Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ve korunmasına dair esasları belirleyerek bireylerin temel hak ve özgürlüklerini güvence altına almayı amaçlamaktadır. Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi ise kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenlemektedir.
12 Mart 2024 tarihinde Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile KVKK’nın söz konusu 9. maddesinde önemli değişiklikler yapılmış, veri aktarım süreçlerinde yeni düzenlemeler getirilmiş ve akabinde bahse konu düzenleme ile ilgili Yönetmelik de yayımlanmıştır. Son olarak Kişisel Verileri Koruma Kurumu “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”ni yayımlayarak bu değişikliklerin uygulanmasına dair detaylı açıklamalar sunmuştur. Bu çalışmada, söz konusu yasal değişiklikler, Rehberin öngördüğü uygulama esasları ve veri aktarım yöntemleri ele alınacaktır.
Yurt dışına kişisel veri aktarılabilmesi için aşağıdaki şartlardan en az birinin gerçekleşmesi
gerekmektedir.
- Uluslararası Sözleşmelerde veya Kanunlarda Yurt Dışına Kişisel Verilerin Aktarımına İlişkin Düzenleme Olması:
Türkiye’nin taraf olduğu ikili veya çok taraflı uluslararası sözleşmeler kişisel verilerin yurt dışına aktarılmasına ilişkin özel hükümler içerebilir. Bu tür uluslararası düzenlemeler, bazen KVKK’nın hükümlerine aykırı dahi olsa, taraf devletlerin sözleşmeye dayalı düzenlemelerini geçerli kılmaktadır.
Örneğin, Avrupa Birliği ile Türkiye arasında yapılacak veri aktarımına ilişkin özel anlaşmalar veya uluslararası ticaret anlaşmaları, kişisel verilerin aktarılmasını kolaylaştıracak düzenlemeler içerebilir. Bu tür düzenlemeler, KVKK’nın genel çerçevesine karşıt olsa da, uluslararası sözleşmelerin üstünlüğü nedeniyle, bu sözleşmelerin hükümleri geçerli olur.
Bir başka durum ise, Kanunlarda aksine bir düzenlemenin bulunmasıdır. Eğer kişisel verilerin yurt dışına aktarılmasına dair kanuni bir düzenleme varsa ve bu düzenleme KVKK’nın getirdiği kısıtlamalardan farklı bir hüküm getiriyorsa, bu durumda da kişisel veri yurt dışına aktarılabilir. Örneğin Türk Sivil Havacılık Kanunu’nun 40/6 maddesi uyarınca havayolu ile seyahat edecek yolcuların kişisel verileri seyahatlerini kolaylaştırmak ve güvenlik gerekçeleri ile yurt dışındaki sınır polisleri gibi resmi kurumlar ile İç İşleri Bakanlığının görüşü dahilinde paylaşılabilmektedir.
- Yeterlilik Kararına Dayalı Aktarımlar
KVKK’nın 9. maddesinin yeni düzenlemesine göre, kişisel verilerin yurt dışına aktarılabilmesi için öncelikle Kişisel Verileri Koruma Kurulu tarafından verilen bir yeterlilik kararı alınması gerekmektedir. Yeterlilik kararı yalnızca, aktarılacak verilerin güvenliği için yeterli bir mevzuatın, denetim mekanizmalarının ve veri koruma uygulamalarının bulunduğu ülkeler için verilir. Bu karar, veri aktarımlarının güvenli bir şekilde yapılmasını temin eder. Buna göre;
- Yeterlilik kararı, yalnızca ülke bazında değil, uluslararası kuruluşlar veya belirli sektörler bazında
da verilebilir.
- Kurul, yeterlilik kararını verirken, ülkenin kişisel verilerin korunmasına ilişkin mevzuatını ve bağımsız denetim mekanizmalarını dikkate alır.
- Yeterlilik kararının verilebilmesi için, aktarılan ülkenin veri güvenliği seviyesinin yüksek olması ve güçlü veri koruma yasalarına sahip olması gerekmektedir.
Yeterlilik kararı ile ilgili benzer düzenleme bu yasa değişikliğinden önce de var olmakla birlikte, şu ana kadar hiçbir ülke için yeterlilik kararı alınmamıştır.
- Uygun Güvencelere Dayalı Aktarımlar
Yeterlilik kararı alınamamışsa veya aktarılacak ülke için yeterli koruma sağlanamıyorsa, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, kişisel verilerin yurt dışına aktarılması için aşağıdaki uygun güvence mekanizmaları kullanılabilir.
- Bağlayıcı Şirket Kuralları (BCR)
Bağlayıcı Şirket Kuralları, çok uluslu şirket gruplarının kendi içlerinde kişisel verileri güvenli bir şekilde aktarmalarını sağlamak amacıyla oluşturulan iç politikadır. Bu mekanizma için gereklilikler:
- Veri güvenliği önlemleri ve denetim süreçlerinin belirlenmesi,
- Veri sahiplerine yönelik şeffaflık yükümlülüklerinin yerine
- Kurul tarafından onaylanması
- Standart Sözleşmeler (SCC)
Standart sözleşmeler, kişisel verilerin yurt dışına aktarılması için Kurul tarafından belirlenen metinlere uygun olmalıdır. Kurul tarafından dört tip SCC belirlenmiştir. Bunlar veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri sorumlusuna ve son olarak veri işleyenden veri işleyene versiyonlarıdır. Bu sözleşmeler, veri aktarımı sırasında güvenlik önlemleri ve veri sahiplerinin haklarını temin etmeyi amaçlar.
SCC’ler için öne çıkan şartlar ise:
- Kurul’a imzaların tamamlanmasından itibaren beş iş günü içinde bildirimde bulunulması,
- SCC’de yer alan veri güvenliği ve veri aktarımına ilişkin detayların belirlendiği boş bırakılan kısımların doldurulması ve
- Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesidir.
- Taahhütnameler:
Aktarımın tarafları arasında imzalanacak taahhütnamelerle kişisel verilerin güvenli bir şekilde yurt dışına aktarılmasını sağlamak mümkündür.
Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulur. Yapılacak başvuru kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
Onay sürecinin uzun olması sebebiyle pratikte çok fazla yer bulmamaktadır. Yukarıda belirtilen SCC metodu en fazla uygulama alanı bulacak metot olarak ortaya çıkmaktadır.
- Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması
Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir.
- İstisnai Durumlar ve Arızilik Şartı
Veri aktarımında yeterlilik kararı alınamıyorsa veya uygun güvenceler sağlanamıyorsa, yurt dışına veri aktarımı istisnai hallerde mümkün olabilir. Bunlar,
- İlgili kişinin açık rızası
- Hayati çıkarların korunması
- Bir sözleşmenin kurulması veya ifası için veri aktarımının gerekmesi
- Bir hakkın tesisi veya korunması için aktarımın zorunlu olması ve
- Veri sorumlusunun meşru menfaatlerinin korunmasıdır.
Bu tür istisnai durumlarda, “arızilik” şartı da göz önünde bulundurulur. Arızilik, aktarımın yalnızca geçici ve tek seferlik olması gerektiği anlamına gelir. Sürekli veri aktarımları için bu istisna geçerli değildir.
Sonuç
6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde, kişisel verilerin yurt dışına aktarılması belirli şartlar altında mümkündür. Yeterlilik kararları, uygun güvenceler ve istisnai durumlar, bu sürecin yasal zeminini oluşturan temel unsurlardır. Veri sorumluları ve veri işleyenler, kişisel verilerin yurt dışına aktarılması konusunda yasal düzenlemelere uyumlu hareket etme mükellefiyeti altındadır. Aksine uygulamanın tespiti halinde idari para cezasına muhatap olunması söz konusu olacaktır.
