Kişisel Verilerin Aktarılması

Kişisel Verilerin Aktarılması

Kişisel verilerin aktarılması; yurt içinde yahut yurt dışında gerçekleştirilebilen kişisel veri işleme süreçlerinden biridir. Kişisel verilerin üçüncü kişilere aktarılabilmesi için Kanunda sayılan şartların taşınması ve hukuki prosedüre uygun işlem yapılması zorunludur. Aksi halde veri sorumlusu ya da veri işleyenin idari para cezası ile karşı karşıya kalması gündeme gelebilmektedir.

Kişisel Verilerin Aktarılması Nedir?

Kişisel verilerin aktarılması; veri sorumlusu yahut veri işleyenin faaliyetleri sonucunda işlenen verilerin üçüncü kişilere aktarılmasıdır. Bu noktada, yurt içinde kişisel veri aktarımı iki veri sorumlusu arasında gerçekleşebileceği gibi veri sorumlusu ve veri işlerin arasında da gerçekleştirilebilir.

Veri güvenliği hususunda alınacak önlemlerde farklılıklar bulunduğundan yurt içinde kişisel veri aktarımı ile yurt dışındaki kişisel veri aktarım prosedürleri ayrı kanun hükümlerinde düzenlenmiştir.

Kişisel Verilerin Aktarılması Hakkındaki Hukuki Düzenleme

Kişisel verilerin aktarılması hakkındaki hukuki düzenleme kişisel verilerin korunması Kanunu madde 8 hükmünde açıklanmaktadır. 

KVKK 8:

“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.”

Özel Nitelikli Olmayan Kişisel Verilerin Yurt İçine Aktarımı

Özel nitelikli olmayan kişisel verilerin yurt içinde aktarımı kural olarak ilgili kişinin açık rızasının bulunması halinde mümkündür. Ancak, kanunun 5. maddesinde sayılan kişisel verilerin işlenme şartlarından herhangi birinin bulunması halinde açık rıza aranmadan verilerin yurt içinde aktarım söz konusu olabilmektedir. 

İlgili maddede sayılan şartlar şunlardır:

  • Kanunlarda veri aktarımına ilişkin açık hüküm bulunması, 
  • Veri aktarımının, fiili imkansızlık nedeniyle rızasını açıklamayacak kişinin ya da bir başkasının beden bütünlüğünün korunması için zorunlu olması, 
  • Bir sözleşmenin kurulması veya yerine getirilmesiyle doğrudan doğruya ilgili olması şartıyla, sözleşmenin taraflarına ilişkin kişisel verilerin aktarılmasının gerekli olması, 
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri aktarımının zorunlu olması, 
  • Aktarılacak verinin, veri sahibi olan ilgili kişi tarafından alenileştirilmiş olması, 
  • Veri aktarımının; bir hakkın tesisi, kullanılması ya da korunması için zorunlu olması, 
  • Veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması. (Bu durumda ilgili kişinin temel hak ve özgürlüklerine herhangi bir zarar verilmiyor olması gerekmektedir.)

Sonuç olarak, veri sorumlusu yahut veri işleyen elinde bulunan bir verinin üçüncü kişilere aktarılabilmesinin ilk şartı ilgili kişinin bu konuda açık Rıza vermesidir. Diğer bir taraftan, yukarıda sayılan durumlarda ayrıca açık rıza alınmadan da kişisel verilerin yurt içinde aktarımı söz konusu olabilmektedir.

Özel Nitelikli Kişisel Verilerin Yurt İçinde Aktarımı

Özel nitelikli kişisel verilerin yurt içinde aktarımı; özel nitelikli olmayan kişisel veriler yurt içinde aktarımı gibi açık rızaya bağlanmıştır. İlgili kişinin bu konuda verdiği ayrıca bir açık rızanın bulunmaması halinde, Kanunun 6. maddesinde sayılan şartların herhangi birinin sağlandığı durumlarda da yurt için aktarım yapılabilmektedir.

Özel nitelikli kişisel verilerin yurt içinde aktarımı kural olarak yasaktır. Ancak; kanunun 6 maddesinin 3 fıkrasında yer alan şartlardan herhangi birinin sağlanması halinde özel teknik kişisel veriler yurt içinde üçüncü kişilere aktarılabilmektedir. Bu şartlar şunlardır: 

  • İlgili kişilerin veri aktarımı hususunda açık rızasının bulunması, 
  • Yurt içi aktarım faaliyetlerinin kanun hükümlerinde açıkça yer alması, 
  • Veri aktarımının, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan yahut rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için gerekli olması, 
  • Kişisel verinin, ilgili kişi tarafından alenileştirilmiş olması, 
  • Veri aktarımının, bir hakkın tesisi, kullanımı yahut korunması için zorunlu olması, 
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, 
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, 
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Özel nitelikli kişisel verilerin yurt içinde aktarımında, Kanunun 6 maddesinde sayılan şartların sağlandığı hallerde yeterli tedbirlerin alınması şartı da getirilmiştir. 

Kişisel Verilerin Aktarılması

Özel Nitelikli Kişisel Verilerin Aktarımında Alınması Gereken Yeterli Tedbirler

Özel nitelikli kişisel verilerin aktarımında alınması gereken yeterli tedbirler Kişisel Verileri Koruma Kurumu tarafından yayınlanan tedbirlerdir. 

Kurul kararlarına göre; özel nitelikli kişisel veriler, Kanunun 6. maddesinde sayılan şartlardan herhangi birine dayanılarak yurt içinde aktarılırken aşağıdaki önlemlerin alınması gerekmektedir:

  • Veri güvenliğinin sağlanması için sistemli, net ve yönetilebilir bir veri güvenliği politikasının oluşturulması,
  • Özel nitelikli kişisel veri işleyen çalışanlara düzenli olarak veri güvenliği eğitimlerinin verilmesi, 
  • Bu çalışanlarla gizlilik sözleşmelerinin yapılması, 
  • Özel nitelikli kişisel verilere erişim hakkında yetki kontrollerinin oluşturulması ve yetki kontrollerinin periyodik olarak gerçekleştirilmesi, 
  • Görev değişikliği yahut işten çıkma hallerinde özel nitelikli kişisel verilere erişimlerin derhal kaldırılması, 
  • Özel teknik servi verileri muhafaza edildiği fiziki ve elektronik ortamlarda güvenliğin sağlanması için çeşitli tedbirlerin alınması. 
  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi ve kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, 
  • Veriler üzerinde gerçekleştirilen her türlü işlemin loglanması, 
  • Verilere elektronik ortamda erişilmesi halinde iki kademeli kimlik doğrulama sistemlerini kullanılması, 
  • Kişisel verilerin aktarılmasında taşınabilir bellek, CD, DVD kullanılması halinde kriptografik yöntemlerle şifrelenmesi, 
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, 
  • Fiziken gönderilen evrakların gizlilik dereceli belgeler formatında gönderilmesi, 
  • Sayılan tedbirlerin dışında kanununda sayılan idari ve Teknik tedbirlerinde ayrı ayrı alınması ve kontrol edilmesi.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılması, ilgili kanunun 9 maddesinde ayrıca düzenlenen şartların varlığında mümkün olabilmektedir. 

1 Haziran 2024 tarihinde yürürlüğe giren değişiklik ile kişisel verilerin yurt dışına aktarımında değişikliğe gidilmiştir. Güncel düzenlemeye göre, kişisel verilerin yurt dışında aktarımı için aşağıda yer alan çok aşamalı prosedürü uygulanması mümkündür.

Öncelikle kişisel verilerin aktarılacağı ülke sektör yalnız uluslararası kuruluş hakkında kurul tarafından verilen bir yeterlilik kararı olup olmadığına bakılır. Yeterlilik kararının bulunması ve kanunun 5 ve 6 maddelerinde sayılan veri işleme şartlarından birinin sağlanıyor olması halinde kişisel veriler yurt dışına aktarılabilmektedir. 

Herhangi bir yeterlik kararını bulunmadığı durumlarda kanunda sayılan uygun güvencelerin sağlanması halinde kişisel verilerin yurtdışına aktarılması söz konusu olabilmektedir. Uygun güvencelerin sağlanmasının yanında ayrıca kanunun 5 ve 6 maddesindeki veri işleme şartlarından birinin sağlanıyor olması da gerekmektedir. 

Uygun güvencenin de sağlanamaması halinde, yalnızca tek seferlik veri aktarımları için geçerli olan, arazi aktarım yoluna başvurulabilmektedir. 

Yeterlilik kararı, kanunda sayılan uygun güvence yöntemleri ve arızi veri aktarımı ilişkin detaylar “kişisel verilerin yurt dışına aktarımı” başlıklı makalede yer almaktadır.

Sonuç

Kişisel verilerin aktarılması yurt içi ve yurt dışı aktarımı olarak Kişisel Verilerin Korunması Kanununda düzenlenen veri işleme hallerindendir. Kişisel verilerin ihlal edilmemesi adına aktarımlarda da çeşitli Kanuni yükümlülüklere yer verilmiştir. Sayılan yükümlülüklerin ihlal edilmesi sonucu idari para cezaları ile karşı karşıya kalmamak adına sürecin alanında uzman bir veri koruma avukatıyla yürütülmesi önemlidir.