Kişisel verilerin korunması, içinde bulunduğumuz modern dijital çağda önemli konulardan biri haline gelmiştir. Özellikle kişisel verilerin yurt dışına aktarılması ulusal güvenlik, bireylerin mahremiyeti ve veri güvenliği açısından kritik öneme sahiptir. Türkiye’de bu konudaki en önemli yasal düzenleme 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunudur. Bu kanun ile kişisel verilerin korunması ve işlenmesi hususlarında temel prensipler belirlenmiştir. İlgili kanuna bağlı olarak düzenlen 01/06/2024 tarihinde yürürlüğe girmiş olan “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ise kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları belirtmektedir. Bu yazıda yönetmeliğin kapsamı, bu yönetmelik ile getirilen yenilikler ve uygulama esaslarını ele alacağız.
Yönetmeliğin Amacı ve Kapsamı
Yönetmelik 6698 sayılı Kişisel Verilerin Korunması Kanununun 9. Maddesi uyarınca hazırlanmış olup yönetmeliğin esas amacı, kişisel verilerin yurt dışına aktarılması sürecinde uyulması gereken usul ve esasları belirlemektir. Bu yönetmelik Türkiye’den yurt dışına veri aktarımı yapan tüm veri sorumluları ve veri işleyenleri için geçerlidir.
Kişisel Verilerin Yurt Dışına Aktarılma Usulleri
KVKK’nın 9. Maddesi, kişilerin yurt dışına aktarılmasını düzenler. Bu maddeye göre kişisel verilerin yurt dışına aktarılabilmesi için iki temel şartı muhakkak sağlanmalıdır. Bu şartlar:
1. Açık Rıza: Kişisel verilerin yurt dışına aktarılmasında iki temel şarttan ilki kişinin açık rızasıdır. Kişisel verisi yurt dışına aktarılacak kişinin bilgilendirilmiş olması ve kişinin buna açıkça rıza göstermesi gerekmektedir.
2. Koruyucu Tedbirler: Kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılabilmesi için bu verilerin gönderileceği ülkede yeterli düzeyde korumalar mevut olmalıdır. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve yurt dışındaki veri sorumluları yeterli korumanın sağlanacağına dair ilgili kişi veya kuruma yazılı bir taahhüt vermelidir.
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelikte ise şartlar benzerdir:
1. Yeterlilik Kararı: Kişisel verilerin yurt dışına aktarılabilmesi için verilerin aktarılacağı ülkenin yeterli düzeyde koruma sağlandığına dair Kurulun bir kararı gereklidir. Bu karar verilirken kurulca değerlendirilecek hususlar vardır. Bu hususlar yönetmeliğin 8. Maddesinde sayılmıştır. Kısaca özetlemek gerekirse:
a) İlgili ülke ile Türkiye arasında kişisel verilerin aktarımına ilişkin karşılılık durumu,
b) İlgili ülkenin mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı kuruluşun tabi olduğu kurallar,
c) İlgili ülkede bağımsız ve etkin bir veri koruma kurumunun ve yasal başvuru yollarının bulunması,
d) İlgili ülkenin veya verilerin aktarılacağı uluslararası kuruluşun, Türkiye’nin de taraf olduğu kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf olma durumu,
e) İlgili ülke veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,
hususları göz önüne alınarak bir değerlendirme yapılarak neticeye ulaşılır.
2. Uygun Güvenceler: Bu şart 6899 sayılı KVKK’da yer alan koruyucu tedbirler şartına benzemektedir. Yeterlilik kararının bulunmadığı durumlarda, veri sorumluları uygun güvenceler sağlamak suretiyle veri aktarımı yapabilirler. Bu güvence kriterleri yönetmeliğin 10. Maddesinde düzenlenmiştir. Bu kriterleri de kısaca özetlemek gerekirse:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla
yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
d) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
hususları aranmıştır.
3. İstisnai Haller: Yeterlilik kararının alınamaması ve uygun güvencelerin sağlanamaması durumunda, kişisel verilerin yurt dışına aktarımı genel olarak mümkün olmayabilir. Ancak, bu gibi durumlarda, belirli istisnai hallerde ve arızi (geçici veya nadiren) olmak kaydıyla verilerin yurt dışına aktarılması yine de mümkündür. Bu istisnai haller, genellikle kişisel verilerin aktarımının zorunlu olduğu veya belirli bir amaç için gerekli olduğu özel durumlardır. İstisnai aktarım halleri madde 16’da düzenlenmiştir. Bu haller;
a) İlgili kişinin, muhtemel riskler konusunda bilgilendirilmesi şartıyla aktarımına onay vermesi,
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer gerçek/tüzel kişi arasında yapılacak bir sözleşmenin kurulması ve ifası için zorunlu olması,
d) Üstün kamu yararının bulunması,
e) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerinin aktarılmasının zorunlu olması,
f) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunması veya rızasının hukuki geçerliliği mevcut bulunmayan kişinin kendisinin ya da başkasının yaşam ve beden bütünlüğünün korunmasının zorunlu olması durumunda,
g) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılmasıdır.
hususları aranmıştır.
Güvenlik Tedbirleri
Yönetmelik kişisel verilerin yurt dışına aktarım sürecinde veri işleyenlerin ve veri sorumlularının alması gereken teknik ve idari tedbirleri belirlemektedir.
1- Teknik Tedbirler
Teknik tedbirler, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek için gerekli yazılım ve donanım ile güvenlik önlemleri almak, verileri şifrelemek ve düzenli olarak yedeklemek, veri aktarımı sırasında güvenli iletişim protokollerini kullanmaktır.
2- İdari Tedbirler
İdari tedbirler, veri sorumluları ve veri işleyenler arasında veri işleme faaliyetlerini denetlemek ve raporlamak, veri sorumlularının ve veri işleyenlerin kişisel verilerin korunması konusunda çalışanlarına düzenli eğitimler vermek, veri işleyenlerin veri sorumlularının talimatlarına uygun hareket etmesini sağlamak ve veri güvenliği konusunda sorumluluk almaktır.
Yönetmelik ile Pekiştirilen Durumlar
Bu yönetmelik ile Türkiye’de veri koruma alanında var olan durumlarda önemli pekiştirmeler getirilmiştir.
1- Artan Şeffaflık ve Güven:
Kişisel verilerin yurt dışına aktarılması sürecinde, veri sahiplerinin bilgilendirilmesi ve rızalarının alınması gerekliliği, veri işlemlerinde şeffaflığı arttırmaktadır.
7 Nisan 2018’de yürürlüğe giren KVKK ile hukukumuza giren yeterlilik kararı ve uygun güvenceler gibi mekanizmalar, veri sahiplerinin verilerinin güvende olduğuna dair güven duymalarını sağlamaktadır.
2- Uluslararası Uyumluluk
Yönetmelik, uluslararası veri koruma standartlarına uyumu hedeflemekte olup, Avrupa Birliği’nin Genel Verime Koruma Tüzüğü (GDPR) ile uyumlu düzenlemeler içermektedir.
Bu sayede, Türkiye’de faaliyet gösteren şirketler, uluslararası veri aktarımı süreçlerinde daha uyumlu ve rekabetçi hale gelmektedir.
3- Kurumsal Sorumluluk ve Hesap Verebilirlik
Veri sorumluları ve veri işleyenler, kişisel verilerin yurt dışına aktarımı sürecinde aldıkları tedbirler ve uyum sağladıkları kurallar açısından daha sorumlu ve hesap verebilir bir pozisyonda bulunmaktadır.
Sonuç
Yeni yönetmelik ile Türkiye'de kişisel verilerin yurt dışına aktarılmasına ilişkin yasal çerçeve daha da netleşerek daha güvenli ve düzenli bir ortam sağlanmaktadır. Yeterlilik kararı, uygun güvenceler ve denetim mekanizmaları gibi yenilikler, kişisel verilerin uluslararası düzeyde de korunmasını güçlendirmektedir. Bu düzenlemeler, veri sorumluları ve işleyenler için açık ve detaylı yükümlülükler getirirken, diğer yandan bireylerin veri güvenliği ve mahremiyetine olan güveni artırmaktadır. Sonuç olarak, yönetmelik Türkiye'nin kişisel veri koruma standartlarını yükseltmekte ve uluslararası uyumu sağlamaktadır.
Comments