Turkey: Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışına aktarılması 6698 sayılı Kişisel Verilerin Korunması Kanunu ["KVKK" veya "Kanun"] m.9'da düzenlenmiş olup aktarım için sıkı şart ve güvenceler aranmıştır. Bununla beraber, kişisel verilerin yurtdışına transferi, verilerin yurtdışında bulunan üçüncü bir kişiye aktarılmasının ötesinde veri sorumlusunun sorumlu olduğu veriyi yabancı bir ülkede barındırmasını da kapsar. Türkiye'de kurulu bir firmanın, sorumlu olduğu kişisel verilerin kayıtlı olduğu sunucuyu yurtdışında tutması da verilerin yurtdışına transferi olarak düşünülür; dolayısıyla Kanun'un 9. maddesinde sıralanan gerekli şartları sağlamalıdır.

Günümüzde oldukça yaygın olduğu üzere bir şirketin yabancı bir ülkede sunucu kiralayıp kişisel verileri işlediği uygulamaları bu sunucu üzerinden çalıştırması veya kişisel verileri şirket içerisinde farklı birimlere aktarırken yurtdışı tabanlı bir mail tabanı kullanması durumunda yine yurtdışına aktarım söz konusu olacaktır. Kişisel Verileri Koruma Kurulu'nun ["Kurul"]2019/157 sayılı kararında da bu hususlar vurgulanarak yurtdışında mevcut e-posta hizmeti altyapısının kullanılması halinde kişisel verilerin yurtdışına aktarılmış olacağına karar verilmiştir. Özetle, yurtdışına veri aktarımının söz konusu olabilmesi için verinin fiziki olarak Türkiye sınırlarından çıkması yeterlidir, ayrıca aktarılan verilerin yurtdışında işlenmesi gerekli değildir.

AKTARIMIN ŞARTLARI

Kişisel verilerin yurtdışına aktarılmasının şartları Kanun'un 9. maddesinde düzenlenmiştir. Buna göre kişisel veriler kural olarak ilgililerin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak bazı koşulların sağlanması halinde kişisel verilerin ilgililerin açık rızası olmaksızın yurtdışına aktarılması mümkündür.

I. İlgilinin Açık Rızasının Bulunması

Kişisel verilerin ilgililerin açık rızası alınarak yurtdışına aktarılabilmesi için açık rızanın ayrıntılı olması gereklidir. Bu doğrultuda, açık rıza asgari olarak, kişisel verilerin yurt dışına aktarılacağı, aktarımın hangi ülke veya ülkelere yapılacağı ve aktarımın hangi amaçla yapılacağı unsurlarını taşımalıdır. İlgilinin aydınlatma yükümlüğünün yerine getirilerek ilgilinin açık rızasının alınması halinde kişisel verilerin yurt dışına aktarılabilmesi için başkaca şart aranmaz.

II. İlgilinin Açık Rızasının Bulunmaması

İlgilinin açık rızasının bulunmadığı durumlarda kişisel veriler; açık rıza olmaksızın kişisel veri işleme koşullarından birinin mevcut olması ve buna ek olarak aktarımın yapılacağı ülkede yeterli korumanın bulunması veya yeterli korumanın veri sorumluları tarafından taahhüt edilmesi üzerine Kişisel Verileri Koruma Kurulu'nun ["Kurul"] izin vermesi halinde yurtdışına aktarılabilecektir.

i. Kişisel Veri İşleme Şartlarının Bulunması

KVKK, yurtdışına veri aktarımı aslında bir tür veri işleme niteliğinde olduğundan ilgilinin açık rızası bulunmayan hallerde verilerin yurtdışına aktarılmasını gerekli kılan şartlardan birinin mevcut olmasını aramaktadır. Yani, kişisel verilerin ilgililerin açık rızası olmaksızın ülke dışına aktarılabilmesi için açık rıza olmaksızın veri işleme şartlarından en az birinin sağlanması gereklidir.

Buna göre özel nitelikli olmayan kişisel veriler KVKK m.5/2'de öngörülen, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, ilgili tarafından alenileştirilmiş olması veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması gibi koşullardan birinin varlığı halinde ilgilinin açık rızası alınmaksızın yurtdışına aktarılabilir. Kişinin ırkı, siyasi düşüncesi, dini, dernek veya vakıf üyeliği, sağlığıyla ilgili veriler ile biyometrik ve genetik verileri gibi özel nitelikli kişisel verilerin açık rıza olmaksızın aktarılabilmesi için ise KVKK m.6/3'te sayılan koşullardan biri mevcut olmalıdır. Anılan maddeye göre, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, tıbbi teşhis ve tedavi amacıyla ve yalnızca sır saklama yükümlülüğü altındaki kişiler tarafından ilgilinin açık rızası alınmaksızın yurtdışına aktarılabilir.

Yukarıda sayılan koşullardan birinin varlığı halinde aktarımın yapılacağı ülkede yeterli korumanın bulunması veya böyle bir korumanın veri sorumluları tarafından taahhüt edilmesi üzerine Kurul'un izin vermesi halinde veriler, ilgilinin açık rızası olmaksızın yurtdışına aktarılabilecektir.

ii. Yeterli Korumanın Bulunması

İlgilinin açık rızası bulunmayıp Kanun'da sayılan veri işleme koşullarından birinin mevcut olması halinde kişisel veriler yeterli koruma bulunan ülkelere aktarılabilir. Kanun'da yeterli koruma bulunan ülkelerin Kurul tarafından belirlenip ilan edileceği düzenlenmiştir. Ancak, ilgili mevzuatın yürürlüğe girmesinin üzerinden yedi yıllık bir süre geçmiş olmasına rağmen halen Kurul tarafından yeterli koruma bulunan ülkeler ilan edilmemiştir. Kurul tarafından yalnızca 2019 yılında yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlenmiş ve duyurulmuştur. Dolayısıyla, ilgilinin açık rızasının bulunmadığı hallerde kişisel verilerin yurtdışına aktarılması ancak Kurul izniyle mümkündür.

iii. Yeterli Korumanın Taahhüt Edilmesi ve Kurul İzni

Kurul tarafından yeterli koruma bulunan ülkeler henüz ilan edilmediği için ilgililerin açık rızası alınmadan kişisel verilerin yurtdışına aktarılabilmesi, ancak Türkiye'deki ve veri aktarımının yapılacağı yabancı ülkedeki veri sorumluları tarafından yeterli korumanın taahhüt edilmesi ve bunun üzerine Kurul'un izin vermesi ile mümkündür. Yani, ilgili veri sorumluları yazılı bir taahhütname imzalayarak yeterli korumayı sağlayacaklarını taahhüt etmeli ve bu taahhütname ile Kurul'a başvurarak transfer için izin almalıdır. Görüldüğü üzere veri sorumlularının yalnızca yazılı koruma taahhüdünde bulunmaları yeterli değildir, bu taahhütnameler ile Kurul'a başvuru yapılması ve Kurul'dan izin alınması gerekmektedir. Şu ana kadar, Amazon Türkiye ve Decathlon Türkiye'nin de aralarında bulunduğu bazı şirketlerin taahhütname başvuruları Kurul tarafından incelenerek anılan şirketlere yurtdışına veri aktarımı için izin verilmiştir.

KURUL'UN KONUYA İLIŞKIN AMAZON KARARI

Kurul, 2020 yılında verdiği karar ile yurtdışına veri aktarımının hangi usulle gerçekleşebileceğini açık bir şekilde ortaya koymuştur. Karara konu başvuruda, amazon.com.tr'nin ["Amazon"] kişisel verileri KVKK'ya aykırı şekilde yurt dışına aktardığı iddiası incelenmiştir.

Bu iddia karşısında Amazon, web sitesinde yer alan gizlilik bildirimi sayfasında kişisel verilerin AB'ye ve ABD'ye aktarılabileceğinin belirtildiğini, kullanıcıların web sitesini kullanmak için üye olurken gizlilik bildirimini onaylamak zorunda olduklarını dolayısıyla kullanıcıların gizlilik bildirimini onaylayarak kişisel verilerin yurtdışına aktarımını kabul ettikleri savunmasında bulunmuştur.

Kurul tarafından öncelikle Amazon tarafından taahhütname mektuplarının Kurul'a sunulduğu ancak Kurul henüz bu konuda karar vermediği için yurtdışına veri aktarımının ancak açık rıza alınarak mümkün olduğu ifade edilmiştir. Bu değerlendirmeyle veri sorumlularının yazılı olarak yeterli korumayı taahhüt etmelerinin tek başına yeterli olmadığı, Kurul'un onayının alınmasının zorunlu olduğu hususunun altı çizilerek Amazon tarafından ilgililerin açık rızasının alınıp alınmadığı incelenmiştir.

Bu doğrultuda Amazon'un savunmasında da belirttiği kullanıcıların hesap oluştururken gizlilik bildirimini kabul edilmiş olması ve sipariş sırasında da gizlilik bildiriminin kabul edildiğine ilişkin hatırlatmanın yapılması Kurul tarafından zımni irade beyanı olarak kabul edilmiştir. Kurul, KVKK çerçevesinde açık rızanın kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay verme anlamına geldiğini ifade etmiştir. Ayrıca açık rızanın ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirtmesi gerektiği belirtilmiştir. Karara konu olayda ise kullanıcıların gizlilik bildirimini onaylayarak Amazon'un kişisel veri işleme kapsamına giren bütün fiillerini tek bir rıza beyanı ile onayladıklarını, dolayısıyla belirli bir konu ile sınırlandırılmamış, genel nitelikli rıza söz konusu olduğu ve bu şekilde kişisel verilerin yurtdışına aktarılmasının KVKK'yı ihlal ettiğine karar verilerek ve Amazon'a idari para cezası verilmiştir.

Takip eden dönemde ise Amazon'un yurtdışına veri aktarımı hususundaki taahhütname başvurusu değerlendirilerek Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

DEĞERLENDIRME

Yurt dışında yer alan bir hizmet sağlayıcıdan sunucu kiralanması, Türkiye'de bulunan şirket tarafından kişisel verilerin yurtdışında bulunan ana şirkete gönderilmesi gibi uygulamalar giderek yaygınlaşmakta olup bu tür faaliyetler hukukumuzda kişisel verilerin yurtdışına aktarılması niteliğindedir. Özellikle global çapta hizmet veren veri sorumluları tarafından yerine getirilmesi oldukça güç bir yükümlülük olmasına karşın Kurul tarafından hala güvenilir ülkelerin belirlenmemiş olması sebebiyle mevcut koşullar altında kişisel verilerin yurtdışına aktarılması için en uygun yöntemin ilgililerin açık rızasının alınması olduğu söylenebilir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.