04 December 2023
KVKK ve GDPR Kapsamında Veri Aktarımı
İçindekiler
Kişisel Verilerin Korunması Kanunu, 2016'da kabul edilmiş ve Resmî Gazete'de yayımlanmış bir kanundur. Kanun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacını taşır. Kişilerin temel hak ve özgürlüklerini korumak için için kanun farklı hükümler ortaya koymuştur.
Kişisel veriler mevzuata uygun olarak elde edilmeli ve işlenmelidir. Ayrıca kişisel veriler sadece gerçek kişilere aittir. Ancak veri sorumlusu veya veri işleyen gerçek kişi olabileceği gibi tüzel kişi de olabilir. Veri işlenmesine ilişkin amaçları doğrultusunda veri sorumlusu veya veri işleyen adını alırlar.
Mevzuata uygun olarak elde edilen bu kişisel verilerin üçüncü kişilere aktarımı söz konusu olabilmektedir. Veri aktarımı, Kişisel Verilerin Korunması Kanunu'nun 3. Maddesinin 1. Fıkrasının e bendinde "kişisel verilerin işlenmesi" yollarından biri olarak sayılmıştır. Ancak veri aktarımı kavramı KVKK'da tanımlanmamıştır.
Kişisel verilerin aktarılması kavramını kişisel verilerin veri sorumlusundan bir diğerine veya veri işleyene; veri işleyenden bir başka veri sorumlusu veya veri işleyene aktarılması şeklinde tanımlamak mümkündür.
Burada dikkat çekmeliyiz ki veri sorumlusunun birimleri arasındaki aktarımlar bu kapsamda değildir. Örneğin, bir firmanın insan kaynakları biriminden hukuk, muhasebe vb. başka bir birime yapılan veri aktarımı bu şekilde incelenmeyecektir.
Veri aktarımı kanunda tanımlanmamış olsa da kanunun amacı doğrultusunda düzenlenmiştir. Veriler her ne kadar mevzuata uygun şekilde elde edilmiş ve işlenmiş olursa olsun bu direkt olarak aktarılabilecekleri anlamına gelmez.
Yurt içi aktarım ve yurt dışı aktarım farklı maddelerde hüküm altına alınmıştır. Bu sebeple ayrı olarak incelenmeleri gerekir.
Kişisel Verilerin Yurt İçine Aktarımı
Kanun'un 8. Maddesi "Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz." diyerek konuyu hüküm altına almıştır. Aynı madde kişisel verilerin açık rıza aranmaksızın üçüncü kişilere aktarılabileceği hâlleri "Kişisel veriler; a) 5'inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6'ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir." şeklindeki 2. fıkra hükmüyle düzenlemiştir. Bu noktada görülmektedir ki kanun kişisel verilerin yurt içindeki aktarımı için kişisel verilerin işlenmesi ile aynı şartları aramaktadır. Bu şartlar ile ilgili kişinin açık rızası aranmadan kişisel veriler üçüncü kişilere aktarılabilmektedir.
Kanun'un 5. Maddesinin 2. Fıkrası;
- "Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması."
şeklinde şartları sıralamıştır.
Kanun'un 8. maddesi ile işaret edilen 6. Maddesi özel nitelikli kişisel verilerin işlenmesi ile ilgilidir. Özel nitelikli kişisel veriler öğrenildiği hâlde ilgili kişinin ayrımcılığa uğramasına ve mağdur olmasına sebep olabilecek olan verilerdir. Bu sebeple korunmaları hususunda diğer kişisel verilerden çok daha dikkatli olunması gerekir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları; kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileridir. Kanun'un 6. Maddesindeki şartlar özel nitelikli kişisel verilerin aktarılması için geçerli olacak olan şartlardır. Bunlar ise şöyle sayılmıştır;
- "İlgili kişinin açık rızasının alınması hâlinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması hâlinde,
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından" aktarılabilir.
Bu hükümde de yine öncelikle açık rızadan söz edilmiş, devamında ise açık rıza aranmadan özel nitelikli kişisel verilerin aktarılabileceği durumlar sayılmıştır.
Kişisel Verilerin Yurt Dışına Aktarımı
Kişisel verilerin yurt dışına aktarımı kanun tarafından ayrıca düzenlenmiştir. Mevzuata uygun şekilde elde edilmiş bulunan kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızası alınmalıdır. Bu husus Kişisel Verilerin Korunması Kanunu'nun 9. Maddesinde "Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz." şeklinde hüküm altına alınmıştır.
Kişisel verilerin yurt dışına aktarımında yine işlenmesi için aranan şartlar aranır. Ancak yurt dışına aktarım açısından ek önlemler alınmıştır.
Kişisel verilerin açık rıza alınmadan yurt dışına aktarılabileceği hâller mevcuttur. Eğer yukarıda yer verdiğimiz 5. Maddesinin 2. Fıkrası veya 6. Maddenin 3. Fıkrasındaki şartlardan biri varsa açık rıza aranmaksın yurt dışına aktarım yapılabilir. Ancak bunlarla birlikte aranan başka şartlar da vardır. Bunlar 9. Maddenin 2. Fıkrasında şöyle sayılır;
- "Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması"
Kanun hükmünce yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. Ancak henüz ilan edilmiş bir ülke bulunmamaktadır. Kişisel Verileri Koruma Kurulu'nun almış bulunduğu 2019/125 sayılı karar yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterleri belirlemiştir. Buna göre, karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin bulunup bulunmadığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu, ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterler, Kişisel Verileri Koruma Kurulu tarafından dikkate alınacaktır.
Kişisel Verileri Koruma Kurumu tarafından yapılan 26 Ekim 2020 tarihli Kamuoyu Duyurusu'nda, çeşitli ve birbirinden oldukça farklı ulusal hukuk düzenlemelerinin varlığı, değerlendirmeye konu ülkede genel nitelikte bir veri koruma düzenlemesinin bulunmaması veya yalnızca belirli alanları kapsayan düzenlemelerin bulunması ve federal devletlerde eyaletler arasındaki farklılıklar göz önünde bulundurulduğunda, titizlikle yürütülmesi gereken yoğun ve uzun bir süreç sonrasında yeterli korumaya sahip ülkelerin belirlenebileceği ifade edilmiştir. Ayrıca, yeterli korumaya sahip ülkelerin periyodik olarak denetime ve değerlendirmeye tabi tutulması gerektiği ve değişen koşullara göre söz konusu yeterlilik kararlarının değiştirilebileceği, askıya alınabileceği veya kaldırılabileceği belirtilmiştir. Dolayısıyla, Kişisel Verileri Koruma Kurulu tarafından güvenli ülkelerin belirlenmesi süreci, ilgili ülke ile yakın iş birliği ve diyalog mekanizmalarının kurulmasını içeren, kapsamlı ve çok boyutlu değerlendirmelerin yapılması ile sağlanan koruma düzeyinin sürekliliğinin takip edilmesini gerektiren dinamik bir süreçtir.
Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve 9. Maddenin 2. Fıkrasının (b) bendi uyarınca izin verilip verilmeyeceğine sayacağımız hususları değerlendirerek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. Bu hususlar;
- Türkiye'nin taraf olduğu uluslararası sözleşmeler
- Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu
- Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi
- Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması
- Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler
Kişisel veriler Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. Uluslararası sözleşme hükümleri ise saklıdır.
Açık rıza olmaksızın yeterli korumanın bulunmadığı bir ülkeye veri aktarımında bulunulabilmesi için yabancı ülke ve Türkiye'deki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri gerekir. Devamında Kişisel Verileri Koruma Kurulu aktarıma izin vermelidir. Bu taahhüt için kullanılabilecek iki yöntem vardır.
1- Taahhütnameler
Taahhütnameler, Türkiye ve yurt dışındaki veri sorumlularının yeterli korumayı taahhüt edebilecekleri ilk yöntemdir. Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir. Taraflarca hazırlanarak Kişisel Verileri Koruma Kurulu onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurlar Kişisel Verileri Koruma Kurulu tarafından belirlenmiş ve 7 Mayıs 2020 tarihinde duyurulmuştur.
- Taahhütname hazırlanırken, Kişisel Verileri Koruma Kurumu'nun resmî internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması hâlinde ise, bu hükümlere "İlave Hükümler" başlığı altında ayrıca yer verilmelidir.
- Kişisel veri aktarımının alıcısı doğru şekilde nitelendirilmeli ve alıcının niteliğine göre Kişisel Verileri Koruma Kurumu tarafından hazırlanan örnek taahhütname örneği kullanılmalıdır.
- Veri sorumlusundan veri sorumlusuna veya veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır ve detaylı açıklamalara yer verilmeli ve aralarındaki hukuki ilişkiyi gösteren sözleşme ve benzeri belgeler taahhütname ile birlikte Kişisel Verileri Koruma Kurumu'na teslim edilmelidir.
- Taahhütnamenin ekinde yer alan veri konusu kişi grubu ve grupları, veri kategorileri, veri aktarımının amaçları, veri aktarımının hukuki sebebi, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler, veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) bilgileri ve irtibat kişisi iletişim bilgileri eksiksiz bir şekilde doldurulmalı ve varsa ek faydalı bilgilere yer verilmelidir.
- Taahhütname kapsamında kullanılan terimler ve yapılan tanımlar Kişisel Verilerin Korunması Kanunu ve tali düzenlemelere uygun olmalıdır.
- Hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususları birbiriyle bağlantılı olarak detaylı bir şekilde açıklanmalıdır.
- Taahhütnameler, Kişisel Verilerin Korunması Kanunu kapsamında belirtilen hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak hazırlanmalıdır.
- Kişisel Verileri Koruma Kurumu'na yapılan yurt dışına veri aktarımı izni başvurularında, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlara yer verilmeli, başvuru ile birlikte imzaya yetkili kişinin yetkisini gösteren imza sirküleri, vekaletname gibi belgelere yer verilmelidir.
- Taahhütname ve ekinin sonunda imza ve kaşe yer almalı ve her bir sayfasında imzacıların parafı bulunmalıdır.
- Yabancı dilde düzenlenen belgelerin noter onaylı çevirisi bulunmalıdır.
2- Bağlayıcı Şirket Kuralları
Taahhütnamelerin çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabileceğini dikkate alan Kişisel Verileri Koruma Kurulu, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere, ikinci yöntem olarak "Bağlayıcı Şirket Kuralları"nı belirlemiştir.
Kişisel Verileri Koruma Kurumu, Bağlayıcı Şirket Kurallarını "bir şirketler topluluğuna bağlı olarak Türkiye'de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurt dışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kuralları" olarak tanımlamaktadır.
Bağlayıcı Şirket Kuralları kapsamında yer alan yükümlülükler, çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları ve veri işleyenler için geçerli olacaktır. Kişisel veriler ile ilgili olarak, yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın kişisel verilerin aktarımını yapacak çok uluslu bir şirketler topluluğuna bağlı olarak faaliyet gösteren veri sorumluları, ilgili formu doldurarak usulüne uygun olarak Kişisel Verileri Koruma Kurumu'na Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Kişisel Verilerin Korunması Kanunu uyarınca, söz konusu başvuru Kişisel Verileri Koruma Kurulu'nun iznine tabi olacaktır.
Kişisel Verileri Koruma Kurumu tarafından 10 Nisan 2020 tarihinde Bağlayıcı Şirket Kuralları ile ilgili bir başvuru formu yayımlanmıştır. Bu forma göre, bir şirketler topluluğunun Türkiye'de merkezi varsa, ilgili başvuruyu yapmaya bu merkez yetkili olacaktır. Şirketler topluluğunun Türkiye'de merkezi bulunmuyorsa, şirketler topluluğunun Türkiye'de yerleşik bir üyesi, kişisel verilerin korunması konusunda yetkilendirilecek ve ilgili başvuru yetkili üye tarafından yapılacaktır. Başvuru yapılırken; başvuru formu, Bağlayıcı Şirket Kuralları ve başvuru ile ilgili gerekli görülen diğer belgeler Kişisel Verileri Koruma Kurumu'na elden ya da posta aracılığı ile sunulacaktır.
Burada örnek olarak Kişisel Verileri Koruma Kurumu'nun 01.09.2023 tarihli duyurusunu gösterebiliriz. Google Reklamcılık ve Pazarlama Limited Şirketi yurt dışına kişisel veri aktarımı yapılması hususunda taahhütname başvurusunda bulunmuştur. Bu başvuru Kişisel Verileri Koruma Kurulu tarafından KVKK'nın 9. Maddesinin 2. fıkrasının b bendi kapsamında değerlendirilmiş ve 17.08.2023 tarihinde söz konusu veri aktarımına izin verilmiştir. Dünya çapında faaliyet gösteren bir şirket olan Google'ın yapacağı aktarımlarda ilgili kişilerin hepsinden açık rıza alması çok mümkün değildir. Verilen bu izin ile açık rıza alınmaksızın aktarım yapılabilecektir. Bu duyuru çeşitli gazetelerin web sayfalarında da yer almıştır. KVKK tarafından izin verilen 7. Veri aktarım taahhütnamesi olmasıyla da önemi daha iyi anlaşılmaktadır. Kişisel hakların korunması amaçlanarak getirilmiş düzenlemeler gün geçtikçe önem kazanmakta ve kullanılabilirlikleri artmaktadır.
GDPR Açısından Veri Aktarımı
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir tüzüktür. 2016'da kabul edilip 2018'de yürürlüğe girmiştir. Avrupa Birliği üyesi olmayan ülkelerde mukim şirketler de birlik üyesi ülkelerle yapmak istedikleri işlerde tüzüğe uyum sağlamalıdırlar. Bu sebeple veri aktarımı konusu GDPR açısından da incelenmelidir.
Öncelikle dikkat çekilmelidir ki GDPR veri aktarımı konusunu daha ayrıntılı olarak inceler. Kişisel verilerin Avrupa Ekonomik Alanı içindeki aktarımları düzenlenirken alan dışındaki ülkeler veya uluslararası kuruluşlara aktarımlar da özel şartlarla koruma altına alınır. Bunun sebebi verilerin alan dışında da korunmaya devam etmesini sağlama amacıdır.
Kişisel verilerin yurt dışına aktarımı GDPR'ın 44 ve 50. Maddeleri arasında düzenlenmektedir. 44. Madde "Genel Aktarım İlkesi"ni düzenleyerek başlar. Devamındaki maddelerde ise "Bir yeterlilik kararına dayalı olarak yapılan aktarımlar", "Uygun güvencelere tabi olarak yapılan aktarımlar", "Bağlayıcı kurumlar kurallar" gibi maddelerle devam edilir. 45. maddede düzenlenen "Bir yeterlilik kararına dayalı olarak yapılan aktarımlar" maddesine göre "Komisyonun bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hâllerde, bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir. Böylesi bir aktarım için spesifik bir onay gerekmez." Komisyon, koruma düzeyinin yeterliliğini değerlendirirken hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği vb. gibi önemi herkesçe kabul edilecek olan hususları dikkate alır. Ayrıca ilgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler büyük bir önem arz eder.
GDPR uyarınca sınırlandırılmış aktarımın söz konusu olacağı durumlar için ise veri aktarımına konu olan veri işleme faaliyeti GDPR'a tabii olmalı, verinin aktarılacağı ülke GDPR'a tabii olmamalı, veri aktarımının alıcısı göndericisinden farklı bir gerçek ya da tüzel kişi olmalıdır.
Aslında görülür ki GDPR veri aktarımlarının hukuka uygun hâle gelebilmesi için yeterlilik kararının varlığı, güvenlik tedbirlerinin varlığı veya da bir istisnanın varlığını önemsemektedir.
22.05.2023'te haber kaynaklarında yer almış habere göre Meta isimli şirket kullanıcı verilerinin ABD'ye aktarılması nedeniyle 1,2 milyar euro para cezasına çarptırılmıştır. Meta'nın aldığı bu ceza 2021'de Amazon'a verilen 746 milyon euroluk GDPR cezasını aşmıştır.
Görüldüğü üzere GDPR ihlalleri büyük cezalara sebebiyet vermektedir. Bu cezalar maddi yönleri olduğu gibi şirketlerin imajlarında da kötü bir etki bırakmaktadır.
SONUÇ
Değerlendirmenin sonunda hem KVKK hem GDPR açısından veri aktarımı konusunun ne kadar önemli olduğu rahatça söylenebilir. GDPR hem AB hem AB dışına veri aktarımını düzenlediği için KVKK'dan daha ayrıntılıdır. Ayrıca hükmedilen cezaların boyutu daha büyüktür.
Kişisel veriler gün geçtikçe ve özellikle teknolojinin gelişmesiyle gittikçe önem kazanan bir husustur. Bunların korunması gün geçtikçe daha çok önem arz etmektedir. Buna bağlı olarak kişisel verilerin aktarımı konusunun da gelişeceği ve koruma yöntemlerinin artıp cezaların miktarının yükseleceği yorumunu yapmak zor değildir.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.
Bilgilendirme Metni!