Eki 14, 2022

Kişisel Verilerin Yurt Dışına Aktarımı

Yayınlar

Kişisel Verilerin Yurt Dışına Aktarımı

Verilerin yurt dışına aktarımı konusundan bahsetmeden önce değinilmesi gereken başlıca hususlar bulunmaktadır.

Kişisel Veri Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu gereğince kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi diye tanımlanmaktadır. Kişisel veri sadece bireyin adı, soyadı, doğum tarihi, doğum yeri gibi bilgiler olmamakla birlikte bunun yanı sıra, kişinin fiziki, ailevi, ekonomik ve sosyal özelliklerine ilişkin, kişinin belirlenmesini sağlayan tüm halleri kapsadığı kabul edilmektedir. Belirtmek gerekirse bilginin doğruluğu veya gerçekliğinin kanıtlanmış olmasının dahi bir önemi bulunmamaktadır zira kişiyi belirlenebilir kılan yanlış bir bilgi de kişisel veri olmaktadır.

Özel Nitelikli Kişisel Veri Nedir?

Bu veriler mevzuatımızda diğer verilere kıyasla daha çok koruma altına alınmışlardır. Bu veriler kişinin temel hak ve özgürlükleri ile daha ilgili olmasından kaynaklıdır. Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenmiş olan önlemler alınmaz ise bu verilerin işlenmesinin yasak olduğu kabul edilmektedir. Bu veriler: Irk ve etnik köken, siyasi düşünce bilgileri, felsefi inanç, din, mezhep ve diğer inançlar, kılık ve kıyafet, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile ilgili veriler, biyometrik veri, genetik veri…

Veri İşleyen ve Veri Sorumlusu

Genel Veri Koruma Yönetmeliği, veri işleyene ait bazı yükümlülükler getirmiştir. Veri işleyenler doğrudan belirli sorumluluklara ve veri koruma otoritelerinin denetimine tabi kılınmışlardır.

Veri işleyen,

  • Veri sorumlusu adına gerçekleştirdiği tüm veri işleme verilerinin kaydını tutmak,
  • Kişisel verilerin güvenliğini sağlamak,
  • Veri sorumlusuna belirli konularda yardımcı olmak
  • Olası güvenlik zafiyeti ihtimallerini veri sorumlusuna ve veri koruma otoritelerine bildirmek
  • Veri koruma otoriteleriyle iş birliği yapmak
  • AB dışında yerleşikse bir AB veri koruma otoritesi nezdinde temsilci atamak

Kanun veri sorumlusunu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi olarak tanımlanmaktadır.

Veri sorumlusu,

  • Kişisel verilerin işlenip işlenmeyeceği ile işlenme amacının ne olduğu
  • Hangi kişisel veril türlerinin işleneceği
  • Kimlerin kişisel verilerinin işlenmesinin gerekli olduğu
  • Kişisel verilerin üçüncü kişilere aktarılıp aktarılamayacağı
  • Hangi üçüncü kişilere ne amaçla kişisel veri aktarılacağı
  • Kişisel verilere kimlerin erişim yetkisinin olduğu
  • Kişisel verilerin saklanması için veri sorumlusu tarafından veya yasa tarafından belirlenen sürenin ne olduğu
  • Saklama süresi sona erdikten sonra izlenecek yöntemin ne olması gerektiği (silme-yok etme-anonimleştirme)

 

Açık Rıza Nedir?

Kişinin rızası kendisine dair kişisel verilerin işlenmesi için ilgili kişinin kabulüne işaret eden, özgürce ve bilgilendirme yapıldıktan sonra alınan rıza olarak tanımlanmıştır. Kişisel veriler için rıza, özel nitelikli kişisel veriler için açık rıza ifadesi Direktif’te kullanılmıştır.

Açık rızanın üç şartı bulunmaktadır:

  1. Belirli bir konuya ilişkin olma
  2. Bilgilendirilmeye dayanma
  3. Özgür iradeyle açıklanmış olma

Açık rıza beyanının yazılı veya sözlü olması zorunluluğu yoktur. Rıza metni açık olmalı ve sade bir dille yazılmalıdır. Açık rıza muhakkak veri işlenmeden önce alınmalı ve söz konusu veriler hakkaniyete ve dürüstlük kuralına uygun olmalı ayrıca belirli, açık ve meşru amaçlara yönelik olmalı, veriler işlendikleri amaçla bağlantılı, doğru ve gerektiğinde güncel tutulmalı ve verilerin amaç için gereken süre kadar muhafaza edilmesi gerekmektedir. Açık rıza konusunda ilgili kişi, kişisel verilerin işlenmesine yönelik olarak verdiği rıza beyanını her zaman geri alabilir.

Kişisel Verilerin Yurt Dışına Aktarımı Nasıl Gerçekleşir?

Kişisel Verilerin Korunması Kanunu m.9 gereğince “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” denmektedir. Kişisel veriler ilgili kanunun m.5/2 ve m.6/3’te belirtilmiş olan şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

  • Yeterli korumanın bulunması,

 

  • Yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartı ile ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Verilerin birden fazla ülkeye aktarılacak olması durumunda her bir ülke bakımından yeterli korumanın bulunup bulunmadığı değerlendirilmelidir veya birden fazla alıcının bulunması durumunda da her bir alıcı bakımından yazılı taahhüt şartı sağlanmalıdır. Yurt dışına aktarımdan bahsedilebilmesi için verinin ülke sınırları dışına çıkması yeterli olmaktadır ayrıca üçüncü bir kişiye aktarılması şart değildir. Verinin yabancı ülkede barındırılması yeterlidir.

Yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edilir. (Henüz kurul tarafından herhangi bir ilan yapılmamıştır bu sebeple yeterli korumanın bulunup bulunmadığı hususu Kurul’un 2019/125 sayılı kararında belirlemiş olduğu kriterler doğrultusunda yapılmalıdır.)

Veri sorumlusu yurt dışına veri aktarımı yapabilmesi için ilgiliden açık rıza alma imkânı da Kurul tarafından tanınmıştır. Yurt dışına aktarıma ilişkin yapılacak açık rızanın genel koşullarının yanı sıra içermesi gereken asgari unsurlar vardır:

 

  • Yurt dışına aktarım yapılacağı bilgisi,
  • Aktarım yapılacak ülke ya da ülkeler,
  • Aktarımın amacı,
  • Aktarım sonrası verinin hangi amaçlarla işlenebileceği,
  • Verinin alan kişi tarafından başka kişilere aktarılıp aktarılamayacağı.

Veri işleme şartlarından açık rızanın bulunması halinde kişisel veriler doğrudan yurt dışına aktarılabilir. Açık rıza dışındaki diğer işleme şartlarından birine dayanarak aktarım yapılması halinde veri işleme şartının yanında yeterli korumanın bulunduğu da garanti edilmelidir.

Bağlayıcı Şirket Kuralları

Kurul 2020 tarihli bir duyurusuyla bağlayıcı şirket kurallarını benimsediğini belirtmiştir. Bu kurallar çok uluslu şirketlerin yurt dışına kişisel veri aktarımına kolaylık sağlayan bir adımdır. Bu yöntem uyarınca veri aktarımı yapılabilmesi için veri sorumlularının Bağlayıcı Şirket Kurallarını belirlemeleri ve de Kurula onaylattırmaları gerekir. Bağlayıcı Şirket Kuralları ispat gücü olan bir doküman niteliğindedir.

Bağlayıcı Şirket Kuralları Türk Hukuku bakımından incelenecek olursa, Kurul tarafından yayınlanan:

  • Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu
  • Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman


Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu’na başvurabilecek kişiler bakımından Türkiye’de yerleşik merkezi var ise burası ve grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir grup üyesi, kişisel verilerin korunması konusunda yetkilendirilerek Yetkili Grup Üyesi tarafından başvurularak yapılmalıdır. Yapılan bu başvurular bir yıl içerisinde sonuçlanmaktadır.

Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman’da ise bahsedilen bağlayıcı şirket kuralları ve başvuru formu arasındaki farklar ve benzerlikler ifade edilmiştir. Örneklemek gerekirse ilgili kişinin hak ve yasal iddiaları, ispat yükünün şirket üzerinde olması, kuralların yer bakımından kapsamı hakkında açıklama, Türkiye’den aktarıma ya da sonraki aktarımları kapsar bir şekilde veri koruma ilkelerine ilişkin bir açıklama…