Kişisel Verilerin Yurt Dışına Aktarımı

Makaleler -
Kişisel Verilerin Korunması ve Gizlilik

Özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler, veri sahibinin açık rızası ile yurt dışına aktarılabilir.

Ayrıca, diğer hukuki sebepler kişisel verilerin yabancı bir ülkeye aktarımı bakımından da geçerli olacaktır. Bununla birlikte, aktarımın diğer hukuki sebeplere (açık rızanın alınmış olması hariç) dayalı olarak yapılabilmesi için verinin aktarılacağı ülkede “yeterli koruma” bulunmalıdır. Kurul tarafından, yeterli koruma sağlayan ülkelerin bir listesi belirlenecektir. Verilerin yurt dışına aktarımı konusunda güvenli ülkeler listesi üzerinde çalışılmakta olunduğu Kurul tarafından doğrulanmıştır, ancak söz konusu liste mütekabiliyet esasına dayalı olarak hazırlandığından mevcut durumda Kurul tarafından güvenli ülke ilan edilen herhangi bir ülke bulunmamaktadır.

Kanun uyarınca, verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda, veri aktarımının gerçekleştirilmesi için aşağıdaki koşulların ikisi de sağlanmalıdır:

  • Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve
  • Kurul’dan ilgili yabancı ülkeye veri aktarım izni alınması.

Ancak, yazılı bir taahhüt ibraz ederek Kurul’dan izin almanın öngörülebilir bir süreç olmadığını görüyoruz ve tarafların da Kurul’dan bu tür bir izni ne zaman alabileceklerine ilişkin öngörülebilir bir zaman aralığının mevcut olmadığını söyleyebiliriz. Bu nedenle taahhüt ibrazı veya şirketler arası aktarım sözleşmelerinin ibrazı yoluyla Kurul’a başvuruda bulunmak, yurt dışına kişisel veri aktarımının hukuka uygun hale getirilmesi hususunda yeterli görülmemektedir. Yine de bu şekilde bir başvuruda bulunarak yurtdışına veri aktarımı için izin alan sayılı teşebbüsler olduğunu belirtmek yerinde olacaktır.

Verinin aktarılacağı ülkede yeterli korumanın bulunmadığı durumlarda, çok uluslu grup şirketleri arasında veri aktarımı için alternatif bir yöntem olarak, Kurul, Bağlayıcı Şirket Kuralları (“BŞK”) kavramını getirmiştir. Buna göre; Bağlayıcı Şirket Kuralları Kurul’a ibraz edilebilir ve açık rızanın alınması aranmaksızın kişisel verilerin hukuka uygun biçimde aktarımı için (kişisel verilerin açık rıza dışındaki hukuki sebeplere dayalı olarak işlenebileceği durumlarda, örneğin sözleşme imzalanması, yasal hakların kullanılması veya hukuki yükümlülüklerin yerine getirilmesi gibi) Kurul’un onayı alınmalıdır.

Yurt dışına kişisel veri aktarımı ile ilgili halihazırda açık rıza alınması dışında hızlı bir çözümün yer almaması, standart sözleşme klozları gibi hukuki araçların tek başına kanunen verilerin yurt dışına aktarılmasında yetersiz olması, bu konuda bir kanun değişikliğine gidilmesi ihtiyacı olduğunu tartışmasız bir şekilde ortaya koymaktadır. Ticari ilişkileri de etkileyen bu konunun kısa vadede mevcut mevzuat gereği çözülebilmesi için somut adımlar atılması beklenmektedir. Bu kapsamda Kurul tarafından sektör paydaşları ile paylaşılan kanun değişikliği önerilerinde özellikle kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddede bir dizi değişiklik yapılmasının planlandığı görülmüştür.

Değişiklik önerisi ile yurtdışına veri aktarımı açısından üç aşamalı bir değerlendirme sistemi öngörülmüştür. Bu kapsamda öncelikle sektörel bir yeterlilik kararının mevcut olup olmadığı değerlendirilecektir. Yeterlilik kararının olmaması durumunda aşağıda belirtilen uygun güvencelerden birinin varlığı aranmaktadır. Ayrıca Kurul’un ek güvenceler istemesi de mümkündür. Yeterlilik kararı yoksa ve uygun güvenceler de sağlanmıyorsa bu durumda değişiklik önerisi kapsamında kişisel veriler yalnızca aşağıda belirtilen hallerde yurtdışına aktarılabilecektir.

  • Yeterlilik Kararı

Kanun’un 5’inci ve 6’ıncı maddelerinde belirtilen hukuki sebeplerden birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunması halinde (sonraki aktarımlar da dâhil olmak üzere) yurt dışına aktarılabilecektir. Kurul, diğer bazı hususlarla birlikte karşılıklılık prensibi çerçevesinde yeterlilik konusunda karara varacaktır.

  • Uygun Güvenceler

Kurul tarafından bir yeterlilik kararı bulunmadığı hallerde, kişisel veriler aşağıda sıralanan uygun güvencelerden birinin sağlanması koşuluyla yurt dışına aktarılabilecektir:

  • Kurul’a, yine Kurul tarafından ilan edilmiş standart bir taahhütname ile bildirimde bulunulması,
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir sözleşmenin Kurul’a verilip Kurul’dan izin alınması,
  • Bağlayıcı şirket kurallarının varlığı ve bunların Kurul tarafından onaylanması,
  • Türkiye’deki kamu kurum ve kuruluşları ile veri aktarımı yapılacak ülkedeki muadil kurum ve kuruluşlar arasında yapılan anlaşmalarda kişisel verilerin korunmasına ilişkin hükümlerin varlığı ve Kurul’dan izin alınması.

Son olarak, bir yeterlilik kararı bulunmaması veya veri sorumlusu tarafından ilgili güvencelerin sunulmamış olması hallerinde, aşağıdaki şartlarda aktarımın arızi hallerde yapılabilmesi önerilmiştir:

  • uygun güvencelerin yokluğundan doğacak potansiyel riskler konusunda ilgilinin bilgilendirilmesinden sonra kendisinin açık rızasının alınması,
  • bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşme taraflarına ait kişisel verilerin aktarılmasının zorunlu olması,
  • veri sorumlusunun üçüncü kişi olan ilgili kişi yararına akdettiği sözleşmenin kurulması veya ifa edilmesi için ilgili kişinin kişisel verilerinin aktarılmasının zorunlu olması,
  • fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin veya bir başka gerçek kişinin hayatı veya beden bütünlüğü için veri aktarımının zaruri olması,
  • bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması, ve
  • yine sadece geçici bir durum olarak kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının mevzuatla belirlenmiş görev ve yetkilerinin ifası için kişisel verilerin aktarılmasının zorunlu olması durumlarının mevcut olması suretiyle istisnai olarak verilerin yurt dışına aktarımı söz konusu olabilecektir.

Söz konusu değişiklik önerileri henüz nihai halini almamış ve yasalaşmamış olsa da işaret ettiğimiz eksikliğin Kurul tarafından da kabul edildiği ve üzerinde çalışmaların sürdüğünü göstermesi bakımından anlamlıdır.

Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.

Abone Olun