Kişisel Verilerin Yurtdışına Aktarımının KVKK ve GDPR Kapsamında Değerlendirilmesi

tarafından | Mar 8, 2022 | makaleler | 0 yorum

Veri aktarımı ve veri iletimi, verilerin noktadan noktaya veya noktadan çok noktaya haberleşme kanalı üzerinden aktarılmasıdır. Birçok şirket uygulamada veri tabanlarının fiyat performansından ötürü yurt dışı tedarikçilere veri aktarımı yapmaktadır. Bu durum birçok ulusal veri koruma kanunlarında düzenlenmektedir.

Kişisel Verileri Koruma Kanunundaki Düzenleme

Kişisel Verilerin Korunması Kanununda (“KVKK”) verilerin yurtdışına aktarılması 9. Maddede düzenlenmiştir. Buna göre kişisel veriler yurtdışına açık rıza olmaksızın aktarılamaz.

Bu durumun istisnaları bulunmaktadır. Bu istisnalar KVKK’nın 5. Maddesinin 3. fıkrasında düzenlenmiştir:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

Özel Nitelikli Kişisel Sağlık Verileri için istisnalar  ise 6. Maddenin 2. Fıkrasında düzenlenmiştir:

  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılması

Bu sebeplerden birinin varlığının yanısıra  :

  • Yeterli korumanın bulunması,
  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

Hallerinde yurtdışına aktarılabilir. 3.3.2022 tarihi itibariyle Kurum herhangi bir güvenli ülke açıklaması yapmamıştır. Ancak bazı şirketlerin taahhütname başvurularını kabul etmiştir.

Türk Hukukunda Bağlayıcı Kurumsal Kurallar

Kişisel Verileri Koruma Kurumu, 10.04.2020 tarihinde yurtdışına veri aktarımında Taahhütnamelerin yanı sıra “Bağlayıcı Şirket Kuralları”nıda yurtdışına veri aktarım yöntemi olarak kabul etmiştir. Kurumun yayınladığı metne göre:

Başvuruda Sunulacak Belgeler:

  • Başvuru Formu
  • Bağlayıcı Şirket Kuralları metni
  • Başvuru ile ilgili gördüğünüz diğer tüm bilgi ve belgeler
  • Başvurucu, başvuru belgelerini hazırlayarak başvuru aşmasında Kuruma sunar. Gerekmesi halinde Kurum başkaca bilgi ve belge talep edebilir.

Başvurunun Yöntemi

  • Başvurular, Kuruma elden veya posta yolu ile iletilir.

Başvurunun Sonuçlandırılması

  • Başvurular, Kurum tarafından, resmi başvuru tarihinden itibaren bir (1) yıl içerisinde değerlendirilerek sonuca bağlanır. Gerekmesi halinde bu süre, altı (6) aylık sürelerle uzatılabilir.
  • Başvurunun Kurulca onaylanması halinde, bu durum Kurum tarafından ilgilisine bildirilir ve gerekmesi halinde ilan edilir.

Avrupa Birliği Genel Veri Koruma Tüzüğündeki (GDPR) Düzenleme

Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) daki düzenleme KVKK’ya kıyasla daha detaylı olmakla beraber bir takım kolaylıklar getirmektedir.

GDPR 44. Maddesine göre, genel kural olarak Birlik dışına veri aktarımında güvenceler sağlanmış olmasını talep etmektedir. AB Komisyonunun bu bağlamda güvenli kabul ettiği ülkeler 3.3.2022 tarihi itibariyle: Andorra, Arjantin, Kanada, Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, Kore Cumhuriyeti, İsviçre , Birleşik Krallık ve Uruguaydır. Bazı şartların sağlanması halinde AB Komisyonunun iznine tabi olmaksızın yeterli güvencelerin var olduğu söylenebilmektedir. Madde 46(2)’ye göre bu şartlar:

    • Kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belgenin varlığı,
    • Komisyon  tarafından kabul edilen standart veri koruma şartlarının sağlanması,
    • Üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri,
    • Bağlayıcı kurumsal kurallardır.

Komisyon Tarafından Kabul Edilen Standart Veri Koruma Hükümleri

AB Komisyonu, Veri Sorumlusunun Birlik dışına aktaracağı veriler için yapmış olduğu sözleşmelerde Komisyon tarafından kabul edilmiş bir takım maddelerin bulunması halinde ayrıca bir izne tabi olmadan veri aktarımının yapılabileceğini öngörmüştür. Bu sözleşme hükümleri dönemsel olarak güncellenmektedir. Belirtilen standard sözleşme hükümleri, verinin aktarıldığı yeterli korumanın bulunmadığı birlik dışı ülkedeki veri işleyen yada veri sorumlusuna bir takım yükümlülükler yüklemektedir. Bu bağlamda eksik olan güvenlik önlemleri sözleşme ile sağlanmaktadır.

Avrupa Birliği Genel Veri Koruma Tüzüğüne Göre Bağlayıcı Kurumsal Kurallar

Her ne kadar kurumsal kuralların bulunması halinde ayrıca bir izne gerek olmadığı belirtilmişse de, konu hakkında detayları içeren GDPR’ın 47. maddesine göre bu kurumsal kuralların yetkin makam tarafından onaylanması gerekmektedir.  Buradaki  yetkin maka üye ülkelerin veri koruma otoriteleridir. Bu şirketlerin listesi EDPB tarafından yayınlanmakta ve güncellenmektedir.

Avrupa Birliği Genel Veri Koruma Tüzüğü 49. Madde ve Spesifik Derogasyonlar

Yukarıdaki durumların sağlanamaması halinde Birlik dışına veri aktarımı için farklı alternatiflerde öngörülmüştür. Bunlar:

  • Açık Rıza
  • Aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması
  • Aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması
  • Aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması
  • Aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması
  • Aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;
  • Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması

Yukarıda bahsedilen durumlarda AB dışı ülkelere veri aktarımı 46. Maddeye bağlı kalmaksızın mümkündür.

Sonuç

  • GDPR’da :
  • Birlik dışına veri aktarımı daha detaylı düzenlemiştir.
  • Bu bağlamda şirketlerin Birlık dışına veri aktarımı için “Komisyon Tarafından Kabul Edilen Veri Koruma Hükümler”, “Bağlayıcı Kurumsal Kurallar” ve “49. Maddede belirtilen derogasyonlar” gibi birçok yolu bulunmaklatadır.
  • KVKK’da:
    • Veri Aktarımı GDPR’daki kadar detaylı düzenlenmemiştir.
    • Kurumun yeterlilik kararı vermesi, Şirketlerin taahhütname başvurusu yapması, bu başvurunun kabul edilmesi ve Kurumun bağlayıcı kurumsal kurallar başvurusunu kabul etmesi gerekmektedir.