Kişisel verilerin aktarılması, Kişisel Verilerin Korunması Kanunu kapsamında düzenlenmiş fakat tanımına yer verilmemiştir. Bununla birlikte, kişisel verilerin aktarımı kısaca veri sorumlusu ya da veri işleyen tarafından, başka bir veri sorumlusuna ya da veri işleyene kişisel verilerin aktarılması olarak tanımlanabilir. Örneğin, bir banka tarafından müşterilerinin kişisel verilerinin bilgi işlem şirketine aktarılması, kişisel verilerin aktarılması olarak nitelendirilecektir. Bununla birlikte, veri sorumlusunun departmanları arasında yapılan aktarmalar (örneğin, insan kaynakları ve muhasebe departmanı arasında yapılan veri aktarımları), Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin aktarılması olarak değerlendirilmeyecektir.
Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin aktarılması, yurt içi ve yurt dışı aktarım olarak iki başlık hâlinde düzenlenmiştir. Bu yazımızda, kişisel verilerin aktarılması konusunu, Kişisel Verilerin Korunması Kanunu kapsamındaki ayrım uyarınca yurt içi aktarım ve yurt dışı aktarım olarak iki başlık hâlinde inceleyeceğiz.
Kişisel Verilerin Yurt içi Aktarımı
Kişisel verilerin yurt içi aktarımı, Kişisel Verilerin Korunması Kanunu’nun 8’inci maddesi kapsamında düzenlenmiştir. Buna göre, kişisel veriler ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabilir. Bununla birlikte, veri sorumlusu ya da veri işleyen tarafından kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılabileceği durumlar bulunmaktadır. Özel nitelikli olmayan kişisel veriler için aşağıdaki durumlarda açık rıza aranmayacaktır:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin açık rıza olmadan aktarılabilmesi için ise, yeterli önlemler alınmak koşuluyla, aşağıdaki durumlardan birinin varlığı gerekecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması hâlinde
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılmak koşuluyla; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
Kişisel Verilerin Yurt dışına Aktarımı
Kişisel verilerin yurt dışına aktarımı, Kişisel Verilerin Korunması Kanunu’nun 9’uncu maddesi kapsamında düzenlenmiştir. Buna göre, kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bununla birlikte, Kişisel Verilerin Korunması Kanunu uyarınca belirli durumların varlığı hâlinde, kişisel veriler veri sorumlusu ya da veri işleyen tarafından ilgili kişinin açık rızası olmaksızın aktarılabilmektedir.
İlgili kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılabilmesi için öncelikle Kişisel Verilerin Korunması Kanunu kapsamında yer alan ve yukarıda yurt içi aktarım kapsamında sayılan şartlardan birinin varlığı gereklidir. Bu şartlardan birinin varlığı durumunda, kişisel verilerin aktarılacağı yabancı ülkede kişisel veriler ile ilgili olarak yeterli korumanın olup olmadığına bakılacak ve yeterli korumanın bulunması durumunda, kişisel veriler açık rıza olmaksızın aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise, Taahhütnameler ve Bağlayıcı Şirket Kuralları ile Kişisel Verileri Koruma Kurumuna başvuruda bulunulacak ve kişisel verilerin yurt dışına aktarımı Kişisel Verileri Koruma Kurulunun onayına tabi olacaktır. Bununla birlikte, Türkiye’nin tarafı olduğu uluslararası anlaşmaların kapsamına giren durumlarda söz konusu onay mekanizması uygulanmayacaktır.
Yeterli Korumaya Sahip Ülkeler
Kişisel Verilerin Korunması Kanunu uyarınca, yeterli korumanın bulunduğu ülkelerin Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilmesi gerekmektedir. Kişisel Verileri Koruma Kurulunun 2 Mayıs 2019 tarih ve 2019/125 sayılı kararı ile, yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlenmiştir. Buna göre, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterler, Kişisel Verileri Koruma Kurulu tarafından dikkate alınacaktır. Bununla birlikte, Kişisel Verileri Koruma Kurulu tarafından yeterli korumanın bulunduğu ülkeler hâlâ belirlenmemiştir.
Kişisel Verileri Koruma Kurumu tarafından yapılan 26 Ekim 2020 tarihli kamuoyu duyurusunda, üçüncü taraf ülkelere kişisel verilerin aktarılmasına dair Avrupa Komisyonu Veri Koruma Çalışma Grubu tarafından hazırlanan çalışmaya atıfta bulunarak, çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda, titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında yeterli korumaya sahip ülkelerin belirlenebileceği ifade edilmiştir. Ayrıca, yeterli korumaya sahip ülkelerin periyodik olarak denetime ve değerlendirmeye tabi tutulması gerektiği ve değişen koşullara göre söz konusu yeterlilik kararları değiştirilebileceği, askıya alınabileceği veya kaldırılabileceği belirtilmiştir.
Yeterli Korumaya Sahip Olmayan Ülkeler
Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda ise, kişisel verilerin ilgili kişinin açık rızası bulunmaksızın yurt dışına aktarılabilmesi için, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun kişisel verilerin aktarımına izin vermesi gerekecektir. Veri sorumluları ve veri işleyenler tarafından yazılı taahhütte bulunulabilmesi için Kişisel Verileri Koruma Kurumu bugüne kadar iki farklı yöntem belirlemiştir. Bunlardan ilki Taahhütnameler, diğeri ise Bağlayıcı Şirket Kurallarıdır.
Taahhütnameler
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kişisel Verileri Koruma Kurulu tarafından kabul edilerek ilan edilen “Taahhütnameler”dir. Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir. Taraflarca hazırlanarak Kişisel Verileri Koruma Kurulu onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurlar Kişisel Verileri Koruma Kurulu tarafından belirlenmiş ve taahhütnameler ile ilgili usule ve esasa ilişkin dikkat edilecek hususlar duyurulmuştur.
7 Mayıs 2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından yapılan duyuruya göre, taahhütname düzenlenirken ve yurt dışına veri aktarımı izni başvurusu yapılırken, veri sorumlusu ve/veya veri işleyenler tarafından aşağıdaki esas ve usul ile ilgili hususlara dikkat edilecektir:
- Taahhütname hazırlanırken, Kişisel Verileri Koruma Kurumunun resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması hâlinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
- Kişisel veri aktarımının alıcısı doğru şekilde nitelendirilmeli ve alıcının niteliğine göre Kişisel Verilerin Korunması Kurumu tarafından hazırlanan örnek taahhütname örneği kullanılmalıdır.
- Veri sorumlusundan veri sorumlusuna veya veri işleyene yapılacak aktarımlarda, tarafların hukuki statülerine ilişkin anlaşılır ve detaylı açıklamalara yer verilmeli ve aralarındaki hukuki ilişkiyi gösteren sözleşme ve benzeri belgelerin taahhütname ile birlikte Kişisel Verileri Koruma Kurumuna teslim edilmelidir.
- Taahhütnamenin ekinde yer alan veri konusu kişi grubu ve grupları, veri kategorileri, veri aktarımının amaçları, veri aktarımının hukuki sebebi, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, Özel Nitelikli Kişisel veriler için alınan ek önlemler, veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) bilgileri ve irtibat kişisi iletişim bilgileri eksiksiz bir şekilde doldurulmalı ve varsa ek faydalı bilgilere yer verilmelidir.
- Taahhütname kapsamında kullanılan terimler ve yapılan tanımlar Kişisel Verilerin Korunması Kanunu ve tali düzenlemelere uygun olmalıdır.
- Hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususları birbiriyle bağlantılı olarak detaylı bir şekilde açıklanmalıdır.
- Taahhütnameler, Kişisel Verilerin Korunması Kanunu kapsamında belirtilen hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak hazırlanmalıdır.
- Kişisel Verileri Koruma Kurumuna yapılan yurt dışına veri aktarımı izni başvurularında, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlara yer verilmeli, başvuru ile birlikte imzaya yetkili kişinin yetkisini gösteren imza sirküleri, vekaletname gibi belgelere yer verilmelidir.
- Taahhütname ve ekinin sonunda imza ve kaşe yer almalı ve her bir sayfasında imzacıların parafı bulunmalıdır.
- Yabancı dilde düzenlenen belgelerin noter onaylı çevirisi bulunmalıdır.
Bağlayıcı Şirket Kuralları
Taahhütnamelerin çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmesini dikkate alan Kişisel Verileri Koruma Kurulu, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere ikinci yöntem olarak “Bağlayıcı Şirket Kuralları” belirlenmiştir.
Kişisel Verileri Koruma Kurumu, Bağlayıcı Şirket Kurallarını “bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları” olarak tanımlamaktadır.
Bağlayıcı Şirket Kuralları kapsamında yer alan yükümlülükler, çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları ve veri işleyenler için geçerli olacaktır. Kişisel veriler ile ilgili olarak yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın kişisel verilerin aktarımını yapacak çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları, ilgili formu doldurarak usulüne uygun olarak Kişisel Verileri Koruma Kurumuna Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Kişisel Verilerin Korunması Kanunu uyarınca, söz konusu başvuru Kişisel Verileri Koruma Kurulunun iznine tabi olacaktır.
Kişisel Verileri Koruma Kurumu tarafından 10 Nisan 2020 tarihinde Bağlayıcı Şirket Kuralları ile ilgili bir başvuru formu yayımlanmıştır. Bu forma göre, bir şirketler topluluğunun Türkiye’de merkezi varsa, ilgili başvuruyu yapmaya bu merkez yetkili olacaktır. Şirketler topluluğunun Türkiye’de merkezi bulunmuyorsa, şirketler topluluğunun Türkiye’de yerleşik bir üyesi, kişisel verilerin korunması konusunda yetkilendirilecek ve ilgili başvuru yetkili üye tarafından yapılacaktır. Başvuru yapılırken, başvuru formu, Bağlayıcı Şirket Kuralları ve başvuru ile ilgili gerekli görülen diğer belgeler Kişisel Verileri Koruma Kurumuna elden ya da posta aracılığı ile sunulacaktır.
