Konu: 26.10.2020 tarihli Yurtdışına Veri Aktarımı Kamuoyu Duyurusu
Tarih: 25.11.2020
Kişisel Verileri Koruma Kurulu (“Kurul”), 26.10.2020 tarihli Yurtdışına Veri Aktarımı Kamuoyu Duyurusu’nda (‘’Duyuru’’), 07.04.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’KVKK’’) yurtdışına veri aktarımına ilişkin düzenlemelerini detaylıca değerlendirmiştir.
- GİRİŞ
KVKK’nın 8. , 9. , 11. , 13. , 14. , 15. , 16. , 17. ve 18. maddeleri yayım tarihinden altı ay sonra, diğer maddeleri ise Kanun’un yayım tarihi ile birlikte yürürlüğe girmiştir. KVKK’ın ‘’Geçiş Hükümleri’’ başlıklı Geçici 1. Maddesi kapsamında, 7 Nisan 2016 tarihinden önce işlenen kişisel veriler açısından KVKK bir istisna getirmiş olup bu verilerin işlenme süreçlerinin 7 Nisan 2018’e kadar KVKK’nın hükümlerine uygun hale getirilmesi gerekmekteydi.
Kurul, uyum süreci kapsamında Türkiye’nin farklı yerlerinde ilgili kuruluşlarla çalışmış, eğitim programları düzenlemiş ve KVKK uyum sürecini hızlandırmak ve etkili hale getirmek için veri işleyenleri yönlendirmiştir. Tüm dünyayı etkisi altınca alan Covid-19 salgını sebebiyle, sicile kayıt ve bildirim süresi Kurul tarafından üç kere uzatılmışve sadece bununla sınırlı kalmayarak, Covid-19 sürecinde değişen çalışma ve yaşam koşullarına adapte olabilmek, veri sorumlularının uyması gereken sürelerin gözetilmesi ve başvuru veya ihlal bildirimleri Kurul tarafından dikkate alınmıştır.
- KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINA İLİŞKİN KANUNDA ÖNGÖRÜLEN DÜZENLEME
Veri sorumlusunun kişisel verilerin yurt dışına aktarılması bakımından KVKK’nın 9. maddesi uyarınca;
“(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” şeklinde düzenlenmektedir.
Bu kapsamda, kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin veri aktarımına açık rızasının bulunması halinde yurtdışındaki üçüncü kişilere aktarılabilmektedir.
Ancak, Kişisel Veriler, KVKK’nın 5/2. maddesi ile KVKK’nın 6/3. maddesi belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına veya aktarımına izin verilip verilmeyeceğine;
- a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
- b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
- c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
- d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilecektir.
KVKK’nın 3. maddesi; ‘’Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.’’
şeklinde düzenlenmiştir. Kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmamaktadır. Kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebi ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesinin sağlanmasıdır.
- YETERLİ KORUMA BULUNAN ÜLKELERİN (GÜVENLİ ÜLKELERİN) BELİRLENMESİ
Kurul, KVKK’nın 9. maddesinin 3. fıkrası uyarınca güvenli ülkeleri halen açıklamamıştır. Güvenli ülkelerin belirlenmesinde, Türkiye’nin taraf olduğu Uluslararası Sözleşmeler, kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması dikkate alınacaktır. Kurul bu belirlemesini yaparken; farklı hukuk düzenlerini, değerlendirmeye esas alınan ülkedeki kişisel verilerin korunması düzenlemelerini ve bunun gibi birçok faktörü göz önüne alınarak değerlendirileceğinden süreç uzamıştır.
Güvenli ülkelerin belirlenmesi hususunda, yabancı ülke ve Türkiye arasında karşılıklılık esası göz önüne alınacaktır. Bu kapsamda, Dışişleri Bakanlığı ile güvenli ülkeler kapsamına ilişkin bütün yazışmalarda da karşılıklılık esası dikkate alınmaktadır. Türkiye’de faaliyet gösteren veri sorumlusu ve veri işleyenlerin, kişisel veri aktarım sürecini verimli, hızlı bir şekilde gerçekleştirilmesi amaçlanmış olup, karşılıklılık esası olmaması halinde dezavantajlı konumda bulunmaları engellenmeye çalışılmıştır.
Kurul’a şuana kadar güvenli ülke statüsüne girmek için ülkelerden herhangi bir talep olmamıştır. Bununla beraber, siyasi ve ticari ilişkiler ile coğrafi ve kültürel bağlar kapsamında bazı ülkelerle Kurul arasında görüşmeler devam etmektedir. Avrupa Birliği (‘’AB’’) ile karşılıklı yeterlilik kararı verilmesi ve KVKK ile ilgili mevzuatların AB ile uyumlu hale getirilerek güncellenmesine ilişkin istişareler devam etmektedir. Bunlara ek olarak; meslek örgütleri, kamu kurum ve kuruluşlarının güvenli ülke değerlendirmesi hakkında Kurul’a önerilerde bulunarak sürece yardım etmektedirler ve Adalet Bakanlığı, Ticaret Bakanlığı ve Dışişleri Bakanlığı ile Kurul bu süreci birlikte sürdürmektedir.
108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin (‘Sözleşme’’) güvenli ülkelerinin tayininde Kurul’un değerlendirmeye aldığı bir kaynaktır ve Sözleşme’nin KVKK’nın veri aktarım düzenlemeleri ile uyumlu olduğunu Kurul tarafından vurgulanmıştır. AB’de aynı şekilde, Sözleşmeye taraf olan ülkeleri herhangi başka bir değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmemekte ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul etmektedir.
- YETERLİ KORUMA BULUNMAYAN ÜLKELERE KİŞİSEL VERİ AKTARIMI
KVKK’nın 9. maddesinin ikinci fıkrası uyarınca; yeterli korumanın bulunmadığı ülkelere yapılacak aktarımlarda, Kurul tarafından asgari unsurları belirlenen yazılı taahhütnamelerin veri sorumlusu tarafından hazırlanması ve Kurul’un kişisel veri aktarıma izin vermesi gerekmektedir. Ayrıca, çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda alternatif koruma yöntemi olarak Bağlayıcı Şirket Kuralları’na riayet edilmesi gerektiğini belirtmiştir.
Kurul tarafından veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene ilişkin olarak iki farklı taahhütname hazırlanmıştır. Ancak, veri sorumluları tarafından yapılan başvurularda bazı hususların gerekli detay ve açıklıkta olmaması nedeniyle taahhütnamelerin ne şekilde olacağına ilişkin 07.05.2020 tarihinde Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru yayınlamıştır. Kurul, başvuruculara geri dönüş yapılarak eksikliklerin tamamlanması veya düzeltmelerin yapılması için ek süre tanıdığından dolayı taahhütlerin onaylanmasının uzun sürdüğünü belirtmiştir.
Kurul, çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ve Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin 10.04.2020 tarihinde Bağlayıcı Şirket Kuralları Hakkında Duyuru yayınlamış olup, ilgililerin kullanımına sunmuştur. Çok uluslu grup şirketlerinin, kendilerine özgü yapılarına, ihtiyaçlarına ve faaliyet gösterdikleri sektörün gereklerine uygun olarak hazırladıkları ve birbirleri arasında gerçekleştirilecek yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından uygun bulunması halinde KVKK’nın 9. maddesinin 2. fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaklardır.
- KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINA İLİŞKİN DİĞER KANUNLARDA ÖNGÖRÜLEN DÜZENLEMELER
KVKK’nın 4. maddesi; kişisel verilerinin ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara göre işlenebileceğini düzenlemektedir. Bu hüküm uyarınca, farklı düzenlemeler tamamlayıcı rol oynamaktadır. Buna ek olarak, Anayasa’nın 90. maddesi uyarınca; usulüne uygun yürürlüğe konulan uluslararası anlaşmalar kanun hükmünde sayılmaktadır. Bu çerçevede, kişisel verilerin yurt dışına aktarım sürecine ilişkin usulüne uygun olarak yürürlüğe giren bir uluslararası anlaşma Kurul tarafından dikkate alınacaktır. Kurul’un Bankacılık sektörüne ilişkin olarak verdiği kararında, 5411 sayılı Bankacılık Kanunu’nun 73. maddesinde öngörülen düzenleme çerçevesinde yapacağı aktarımların KVKK’nın diğer hükümleri ile bağlı kalınmak şartıyla KVKK’nın 9. maddesinin 6. fıkrası uyarınca gerçekleştirilebileceği ifade edilmiştir.
Anayasa’nın, özel hayatın gizliliği ve korunması hükümleri kapsamında Kurul, titizlik ve özenle çalışmakta olup, temel hak ve özgürlüklerden birisi olan özel hayatın gizliliğini en üst düzeyde korumaya çalışmaktadır. Bu sebeple, büyük bir hassaslık ile güvenli ülke çalışmaları Kurul tarafından devam etmektedir.
- SONUÇ
Kurul, Duyuru ile, yurt dışına kişisel veri aktarım sürecini genel olarak değerlendirmiş, uygulanacak usul esasları vurgulamış, güvenli ülke listesini açıklamak için izlediğini yol haritasını ve hukuki dayanaklarını detaylıca açıklamıştır. Kurul tarafından büyük bir titizlikle hazırlanan güvenli ülkelerin açıklanması bu sebepler nedeniyle uzun sürmektedir.
İşbu Bilgilendirme Notu, ele aldığı konuların genel bir bakışı olarak hazırlanmıştır. Burada sağlanan bilgiler yayınlandığı gün itibariyle doğrudur. Narter & Partners Hukuk Bürosu, bu yayının dayanarak alınan herhangi bir eylemden dolayı sorumlu tutulamaz.
Saygılarımla,
Av. Cenk NARTER