Top
Kişisel Verilerin Yurt Dışına Aktarılması – kişiselveriler.blog
fade
4447
post-template-default,single,single-post,postid-4447,single-format-standard,eltd-core-1.2.1,flow-ver-1.6.3,,eltd-smooth-page-transitions,ajax,eltd-blog-installed,page-template-blog-standard,eltd-header-type2,eltd-sticky-header-on-scroll-down-up,eltd-default-mobile-header,eltd-sticky-up-mobile-header,eltd-dropdown-default,eltd-dark-header,eltd-header-style-on-scroll,wpb-js-composer js-comp-ver-6.0.5,vc_responsive

Kişisel Verilerin Yurt Dışına Aktarılması

kişiselveriler.blog / Bilgi Bankası  / Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel Verilerin Yurt Dışına Aktarılması

Son yıllarda bilgi iletişim ve veri işleme teknolojilerinde yaşanan gelişmeler sayesinde büyük bir hızda artan veri aktarımının sınırlanması, veri aktarımının kötüye kullanılmasının önlenmesi ve ulusal veri koruma mevzuatı arasında veri aktarımı ile ilgili genel kuralların belirlenebilmesi amaçlarıyla konuya münhasır düzenlemeler yapılmıştır. 

Ülkemizde 2016 Nisan tarihinde Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile ilk kez kişisel verilerin korunması alanında kanun çıkarılmış, kişisel verilerin yurt dışına aktarılması ayrı bir başlık altında hükme bağlanmıştır. 

Kişisel Verilerin Yurt Dışına Aktarılmasına İzin Verilen Durumlar

Açık Rıza


Kişisel verilerin yurt dışına aktarılması başlıklı 9/1 madde hükmüne göre, ilgili kişinin açık rızası bulunması halinde kişisel veriler yurt dışına aktarılabilecektir. İlgili kişiye, kişisel verilerinin yurt dışına aktarımına ilişkin olarak bilgilendirme yapılması ve ilgili kişinin özgür iradesiyle rızasını açıklaması halinde açık rıza şartı sağlanmış olacaktır. 

Açık Rızanın Bulunmadığı Durumlar


İlgili kişinin açık rızası bulunmaması halinde kişisel veriler yurt dışına aktarılamayacak mıdır? Elbette ki bu kuralın da istisnaları vardır ve Kanunda bazı durumların gerçekleşmesi halinde açık rıza şartının aranmayacağı açıkça belirtilmiştir. İlgili kişinin açık rızası bulunmasa da Kanunu’nun 5/2 maddesi ve 6/3 maddesinde belirtilen şartlardan birinin varlığı halinde, yurt dışına aktarılmanın uygun olup olmadığı, 9. maddede KVK Kurulu’nun (Kurul) yeterli korumanın bulunduğunu kabul ettiği ülkeler ve diğerleri için ayrı ayrı düzenlenmiştir.

Yeterli korumanın bulunması halinde

urt dışına kişisel veri aktarımı için kural olarak ilgili kişinin açık rızasının bulunması gerektiğini yukarıda ifade etmiş idik. Kişisel veriler ve özel nitelikli kişisel verilerin hangi hallerde açık rıza aranmaksızın yeterli korumanın bulunduğu ülkelere aktarılabileceği Kanunun 9. maddesinde belirtilmiştir. 

Buna göre; kişisel veriler, açık rıza kuralının istisnası olarak Kanunun 5/2. madde hükmüne göre, 

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinin birinin varlığı halinde açık rıza aranmaksızın yurtdışına aktarılabilecektir. 

Özel Nitelikli Kişisel veriler açısından ise; açık rıza kuralının istisnası olarak KVK Kanunun 6/3. madde hükmüne göre, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.

Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak; 

  1. kamu sağlığının korunması, 
  2. koruyucu hekimlik, 
  3. tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, 
  4. sağlık hizmetleri ile finansmanının planlanması ve yönetimi 

amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.

KVK Kanunu 9/3 maddesi uyarınca, Kurul yeterli korumanın bulunduğunu değerlendirdiği ülkeleri açıkça ilan edecektir. Değerlendirmesine, yani bir ülkenin kişisel veri aktarımı açısından güvenli olup olmadığına 9/4 madde çerçevesinde karar verecektir. Buna göre; Türkiye’nin taraf olduğu uluslararası antlaşmaları, aktarımın yapılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut aktarımda kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını ve kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri dikkate alacaktır. Aynı maddede Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabileceği de belirtilmiştir.

Günümüze de Kurul tarafından yeterli korumanın bulunduğu ülkeler ilan edilmemiş olduğundan hali hazırda, açık rızanın bulunmadığı tüm durumlarda, veri aktarımının yapılacağı ülke yeterli korumanın bulunmadığı ülke imiş gibi aşağıda açıklayacağımız şartlara göre değerlendirme yapılacaktır. 

Yeterli korumanın bulunmaması halinde

Kanunu 9/2 b madde hükmüne göre, kişisel veri aktarımının yapılacağı ülkede yeterli korumanın bulunmaması durumunda, yukarıda belirtmiş olduğumuz Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesine ilaveten Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın, kişisel veriler yurt dışına aktarılabilecektir. Yukarıda da ifade ettiğimiz gibi, henüz Kurul tarafından yeterli korumanın bulunduğu ülkeler ilan edilmemiş olduğundan, Türkiye’de açık rıza şartının sağlanmadığı tüm veri aktarımlarında bu başlık altında açıklayacağımız şartların yerine getirilmesi gerekmektedir. 

a. KVK Kanunun 5. veya 6. maddesinde sayılan şartlardan birinin gerçekleşmiş olması

İlgilinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılabilmesi için kişisel nitelikli veriler açısından Kanunun 5/2. maddesindeki, özel nitelikli kişisel veriler açısından ise Kanunun 6/3. maddesindeki şartlardan birinin gerçekleşmesi gerektiğini yukarıda belirtmiş idik.  Bu istisnai durumlardan birisi gerçekleşmeksizin kişinin açık rızasını almadan yurt dışına kişisel veri aktarımı mümkün olmayacaktır. 

b. Yazılı Taahhüt

Veri aktarımı yapılacak ülkenin yeterli korumanın bulunduğu ülkeler arasında olmaması halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekmektedir. 

Kurul’un 02/04/2018 tarih ve 2018/33 numaralı kararı ile kişisel verilerin, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna aktarımına ilişkin olarak Kanunun 9/2-b bendine istinaden hazırlanacak taahhütnamelerde bulunması gereken asgari unsurlar belirlenmiştir.

aa) Usule İlişkin Unsurlar

Kurula yapılacak, yurt dışına veri aktarımına izin başvurularında başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgelerin de eklenmesi gerekmektedir. Bu kapsamda, tüzel kişiler tarafından yapılacak başvuruların, ilgili veri sorumlusunu bu konuda temsil ve ilzama yetkili kişiler tarafından yapılması ile başvuruya bu hususu tevsik edici belgelerin eklenmesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.

Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafı bulunmalıdır.

İmzacıların yetkisini göstermesi bakımından, Taahhütname ekine Türkiye’de mukim şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde mukim veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği eklenmelidir. Anılan Sözleşmeye taraf ülkelerin resmi makamlarınca hazırlanmış her belgede apostil şerhi bulunmalı, Sözleşmeye taraf olmayan ülkeler bakımından ise, belgelerin Türkiye’de hukuken geçerli olmasına ilişkin süreç işletilmelidir.

Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.

Taahhütname hazırlanırken, Kurulun resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan (Veri Sorumlusundan Veri Sorumlusuna Aktarım, Veri Sorumlusundan Veri İşleyene Aktarım) hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.

Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır. Örneğin “Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirecektir.” gibi.

bb) Esasa İlişkin Unsurlar

Taahhütname düzenlenirken veri aktarımının taraflarının veri sorumlusu mu, veri işleyen mi olduğuna dair hukuki statü belirlemesinin net bir şekilde yapılması, aralarındaki ilişkinin doğru bir şekilde belirlenmesi, ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde taahhütname ile gönderilmesi ve alıcı tarafın niteliğine göre Kurulun internet sitesinde yayımlanan taahhütname örneklerinden uygun olanın kullanılması gerekmektedir. 

Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır, hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususları detaylı şekilde açıklanmalıdır.

Taahhütnamenin düzenlenmesi sırasında kişisel verilerin işlenme amacına ilişkin olarak Kanunun Genel İlkeler başlıklı 4. Maddesinde öngörülen ilkelere uyulmasının zorunlu olduğu gözetilmelidir.

Önemle belirtmek gerekir ki, ilgilinin açık rızasının alınmış olduğu veri aktarımlarında, veri aktarımının yapıldığı ülkede yeterli korumanın bulunup bulunmadığına bakılmaksızın taahhütname şartı aranmamaktadır, yani açık rıza bulunması halinde, yurt dışına veri aktarımına izin için taahhütname düzenlenmesi gerekmemektedir. 

c. Kurul İzni

Kanun veya ikincil mevzuatta, taahhütnamenin incelenmesi için herhangi bir süre öngörülmediğinden, kurul kendisine iletilen taahhüt ve yurt dışına veri aktarımı izin taleplerini makul sürede inceleyecek, çeşitli kriterlere göre değerlendirme yaparak karar verecektir. Verilen karar neticesinde, ilgiliye yurt dışına veri aktarımı izni verilmesi halinde yurt dışına aktarım yapılabilecek, talebin reddedilmesi halinde ise yurt dışına veri aktarımı mümkün olamayacaktır. 

Belirtmek gerekir ki, ilgilinin açık rızasının alınmış olduğu veri aktarımlarında, veri aktarımının yapıldığı ülkede yeterli korumanın bulunup bulunmadığına bakılmaksızın taahhütname şartı aranmadığı gibi bu hususta kurul iznini de gerek bulunmamaktadır, yani açık rıza şartının sağlanması halinde, yurt dışına veri aktarımına izin için kuruldan izin alınması gerekmemektedir. 

 

Deniz Günay
Deniz Günay
Yorum Bulunmuyor

Yorum Yapın