Kişisel Veriler ve Yurtdışına Aktarılma
Konuk Yazar: Av. Begüm GÜREL (LL.M.)
Her hukuk alanı kendi içerisinde önemlidir. Toplum şartlarına, Dünya geneline göre inceleyecek olursak teknolojinin, bilginin getirmiş olduğu yeniliklerle kişisel veriler alanına dair konular çalışmalar ön plandadır; kişisel verileri koruma hukuku gündemdedir. Geçmişten bugüne birçok alanda gelişmeler yaşadık. Çağımız da gelişmiş durumdadır. Bilgilere erişmek kolaylaştı ve bu kolaylıklar olumlu yönlerini çıkartmanın yanında ayrıca olumsuzluklarını da çıkarttı. Verilerin önemi kuşkusuz ön plandadır. Piyasalardaki sektörler somut gerçekliğe dayanan bilgileri verileri işlemekte iş yaparken bu süreçlerde (rekabet süreçlerinde) verileri kullanmaktadırlar. Kişisel verilerin yurtdışına aktarılması da bu anlamda önem kazanmaktadır.
Kişisel veriler günümüzün önemli kavramlarından biridir. Verilere ilişkin yapılacak işlemler, yükümlülükler yaptırımlar 6698 sayılı kişisel verileri koruma kanununda yer almaktadır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. KVKK 3.maddesinde tanımı yer almaktadır. Kanundaki tanımın lafzından anlaşılacağı üzere geniş şekilde yorumlanmış kavramdır. Her türlü bilgiden kasıt ise kişiyi tanımlattıracak hale getiren bilgilerdir sizinle ilgisi olanı gösterecek bilgidir. Fiziksel bilgiler, ekonomik grup üyeliği, mesleki deneyim, ses kaydı, kimlik numarası… vb. Örneğin: kurumları aradığımız zaman işlerimizi yapmak için sesli talimatlar veririz; bu sürede ses kaydımızın alınması, kaydedilmesi de kişisel veridir.
Kişisel verilerin aktarılması ise verilerin işlenmesinin çalışmasıdır; yani veri işleme türüdür. Alt dalının bir içeriği diyebiliriz. KVKK’da üçüncü madde verilerin işlenmesi tanımını içermektedir. Kişisel verilerin işlenmesi; verilerin toplanması, kaydedilmesi, depolanması, aktarılması muhafaza edilmesi, devralınması, kullanımının engellenmesi gibi her türlü işlemdir. Veri sorumlusundan yahut veri işleyenden başka birine aktarılması yoluyla olur. Yurt içinde ve yurt dışında üçüncü şahıslarla paylaşılır.
Verileri işlerken temel hak ve özgürlüklerimizi korumalıyız. Anayasamızda bu hakkımızın temel yapısı olan kanun olduğundan işlenme anında hakkımız Anayasanın teminatı altındadır. İkinci kısmında temel haklar ve ödevlerde belirtilmektedir. Kişisel verilerin korunmasının önemliliğinin üstüne basılmasının sebebi ilerde güvenlik için tehdit sonuçları oluşturabilir. Sizlerin izin verdiği rıza gösterdiği kurum ve kuruluşlar kişisel verilerinizi bilebilir. Kanunda rıza aranmayan haller istisnasıdır. Verilerin aktarılmasının iki yolla olacağı belirtilmiştir. Yurt içinde ve yurt dışında. Yurt dışına aktarılması 6698 sayılı KVK Kanununda dokuzuncu maddede belirtilmiştir. Kişisel verilerin işlenmesiyle yurt dışına aktarılması aynı şartlara bağlanmıştır; fakat yurt dışına aktarmada ek tedbirler vardır.
Birinci öncelik eğer veri yurt dışına aktarılacaksa ilgilinin açık rızası olmalıdır. Kişi kendi isteği ile belirli koşullar dâhilinde onay vermelidir; belirli koşullardan kasıt ise belli konuda açıklama, özgür iradesi olmalı baskı altında olmadan, rızanın bilgilendirmeye ilişkin olmasıdır. Açık rızayı örneklendirecek olur isek bir tür karşılıklı sözleşme yapılması gibi görülebilir yani her iki tarafın da buna uymasıdır. Öncelik şartı olan açık rıza yoksa eğer bu sefer ikinci alternatif yol mevcuttur. Eğer beşinci maddenin ikinci fıkrası ile altıncı maddenin üçüncü fıkrasında belirtilen şartlar var ise birinin varlığıyla, verinin aktarılacağı ülkede yeterli koruma varsa rızanın aranmasına gerek olmadan aktarım sağlanır. Yeterli koruma bulunması demek, kurul tarafından güvenli kabul edilecek ülkelerdir. Listeler ilan edilir. Aktarılacak kişisel veriler özel nitelikli değilse beşinci maddenin ikinci fıkrasında ki haller özel nitelikli ise altıncı maddenin üçüncü fıkrasında ki hallerdir.
Kişisel verilerin aktarımı;(Kvkk 5.madde 2.fıkra)Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde yurt dışına aktarılabilmektedir.
Kanunun altıncı maddesinin üçüncü fıkrasında ki şartlarımız ise; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz; yetkili korumaya sahip ülkeye aktarımda. Üçüncü alternatif yolumuz ise eğer yeterli korumanın bulunmaması halinde Türkiye’deki ve yabancı ülkedeki veri sorumluları yeterli korumayı yazılı olarak taahhüt edecekler ayrıca kişisel verileri koruma kurulunun izninin bulunması gerekecektir.
Kişisel Verilerin Yurtdışına Aktarılmasında Usul
Yeterli korumanın bulunmasına ilişkin somut olarak ülke listesi yoktur fakat üzerinde çalışmalar yapılmaktadır. Güvenli ülkenin önemi ise yapılan işlemler başvurular hızlı şekilde sonuçlanmaktadır. Ek yollardan biri de yeterli koruma yoksa eğer alternatif bağlayıcı şirket kuralları(BCR) vardır. Kuralları kurul ibraz eder. KVKK onayının da olması gereklidir. Veri aktarımı yaparken de dikkat etmemiz gereken hususlardan biri o ülke ile aramızda uluslararası sözleşme var mı? Eğer yoksa rızamız mevcut mudur? Daha sonrasında da kanundaki basamaklar birbiri ardına yol göstermektedir. Aktarım yasal sebeplere dayalı ise yeterli koruma bulunması da gereklidir.
Belirtildiği üzere kişisel veriler bizimle ilgili her türlü bilgileri içermektedir. O sebeple aktarılması da işletilmesi de hukuka uygun olarak yapılmalıdır; kanunların yönetmeliklerin içtihatların gösterdiği yollara başvurulmalıdır. Eğer kişisel veriler hukuka aykırı olarak kaydedilirse bunun yaptırımı TCK’da yer alır. Türk Ceza Kanunu 135’inci madde ve 137’nci maddeleri arası hapis cezası düzenlenmiştir.(Bir yıldan üç yıla kadar hapis cezası belirtilir.) Bu konuyla ilgili idari cezası ise KVKK da 12. maddede yer almaktadır. Veri aktarımında eğer kişinin veya ülkemizin menfaatlerinin zarar görme olasılığı var ise aktarımın onaylama ya da yasaklama imkânı vardır; kurulun onay imkânı mevcuttur ayrıca veri sahibi rızayı geri alabilir fakat geri alırsa o zaman aktarım olmaz. Cezaya yönelik örnek bir karar mevcuttur. Kişisel verileri koruma kurulunun 22/07/2020 tarihli 2020/559 sayılı kararında da verinin yurt dışına aktarılması vardır.
Ülkemizde olsun dünyada olsun kişisel verilerin korunması artık göz önünde tutulan başlıklardandır. Bu sebeple veri dediğimiz bilgilerin daha özele inmesiyle kişisel kısmı ile karşılaşırız bu konuda sorumluların işleyenlerin temkinli ve kurallara uygun yaklaşması gerekir. Çünkü sonrasında haksız bir eylem karşısında sorumluluk onlarda doğacaktır. Güvenliğin önemli olmasından ötürü öncelik kişilerin rızasını almaktır. Bugün birçok kişinin karşılaşmış olduğu klasik örneklerden biri olan herhangi bir uygulamada üye olabilmemiz için kendi rızamızla bilgilerimizi paylaşmak isteyip istemediğimizi sormaktadır, ancak bu şekilde üye olabiliyoruz. Hele ki bu durum yurt dışı olunca daha önemli davranmaktadır. Kanuna uygun hareket edilmektedir. Aktarılacak yabancı ülkede yeterli koruma varsa eğer rızaya gerek yoktur.
Sonuç
Ne kadar gün geçtikçe kişisel verilerimizi yurtdışına aktarırken sorunlar teşkil etse de alınacak önlemleri almalıyız problemlere çözüm odaklı yaklaşmalıyız. Bilgilere hızlı şekilde ulaşırken, yeni bilgiler iletirken aslında temel haklarımıza özgürlüklerimize öncelik tanıyarak, bu ulaşımın saygı kapsamında, etik şekilde yapılmasını sağlamalıyız. Kişisel verilerin korunması hukukunun amacı budur.
Kişisel Verilerin Korunması Alanında tüm Blog Yazılarımızı bağlantıda görebilirsiniz.
Hukuk ve Bilişim Dergisi 9. Sayısını bağlantıdan okuyabilirsiniz.