişi-kurum ile Veri Aktarım Sözleşmesi yapılmalıdır. Bu sözleşmede;
- Kişisel verilerin hangi amaçla aktarılacağı,
- Ne kadar süre boyunca saklanacağı,
- Veri işlemede kimlerin yetkili olacağı,
- Kişisel verilerin hangi şartlarda işleneceği
gibi hususların kararlaştırılmış olması, tarafların sorumluluklarını belirleme adına yerinde olacaktır.
AKTARIM ŞARTLARINA UYMAMANIN YAPTIRIMI NEDİR?
Kişisel verileri hukuka aykırı olarak üçüncü kişilere aktarmanın yaptırımı 2 yıl ila 4 yıl arasında hapis cezası olup aynı zamanda kişisel verilerine ilişkin hakları ihlal edildiği için zarara uğrayan veri sahiplerinin de tazminat talep etme hakkı mevcuttur.
Ayrıca yukarıda bahsedilen aydınlatma yükümlülüğünün ihlal edilmesi, veri güvenliğinin ihlal edilmesi gibi hallerde Kişisel Verileri Koruma Kurulu tarafından 1.000.000 TL’ye kadar idari para cezasına maruz kalma ihtimali mevcuttur.
Toparlamak gerekirse; genel kural olarak kişisel verilerin aktarılmasında veri sahibinden açık rıza almak zorunda olunup (eğer diğer veri işleme şartları da yoksa) bu kuralın ihlali halinde veri sorumluları hakkında tazminata, para cezasına ve hapis cezasına mahkûm edilme ihtimali gündeme gelecektir. Bu noktada Kişisel Verilerin Yurt Dışına aktarılmasının ayrı hükümlere tabi olduğunu önemine binaen tekrar hatırlatmak isteriz.
