İpek Koray

Avukat

20.08.2021

KVKK Kapsamında Kişisel Verilerin Yurtdışına Aktarımı İçin Aranan Haller

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin yurtdışına aktarımının yapılması, verilerin yurtiçinde yapılan aktarımına nazaran daha fazla risk taşıması sebebiyle, ilgili kanunun 9.maddesinde ayrı bir hüküm olarak düzenlenmiştir. Kanunda kişisel verilerin yurtdışına aktarımı ile verilerin işlenmesinin aynı şartlara bağlı olmasından anlaşılacağı üzere, KVKK'da veri aktarımı bir veri işleme türü olarak görülmektedir.

KVKK kapsamında kişisel verilerin yurtdışına aktarımının sağlanabilmesi için 9.maddede belirtilen şartlara uyum sağlaması gerekmektedir. KVKK m.9 kapsamında yurtdışına veri aktarımı için kişinin açık rızasının alınması veya tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi gerekmektedir.

I. Yurtdışına Veri Aktarımında Açık Rıza Alınması

Kişisel Verileri Koruma Kanunu'nun 9.maddesinin lafzından da anlaşılacağı üzere, yurtdışına veri aktarımı yapılmasında kişinin açık rızasının bulunmasına öncelik verilmiştir. Kişisel verilerin yurtdışına aktarımı hususunda kişinin açık rızasının bulunması durumunda, 9.maddede belirtilen diğer şartlar ve güvence aranmaksızın verilerin aktarımı yapılabilmektedir. Kişisel verilerin yurtdışına aktarımı konusunda açık rıza için KVKK kapsamında belirlenen genel şartlar dışında açık rızada verilerin yurtdışına aktarımının yapılacağı, aktarım yapılacak ülkenin, verinin aktarım amacının ve aktarım sonrasında veriyi alan kişinin verileri başka bir kişiye veya ülkeye aktarıp aktarmayacağı yönünde de unsurlar bulunmalıdır. Özetle 6698 sayılı kanun uyarınca geçerli bir açık rızadan bahsedilebilmesi için kişinin açık rızasının neye ilişkin olduğu ve bu rızanın sonuçlarında hangi verilerinin nereye ve ne şartlarla aktarılacağını bilmesi gerekmektedir.

II. Açık Rıza Olmaksızın Yurtdışına Veri Aktarımı

6698 sayılı kanunun 9.maddesinde yukarıda da ifade edildiği üzere yurtdışına veri aktarımında öncelikli şart kişinin açık rızasının alınmasıdır. Ancak ilgili kanun maddesinde kanun koyucu, veri aktarımı aşamasında zorunlu haller olması durumunu göz önüne alarak, bu durumda kişinin açık rızasına gerek olmadan veri aktarımının yapılabilmesini de sağlamıştır.

Açık rıza alınmadan veri aktarımının yapılabilmesi için öngörülen hallerde, öncelikli olarak aktarılacak olan kişisel verinin niteliğinin tespit edilmesi gerekmektedir. Bu aşamada aktarılacak kişisel verinin, genel nitelikli kişisel veri mi yoksa özel nitelikli kişisel veri mi olduğu tespit edilmektedir. Genel nitelikli kişisel verilerin yurtdışına aktarımının yapılması hususunda KVKK m.9/6'da, "Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır." hükmü yer almaktadır. Genel nitelikli bir kişisel verinin yurtdışına aktarımının sağlanabilmesi için kişinin açık rızası olmasa dahi; veri aktarımının yasal bir hükme dayanması doğrultusunda bu durum bir hukuka uygunluk hali olarak değerlendirileceğinden yurtdışına veri aktarımı sağlanabilmektedir. 6698 sayılı kanunun 5.maddesinde kişisel verilerin işlenme şartlarına değinilmiş olup, ilgili maddede belirtilen işlenme şartları verinin yurtdışına aktarımında da KVKK m.9/6 uyarınca bağlantılı bir hükümdür. İlgili hükmün lafzı gereği değindiğimiz hukuka uygunluk hallerinin açık rıza olmadan veri aktarımını sağlayabilmesi açısından önemi bulunmakta olup, bu halleri KVKK m.5 uyarınca genel hatları ile belirtmek gerekmektedir;

Yukarıda belirtilen durumların mevcut olması durumunda veri aktarımı yapılması için hukuka uygunluk hali bulunduğu kabul edilerek açık rıza aranmaması gerekmektedir. Özetlemek gerekirse aktarılacak veri özel nitelikli bir veri ise 6.maddede sayılan koşullar, genel nitelikli kişisel veriyse  Özetlemek gerekirse aktarılacak veri özel nitelikli bir veri ise 6.maddede sayılan koşullar, genel nitelikli kişisel veriyse 5.maddede sayılan koşullar mevcut olmalıdır.

Kişisel Veri Aktarımında Yeterli Korunmanın Bulunması

Açık rıza dışındaki hallerden birine dayanarak aktarım yapılması halinde, veri işleme şartının yanı sıra yeterli korumanın bulunduğunun da garanti edilmesi gerekmektedir. Yeterli korumanın bulunduğundan bahsedilebilmesi için, veri aktarımı yapılacak olan ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkelerden biri olarak kabul edilmesi gerekmekte olup; Kurul'un "yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterlere" uygunluk teşkil etmesi gerekmektedir. Veri aktarımı yapılacak olan ülkenin yeterli korumanın bulunduğu ülkelerden biri olmaması durumunda, yurt içindeki veri sorumlusu ve yurtdışındaki veri sorumlusu tarafından yeterli korumanın varlığına ilişkin taahhüt verilmesi gerekmektedir. Yeterli korumanın varlığına ilişkin taahhütün yazılı olması gerekmektedir.

Nitekim Kurul'un  02.05.2019 tarihli  ve 2019/125 sayılı kararında; "Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca maddede yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği ve söz konusu ülkelerin ilanında değerlendirilecek hususlar hüküm altına alınmıştır.

Bu kapsamda Kanunun 9 uncu maddesi uyarınca yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararında kabul edilen ilgili kriterlere aşağıda belirtilen bağlantı üzerinden erişim sağlanabilir." Şeklinde hüküm kurulmuş ve "Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler" ve ülke tespit kriterlerine ilişkin esasları açıkça belirtmiştir.

Taahhütnamenin geçerli olabilmesi için gereken hususlar, taahhütnamenin yazılı olması, taahhütün hem Türkiye'den hem yurtdışından alınması gerektiği ve taahhütnamenin öncelikli olarak Kurul tarafından onaylanmasıdır. Veri aktarımında birden fazla alıcının olması durumunda ise, her bir veri alıcısının yazılı taahhüt şartı sağlaması gerekmektedir. Kısacası yurtdışında veri aktarımı yapılacak ülke yeterli korumaya sahip bir ülke değilse, aktarım ancak Türkiye'deki ve yurtdışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul'dan izin almaları koşulu ile yapılabilir.

Ülkemizde henüz KVKK kapsamında yeterli hukuki düzenleme maalesef yapılamamıştır. Kişisel verilerin korunmasında yerel mevzuatın düzenlenmesinde esas alınan GDPR nezdinde kişisel verilerin yurtdışına aktarımı ve yeterli koruma bulunan ülkelerin hala Kurul tarafından ilan edilmemiş olmasından dolayı şu aşamada Kurul kararları doğrultusunda ilerleyen bir düzen mevcuttur. Ancak güncel kararlar doğrultusunda konumuzu özetlemek gerekirse, genel kapsamda yurtdışına yapılacak bir veri aktarımında, ya ilgili kişinin açık rızasının bulunması gerekmekte; ya da yeterli korumaya ilişkin yukarıda belirlenen şartlar doğrultusunda yazılı taahhüttün olması ve bu doğrultuda aktarım yapılabilmesi için Kurul'un izninin olması gerekmektedir.