img-01

Haber & Etkinlikler

Bilgi Arama

Kişisel Verilerin Korunması Mevzuatı Kapsamında Kişisel Verilerin Yurtdışına Aktarılması

2023-02-21

SAYI   : ÖZDERİN 2023/4

 

Günümüz dünyasında ticaret ve uluslararası ilişkilerin gelişimi, iş birlikleri, iletişim kolaylığı, teknik imkanlar neticesinde pek çok yol ve şekilde kişisel verilerin aktarımı yapılmakta olup bu aktarımları Kanun Koyucu ikili bir sınıflandırma ile değerlendirir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) md. 8[1] ile kişisel verilerin üçüncü bir tarafa yurtiçinde aktarımını ve md. 9 ile yurtdışına aktarımını hüküm altına alınmıştır.

  1. Genel Olarak;

Kişisel verilerin yurtdışına aktarımı ele alınmadan önce genel olarak aktarıma ilişkin bazı noktalara değinmekte yarar vardır. Aktarım şartlarını düzenleyen maddeler incelendiğinde öncelikle veri aktaran tarafların, aktarım yapılırken gerekli teknik ve idari tedbirleri almasının arandığı görülür. Bu noktada veri sorumlusu, işlemiş olduğu kişisel verileri herhangi bir 3.tarafa aktarmadan önce Kanun ve Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından bu hususta çıkarılmış teknik ve idari tedbirler rehberlerinde[2] öngörülen önlemleri almak zorundadır. Bu anlamda;

  • Taraflar arasında şartların somut bir şekilde belirlendiği veri aktarım sözleşmesi akdedilmelidir. Bu sözleşme ile yapılacak aktarımların amaç, sebep, yöntemi belirlenmeli ve sınırları çizilmelidir. Amacı aşan aktarımlar yapılmayacağı, amaç dahlinde aktarılacak verilerin neler olduğu, hukuka aykırı bir erişim olduğu takdirde taraflar arasındaki iletişim yöntemleri de bu sözleşme ile belirlenmelidir.
  • Aktarılacak kişisel verilerin hukuka uygun bir şekilde işlendiği de kontrol edilmelidir. Bir kişisel verinin herhangi bir tarafa aktarılması gerekliliği doğduğunda, veri sahiplerinin aktarım hususunda aydınlatılmış olduklarının, açık rızalarının hukuka uygun şekillerde alındığının önemle ve öncelikle değerlendirmesi gerekir.
  • Kanun’un 12. maddesi[3] uyarınca veri aktarımı yapılan taraflar arasında birlikte sorumluluk bulunur. Bu sebeple, veri aktarılacak olan tarafın bu verileri nerelerde depolayacağı, başkaca herhangi bir tarafa aktarıp aktarmayacağına dair sınırlamalar ve şartlar belirlendikten sonra kişisel verileri muhafaza etmekte olduğu yerlerde hukuka aykırı erişimlere karşı gerekli güvenlik önlemlerin alınıp almadığını, veri aktarım şartlarına uygun hareket edilip edilmediği de zaman zaman denetlemelidir.
  1. Kişisel Verilerin Yurtdışına Aktarılması

Yukarıda genel olarak bahsedilen hususlardan sonra bülten konumuz olan kişisel verilerin yurtdışına aktarılmasına dair 9. madde incelendiğinde;

  1. Öncelikle -veri işleme şartlarında olduğu gibi- verileri aktarılacak olan veri sahibi ilgili kişinin yurtdışına aktarıma dair açık rızasının aranması süreç içerisinde ilk basamaktır. Burada ver sahibi ilgili kişinin yurtdışı aktarımına dair Kanun’un aradığı şartlarda açık rızası bulunduğu takdirde eğer alt maddede bahsedecek olduğumuz genel İlkelere bir aykırılık yoksa aktarım için bir sakınca kalmayacaktır. Belirtmek isteriz ki bir kişiyi belirgin kılan herhangi bir kişisel verinin (ad-soyad dahi olsa) sadece bulut hizmetleri gereği yurtdışındaki bir sisteme kaydedilecek olması dahi yurtdışına aktarım sayılarak, ilgili kişinin bu hususta açık rızası aranacaktır. Açık rızanın olmaması halinde aktarım ancak aşağıda değinilen istisnai hallerden birinin varlığı ve aktarım yapılacak ülkenin güvenli listede yer alması halinde hukuka uygun olacak aksi halde Kurul’dan izin alınması gerekliği aranacaktır.
  2. İlgili kişinin açık rızasının aranmadığı veya bulunmadığı durumlarda Kanun’un 5. ve 6. Maddesindeki istisnai hallerin varlığının olup olmadığı araştırılmalıdır. 5.[4] ve 6.[5] Maddedeki istisnai haller genel olarak meşru menfaatler, sözleşmenin ifası, kanunlarda açıkça öngörülmesi vb. durumlar olarak belirlenmiştir.

b.1. 5. ve 6. maddedeki istisnai hallerden birinin varlığı halinde, ayrıca veri aktarılacak ülkeye dair de birtakım şartların da varlığı aranır. Buna göre, kişisel veri aktarımı yapılacak olan ülkede; yeterli korumanın bulunması (Yeterli korumanın bulunduğu ülkeler de Kurul tarafından ilan edilecek bir liste ile belirlenecektir.) ve yeterli güvencenin sağlanması halinde kişisel verilerin yurtdışına aktarılması mümkündür. Veri aktarımının yapılacağı ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler) ise, yeterli korumanın ilgili devletçe yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması beraber aranacak ve bu şartlar sağlanırsa veri aktarımı yapılabilecektir.

b.2. Kanunun 5. ve 6. Maddedeki istisnai hallerden birinin söz konusu olmaması halinde ise verinin yurtdışına aktarılması mümkün olmayacaktır.

Yurtdışına veri aktarımına ilişkin yukarıda detaylıca açıklanan yol haritasını aşağıda yer verilen tablo[6] üzerinden de incelemekte yarar vardır;

  1. Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Temel İlkeler;[7]

Kişisel verilerin aktarımı sırasında Kanun ile öngörülenlerin dışında hukukun evrensel işleyişinde kabul gören temel ilkelere de sadık kalınması gerekmektedir. Örnek vermek gerekirse herhangi bir kişisel veri için veri sahibinin dürüstlük kuralına aykırı şekilde alınan rızası ile yapılan bir aktarım yalnızca rızasının alındığı kabulü ile hukuka uygun hale gelmeyecektir. Bu sebeplerle temel ilkeleri de değinmekte yarar görülmüştür;

  • Veri aktarımının hukuk ve dürüstlük kurallarına uygun şekilde gerçekleştirilmelidir. Bir başka değişle süreç içerisinde şeffaflığın sağlanması, verinin elde edildiği safhadan aktarımın neticelenmesi, öncesinde veri sahibinin açıkça bilgilendirilmesi gibi tüm aşamalarda veri sahibini aydınlatmak, hukuka veya dürüstlük kuralı aykırı herhangi bir hal yaratmamak gerekir. Nitekim kişisel verilerin aktarılmasının Kanun ile düzenlenmesi temel hukuk ilkeleri ve kurallarından ayrık düşünülmesi sonucunu doğurmayacaktır.
  • Veri aktarımı sırasında amaç hukuka uygun, belirli ve açık olmalı, bu amaca sadık kalınmalıdır. Eş deyişle veri aktarımı yapılırken amacın yalnızca belirlenebilir olması ile yetinilmemeli, belirli ve farklı neticeler çıkarılmayacak şekilde açıklık sağlanmalı ve işlem sırasında da bu amaç sınırları dâhilinde kalınarak mümkün olan en az miktarda veri aktarılmalıdır.
  • Aktarımı sağlanacak olan verinin gerçeği yansıttığından emin olunmalıdır. Burada gerçeği yansıtma, verinin doğruluğu ve güncelliğini ifade edecek olup sağlanmaması halinde veri aktarımından söz edilmemesi, verinin gerçeğe uygunluğu sağlanması gerekmektedir.
  • Süreç içerisinde veri güvenliği sağlanmalıdır. Günümüz teknolojisinde aktarım sırasında 3. kişilerin verilere ulaşımı son derece kolay olacaktır. Bu sebeple aktarım sırasında yeterli teknik desteğin sağlanması ve güvenliğin temin edilmesi son derece önemlidir.
  • Veri aktarımı tamamlandıktan sonra verilerin sınırlı süre ile muhafaza edilmesi de şüphesiz sürecin önemli bir noktasıdır. Veri Sorumluları Sicili Hakkında Yönetmelik[8] hükümlerine sadık kalınması ve öngörülen sürenin tamamlanması halinde de verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi atlanmaması gereken bir husustur.
  1. Sonuç;

Özetle, global yapıdaki şirketlerin, altyapı bulut sistemleri/serverı yurtdışında bulunan şirketlerin veya ana faaliyeti ihracat-ithalat olan şirketler başta olmak üzere yurtdışına veri aktaran tarafların genel olarak yazılı olan hususlarla, veri aktarılacak olan ülkeye dair özel şartlara her zaman dikkat etmesini, Kurul tarafından belirlenen rehberlerde öngörülen önceki sayfada yer verilmiş tablonun[9] ve yine kurula ait olan kişisel verilerin yurtdışına aktarılmasına ilişkin yayınlar[10] ile temel ilkelerin her zaman dikkate almasını önemle tavsiye ederiz.

Konu ile ilgili herhangi bir soru veya sorununuz olması halinde bizimle irtibat kurmanızı rica ederiz.

 

Saygılarımızla,

 

Av. Senem ÇETİN                              Stj. Av. Melisa Dilan YETGİN

Danışmanlık Departmanı Yöneticisi               Dava Departmanı


[1] Kişisel verilerin aktarılması MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

[3] Veri güvenliğine ilişkin yükümlülükler MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

[4] Kişisel verilerin işlenme şartları                                                                                                                                                                                     

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

[5] Özel nitelikli kişisel verilerin işlenme şartları                                                                                                                                                                                MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

[6] https://kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20YURTDI%C5%9EINA%20AKTARILMASI.pdf

[7] Eraslan Sevgi, TÜRK HUKUKUNDA KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI SORUNU: AÇIK RIZA KAPSAMINDA BİR DEĞERLENDİRME, 2021 syf.89 vd.

[8] https://www.resmigazete.gov.tr/eskiler/2017/12/20171230-7.htm

[9] https://kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20YURTDI%C5%9EINA%20AKTARILMASI.pdf

[10] https://www.kvkk.gov.tr/Icerik/4106/Kisisel-Verilerin-Yurtdisina-Aktarilmasi#:~:text=Bir%20hakk%C4%B1n%20tesisi%2C%20kullan%C4%B1lmas%C4%B1%20veya%20korunmas%C4%B1%20i%C3%A7in%20veri%20i%C5%9Flemenin%20zorunlu%20olmas%C4%B1%2C&text=%C4%B0lgili%20ki%C5%9Finin%20temel%20hak%20ve,olmas%C4%B1%20hallerinde%20yurt%20d%C4%B1%C5%9F%C4%B1na%20aktar%C4%B1labilmektedir

marsbahis adresi marsbet flughafentransfer şişli escort sweet bonanza bahsegel bahsegel sweeet bonanza oyna şişli escort bayan sweet bonanza