Kişisel verilerin yurt dışına aktarımı, Kişisel Verilerin Korunması Kanunu‘nun 9’uncu maddesi kapsamında düzenlenmiş ve kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ifade edilmiştir. Bununla birlikte, Kişisel Verilerin Korunması Kanunu uyarınca belirli durumların varlığı hâlinde; kişisel veriler, veri sorumlusu ya da veri işleyen tarafından ilgili kişinin açık rızası olmaksızın aktarılabilmektedir.
İlgili kişinin açık rızası olmaksızın kişisel verilerin yurtdışına aktarılabilmesi için öncelikle Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrası ile 6’ncı maddesinin 2’nci fıkrasında sayılan kişisel verileri işleme şartlarının varlığı gerekmektedir. Özel nitelikli olmayan kişisel veriler için aşağıdaki durumlarda açık rıza aranmayacaktır:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin açık rıza olmadan aktarılabilmesi için ise, yeterli önlemler alınmak koşuluyla, aşağıdaki durumlardan birinin varlığı gerekecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından, kanunlarda açıkça öngörülmüş olması hâlinde
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılmak koşuluyla; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
Yukarıda sayılan şartlardan birinin varlığı durumunda, kişisel verilerin aktarılacağı yabancı ülkede kişisel veriler ile ilgili olarak yeterli korumanın olup olmadığına bakılacak ve yeterli korumanın bulunması durumunda, kişisel veriler açık rıza olmaksızın aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise, Taahhütnameler ve Bağlayıcı Şirket Kuralları ile Kişisel Verileri Koruma Kurumuna başvuruda bulunulacak ve kişisel verilerin yurt dışına aktarımı Kişisel Verileri Koruma Kurulunun onayına tabi olacaktır. Bununla birlikte, Türkiye’nin tarafı olduğu uluslararası anlaşmaların kapsamına giren durumlarda söz konusu onay mekanizması uygulanmayacaktır.
Yeterli Korumaya Sahip Ülkeler (Güvenli Ülkeler)
Kişisel Verilerin Korunması Kanunu uyarınca, yeterli korumanın bulunduğu ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilmesi gerekmektedir. Kişisel Verileri Koruma Kurulu’nun 2 Mayıs 2019 tarih ve 2019/125 sayılı kararı ile, yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlenmiştir. Buna göre, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterler, Kişisel Verileri Koruma Kurulu tarafından dikkate alınacaktır. Bununla birlikte, Kişisel Verileri Koruma Kurulu tarafından yeterli korumanın bulunduğu ülkeler hâlâ belirlenmemiştir.
Kişisel Verileri Koruma Kurumu tarafından yapılan 26 Ekim 2020 tarihli kamuoyu duyurusunda, üçüncü taraf ülkelere kişisel verilerin aktarılmasına dair Avrupa Komisyonu Veri Koruma Çalışma Grubu tarafından hazırlanan çalışmaya atıfta bulunarak, çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlemelerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda, titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında yeterli korumaya sahip ülkelerin belirlenebileceği ifade edilmiştir. Ayrıca, yeterli korumaya sahip ülkelerin periyodik olarak denetime ve değerlendirmeye tabi tutulması gerektiği ve değişen koşullara göre söz konusu yeterlilik kararlarının değiştirilebileceği, askıya alınabileceği veya kaldırılabileceği belirtilmiştir. Dolayısıyla, Kişisel Verileri Koruma Kurulu tarafından güvenli ülkelerin belirlenmesi süreci, ilgili ülke ile yakın iş birliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreçtir.
Kişisel Verileri Koruma Kurumu, güvenli ülkelerin belirlenmesi hususunda, güvenli ülke statüsünün karşılıklı olarak tanınmasına büyük önem atfetmektedir. Kişisel verilerin korunması bakımından, güvenli ülke statüsünün herhangi bir ülke ile karşılıklı olarak tanınması, ülkemizde faaliyet gösteren veri sorumlusu ve veri işleyenlerin; kişisel verilerin güvenli, maliyetsiz ve hızlı bir biçimde aktarım olanağından aynı şekilde yararlanabilmeleri, ekonomik kazanç sağlayabilmeleri ve bu anlamda tek taraflı bir tanımanın yaratacağı asimetri nedeniyle dezavantajlı konumda bulunmamaları için gereklidir.
Yeterli Korumaya Sahip Olmayan Ülkeler (Güvenli Olmayan Ülkeler)
Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda ise, kişisel verilerin ilgili kişinin açık rızası bulunmaksızın yurt dışına aktarılabilmesi için, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun kişisel verilerin aktarımına izin vermesi gerekecektir. Veri sorumluları ve veri işleyenler tarafından yazılı taahhütte bulunulabilmesi için Kişisel Verileri Koruma Kurumu, bugüne kadar iki farklı yöntem belirlemiştir. Bunlardan ilki Taahhütnameler, diğeri ise Bağlayıcı Şirket Kurallarıdır.
Taahhütnameler
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kişisel Verileri Koruma Kurulu tarafından kabul edilerek ilan edilen “Taahhütnameler”dir. Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir. Taraflarca hazırlanarak Kişisel Verileri Koruma Kurulu onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurlar Kişisel Verileri Koruma Kurulu tarafından belirlenmiş ve taahhütnameler ile ilgili usule ve esasa ilişkin dikkat edilecek hususlar duyurulmuştur.
7 Mayıs 2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından yapılan duyuruya göre, taahhütname düzenlenirken ve yurt dışına veri aktarımı izni başvurusu yapılırken, veri sorumlusu ve/veya veri işleyenler tarafından aşağıdaki esas ve usul ile ilgili hususlara dikkat edilecektir:
- Taahhütname hazırlanırken, Kişisel Verileri Koruma Kurumu’nun resmî internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması hâlinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
- Kişisel veri aktarımının alıcısı doğru şekilde nitelendirilmeli ve alıcının niteliğine göre Kişisel Verileri Koruma Kurumu tarafından hazırlanan örnek taahhütname örneği kullanılmalıdır.
- Veri sorumlusundan veri sorumlusuna veya veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır ve detaylı açıklamalara yer verilmeli ve aralarındaki hukuki ilişkiyi gösteren sözleşme ve benzeri belgeler taahhütname ile birlikte Kişisel Verileri Koruma Kurumu’na teslim edilmelidir.
- Taahhütnamenin ekinde yer alan veri konusu kişi grubu ve grupları, veri kategorileri, veri aktarımının amaçları, veri aktarımının hukuki sebebi, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler, veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) bilgileri ve irtibat kişisi iletişim bilgileri eksiksiz bir şekilde doldurulmalı ve varsa ek faydalı bilgilere yer verilmelidir.
- Taahhütname kapsamında kullanılan terimler ve yapılan tanımlar Kişisel Verilerin Korunması Kanunu ve tali düzenlemelere uygun olmalıdır.
- Hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususları birbiriyle bağlantılı olarak detaylı bir şekilde açıklanmalıdır.
- Taahhütnameler, Kişisel Verilerin Korunması Kanunu kapsamında belirtilen hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak hazırlanmalıdır.
- Kişisel Verileri Koruma Kurumu’na yapılan yurt dışına veri aktarımı izni başvurularında, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlara yer verilmeli, başvuru ile birlikte imzaya yetkili kişinin yetkisini gösteren imza sirküleri, vekaletname gibi belgelere yer verilmelidir.
- Taahhütname ve ekinin sonunda imza ve kaşe yer almalı ve her bir sayfasında imzacıların parafı bulunmalıdır.
- Yabancı dilde düzenlenen belgelerin noter onaylı çevirisi bulunmalıdır.
Bağlayıcı Şirket Kuralları
Taahhütnamelerin çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabileceğini dikkate alan Kişisel Verileri Koruma Kurulu, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere, ikinci yöntem olarak “Bağlayıcı Şirket Kuralları”nı belirlemiştir.
Kişisel Verileri Koruma Kurumu, Bağlayıcı Şirket Kurallarını “bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak tanımlamaktadır.
Bağlayıcı Şirket Kuralları kapsamında yer alan yükümlülükler, çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları ve veri işleyenler için geçerli olacaktır. Kişisel veriler ile ilgili olarak, yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın kişisel verilerin aktarımını yapacak çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları, ilgili formu doldurarak usulüne uygun olarak Kişisel Verileri Koruma Kurumu’na Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Kişisel Verilerin Korunması Kanunu uyarınca, söz konusu başvuru Kişisel Verileri Koruma Kurulu’nun iznine tabi olacaktır.
Kişisel Verileri Koruma Kurumu tarafından 10 Nisan 2020 tarihinde Bağlayıcı Şirket Kuralları ile ilgili bir başvuru formu yayımlanmıştır. Bu forma göre, bir şirketler topluluğunun Türkiye’de merkezi varsa, ilgili başvuruyu yapmaya bu merkez yetkili olacaktır. Şirketler topluluğunun Türkiye’de merkezi bulunmuyorsa, şirketler topluluğunun Türkiye’de yerleşik bir üyesi, kişisel verilerin korunması konusunda yetkilendirilecek ve ilgili başvuru yetkili üye tarafından yapılacaktır. Başvuru yapılırken; başvuru formu, Bağlayıcı Şirket Kuralları ve başvuru ile ilgili gerekli görülen diğer belgeler Kişisel Verileri Koruma Kurumu’na elden ya da posta aracılığı ile sunulacaktır.
