Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılması; kişisel verilerin işlenmesi hususunda yurt dışından hizmet alan yahut yurt dışına hizmet veren veri sorumluları açısından dikkat edilmesi gereken hususlardandır. Yurt dışına aktarılan verilerin takibinin zorlaşması sebebiyle bu konuda kanunda ayrıca düzenlemeler yapılmıştır. Bu düzenlemelerle, veri güvenliği sağlamayan ülkelere ve kurumlara aktarımın önüne geçilmiştir.

Kişisel Verilerin Yurt Dışına Aktarılması Hakkında Hukuki Düzenleme

Kişisel verilerin yurt dışına aktarılması hakkındaki hukuki düzenleme; Kişisel Verilerin Korunması Kanunu madde 9 hükmünde yer almaktadır. Bunun yanında, kişisel verilerin Korunması Kurumu tarafından yayınlanan rehberler ve tebliğler de bulunmaktadır. 

KVKK 9:

“(1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir”

DİKKAT: Kişisel Verilerin Korunması Kanununda yapılan değişiklik ile 9. madde yeniden düzenlenmiştir. Değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiş olup, 1 Eylül 2024 tarihine kadar eski düzenlemeler yeni düzenlemelerle beraber uygulanabilecektir. 1 Eylül 2024 tarihinden itibaren ise yeni düzenlemelere uyum sağlanması gerekmektedir.

Kişisel Verilerin Yurt Dışına Aktarılması Prosedürü

Kişisel verilerin yurtdışına aktarılması, çok aşamalı bir prosedür olarak düzenlenmiştir. Yurt dışına aktarım prosedürleri işlenerek veri aktarımı, veri sorumluları tarafından yapılabileceği gibi veri işleyenler tarafından da yapılabilmektedir.

KVKK m.9 hükmüne  göre kişisel veriler; kişisel veri işleme şartlarının varlığı halinde, aktarımın yapılacağı ülke, sektör, yahut uluslararası kuruluşlar hakkında yeterlilik kararı bulunması şartıyla yurt dışına aktarılabilir. 

Yurtdışı da aktarımın yapılacağı ülke sektör ya da uluslararası kuruluş hakkında herhangi bir yeterlilik kararının bulunmaması halinde Kanunda sayılan uygun güvenceler sağlanarak aktarım yapılabilmektedir.

Veri aktarımı yapılacak ülke, sektör, yahut uluslararası kuruluş hakkında herhangi bir yeterlik kararı bulunmaması ve Kanunda öngörülen güvencelerin sağlanamaması halinde ise arızi hallere dayanarak yurt dışına aktarım yapılabilir.

Kişisel Verilerin Yurt Dışına Aktarılması

Yeterlilik Kararının Bulunması Halinde Kişisel Verilerin Yurt Dışına Aktarılması

Veri işleyenlerin ve veri sorumlularının yurt dışına veri aktarımı yapabileceği ilk yol yeterlilik kararı bulunması halidir. 

Yeterlik kararına dayanarak veri aktarımı yapılabilmesi için Kişisel Verilerin  Korunması Kanunun 5. ve 6. maddelerinde sayılan veri işleme şartlarından birinin sağlanıyor olması gerekmektedir.

Örneğin, özel nitelikli bir kişisel verinin aktarılması için açık rızanın bulunması, aktarımın kanunlarda açıkça öngörülmesi, hukuki yükümlülüğün yerine getirilmesi için aktarım yapılması vs.

Kanuni düzenlemeye göre yeterlilik kararı doğrudan ülkelere verilebileceği gibi sektörel bazlı da verilebilir. Aynı şekilde, aktarımın yapılacağı uluslararası kuruluş özelinde de yeterlilik kararı verilebilmektedir. 

Kararlar, Kişisel Verilerin Korunması Kurumuna yapılan başvurular sonucunda yine Kurum tarafından verilmektedir. Yeterlilik kararı verilmesinin ardından kararlar Resmi Gazete’de yayımlanmak suretiyle ilan edilmektedir. 

Kanunda yapılan değişikliğin ardından Kişisel Verileri Koruma Kurumu yeterlilik kararı bahsinde gerekli çalışmaları başlatmıştır.

Uygun Güvencelerin Sağlanması Halinde Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin aktarılacağı ülke sektör yahut uluslararası kuruluş hakkında herhangi bir yeterlilik kararı bulunmaması halinde Kanunda sayılan uygun güvencelerin sağlanmasıyla aktarım yapılabilir. 

Bu ihtimalin uygulanabilmesi için yine Kanunun 5. ve 6. maddelerinde sayılan veri işleme şartlarından herhangi birinin varlığı aranmaktadır. Bunun yanında, aktarımın yapılacağı ülkede, ilgili kişinin haklarını kullanabileceği kanun yollarına başvurma imkanının bulunması gerekmektedir. 

Yukarıda sayılan şartların sağlanması halinde, yurt dışına aktarım için başvurulacak güvenceler şunlardır:

  • Aktarımın yapılacağı ülkedeki kamu kurum ve kuruluşları ile Türkiye’deki kamu kurum ve kuruluşları arasında yapılan anlaşmaların bulunması ve Kurul tarafından aktarıma izin verilmesi, 
  • Ortak ekonomik faaliyette bulunan şirketlerin uymak zorunda olduğu, veri güvenliğine ilişkin hükümler içeren bağlayıcı şirket kurallarının bulunması ve bu kuralların Kurul tarafından onaylanmış olması, 
  • Kuru tarafından ilan edilmiş, veri kategorileri, veri işleme amaçları, alıcı grupları, teknik ve idari tedbirler gibi hususları içeren standart sözleşmenin varlığı, 
  • Veri korunmasına ilişkin yeterli koruma sağlayan yazılı bir taahhütnamenin hazırlanması ve Kurul tarafından aktarma izin verilmesi.

Uygun güvencenin sağlanması yolunda, veri sorumlusu yahut veri işleyenin aktarımın gerçekleştirileceği ülke yahut kurul hakkında kapsamlı bilgi sahibi olması oldukça önemlidir. Bu noktada risk temelli bir yaklaşımın benimsenmesi gerekmektedir. Aynı şekilde, etki analizleri yoluyla aktarımın yapılacağı ülkedeki veri koruma faaliyetleri ilişkin tespitlerde bulunulabilir.

Kurul tarafından yayınlanan standart sözleşmeler yoluyla veri aktarımının yapılması halinde imzalanan standart sözleşmenin imza tarihinden itibaren 5 iş günü içerisinde Kurula ibrazı zorunludur. Aksi halde veri sorumlusu veri işleyenin idari para cezası ile karşı karşıya kalması gündeme gelebilmektedir

Arızi Hallerde Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarımı hususunda bil yeterlilik kararının bulunmaması ve uygun güvencelerin sağlanamaması halinde arızi hallere başvurarak aktarımın yapılması mümkündür. 

Bu haller yalnızca tek seferlik aktarılmaları için geçerlidir Dolayısıyla birbiri sorumlusunun düzenli olarak yurt dışına aktarım yapması halinde bu yollara başvurmak mümkün değildir. Arızi aktarım şartları şunlardır: 

  • İlgili kişinin veri aktarımı halinde ortaya çıkabilecek riskler hakkında bildirilmesi şartıyla veri aktarımına açık rıza vermesi, 
  • Veri aktarımının veri sorumlusu ve ilgili kişi arasında kurulacak sözleşmenin ifası için zorunlu olması. Yahut ilgili kişinin isteği sonucu alınan sözleşme öncesi tedbirlerin uygulanabilmesi için zorunlu olması. 
  • Veri aktarımının, ilgili kişiyi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak sözleşmenin kurulması veya ifası için zorunlu olması, 
  • Aktarımın kamu yararının sağlanması için zorunlu olması, 
  • Aktarımın; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, 
  • Veri aktarımının, fiili imkansızlık nedeniyle açık rıza veremeyecek yahut rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya beden bütünlüğünü korunması için zorunlu olması, 
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Sonuç 

Kişisel verilerin yurt dışına aktarımı; Kişisel Verilerin Korunması Kanunu’nda yapılan değişiklikle yeniden düzenlenen hususlardan biridir. Bu kapsamda, veri sorumlusu yahut veri işleyen tarafından yapılan aktarım süreçlerinin gözden geçirilmesi ve kanuna uyumlu hale getirilmesi gerekmektedir. 1 Eylül 2024 tarihinde tamamıyla yürürlüğe girecek olan 9. madde uyum süreçlerinin alanında uzman bir veri avukatı ile yürütülmesi önem taşımaktadır