Giriş
Uygulamada önemli sorunlar yaratabilen kişisel verilerin yurt dışına aktarılması meselesi 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde düzenlenmektedir. Bu maddede öngörülen şartları açıklamadan önce yurt dışına aktarım hususunun açığa kavuşturulmasında yarar bulunmaktadır.
Kişisel verilerin bir veri sorumlusu/veri işleyenden başka bir veri sorumlusu/veri işleyene fiziki veya elektronik ortamlar kullanılarak iletilmesi veri aktarım kavramını ifade etmektedir. Bu doğrultuda, kişisel verilerin ülkemizde yer alan ortamlardan yurt dışında bulunan ortamlara aktarılması ise kişisel verilerin yurt dışına aktarılmasını oluşturacaktır. Kişisel verilerin yurt dışına aktarımı çeşitli şekillerde karşımıza çıkabilmektedir. Verilerin yurt dışında bulunan sunuculara ya da sunucuları yurt dışında bulunan bulut platformlarına aktarılmasını bu bağlamda değerlendirmek mümkündür. Özellikle dijitalleşme ile birlikte kişisel verilerin farkında olarak veya olmaksızın yurt dışına aktarılması çok yaygın hale gelmiştir. Dolayısıyla, kişisel verilerin yasal mevzuata uygun olarak yurt dışına iletilmesi gerekirken veri sorumlularının karşısına uygulamada çeşitli sorunlar çıkmaktadır.
Veri Aktarım Şartları
Kanun’un 9. maddesi kişisel verilerin yurt dışına aktarılabilmesi için aşağıda belirtilen şartlardan birinin varlığını aramaktadır. Bunlar:
İlgili kişinin açık rızası
Yeterli korumanın bulunduğu ülkeler için Kanun’un 5/(2) veya 6/(3) maddelerindeki veri işleme şartlarından birinin mevcut olması
Yeterli korumanın bulunmadığı ülkelerde ise bahsi geçen veri işleme şartlarının bulunmasının yanı sıra Türkiye’deki ve veri aktarımının yapılacağı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un bu aktarıma izin vermesi
Her ne kadar Kanun’da 3 durum sayılmış olsa da günümüzdeki uygulamaya bakıldığında kişisel veriler yurt dışına ancak ilgili kişilerin açık rızasının alınması sonrası aktarılabilmektedir. Ancak, yurt dışına aktarımın yapılacağı her durumda ilgili kişilerin açık rızasına başvurulması çok pratik bir uygulama değildir. Dolayısıyla, ülkemizde veri sorumluları işledikleri kişisel verileri yurt dışına aktarırken mevzuata uygun hareket etme noktasında güçlüklerle karşılaşmaktadır. Bu noktada, Kanun’da açıkça sayılan diğer iki durumun hâlihazırda neden ülkemizde uygulanamadığına değinilecektir.
Uygulamada Karşılaşılan Sorunlar
Yukarıda da bahsedildiği üzere veri işleme şartlarının varlığı halinde yeterli korumanın bulunduğu varsayılır; bir başka deyişle güvenli ülkelere kişisel veri aktarımında bulunulmasında bir engel yoktur. Kanun’da yeterli korumanın bulunduğu ülkelere Kurul’un karar vereceği düzenlenmiş ve bu değerlendirmeyi yaparken Kurul’un göz önüne alacağı hususlar belirtilmiştir. Ayrıca Kurul da 02/05/2019 tarihli ve 2019/125 sayılı kararı ile yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan formu yayınlamıştır.[1] Ancak, bu güne kadar Kurul’un yeterli korumanın bulunduğu ülkelere ilişkin bir değerlendirmesi olmamıştır. Bu noktada, mütekabiliyet ilkesinin bu güne kadar Kurul’un yeterli korumanın bulunduğu ülkeleri belirlemesine engel teşkil ettiği söylenebilir.
Veri sorumlularının karşısına çıkan son seçenek ise veri aktarımının yapılacağı yabancı ülkede bulunan veri sorumlusu veya veri işleyen ile beraber yeterli korumayı yazılı olarak taahhüt etmeleri ve bu taahhüdü Kurul’un iznine sunmalarıdır.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları 2 şekilde bu taahhütte bulunabilmektedirler. Bunlardan ilki, Kurul tarafından kabul edilerek internet sitesinde ilan edilen ‘Taahhütnameler’dir.[2] Ancak, bugüne kadar Kurul doldurularak kendisine iletilen taahhütnamelere herhangi bir yanıt vermemiştir.
İkinci yöntem ise Kurul’un 10.04.2020 tarihinde ilan ettiği Bağlayıcı Şirket Kuralları kapsamında ilgili formu doldurarak Kurum’a başvuru yapılmasıdır.[3] Bağlayıcı Şirket Kuralları ile Kurum’un GDPR’ın 47. maddesinde kendisine yer bulan ‘Binding Corporate Rules’ mekanizmasını örnek aldığı görülmektedir. Bağlayıcı Şirket Kuralları şu şekilde tanımlanmaktadır:
“Bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder”.[4]
Bağlayıcı Şirket Kuralları ile çok uluslu şirket toplulukları arasında yapılacak uluslararası veri aktarımlarına uygulamada pratik bir çözüm getirilmek istenmiştir. Ancak yalnızca çok uluslu şirketlere yönelik bir düzenleme olması sebebiyle Bağlayıcı Şirket kurallarının kişisel verilerin yurt dışına aktarımında yaşanan sıkıntılara tam anlamıyla bir çözüm olmadığı açıktır. Dolayısıyla uygulamada hukuka aykırı olarak veri aktarımının önüne geçilebilmesi amacıyla Kurul’un bir an önce yeterli korumanın bulunduğu ülkeler listesini yayınlaması ve kendisine iletilen taahhütnamelere en kısa sürede dönüş yapması elzem görünmektedir.
Çözüm Arayışları
Uluslararası veri aktarımını adeta imkânsız hale getiren ve bu yönüyle ticari hayata zarar verme potansiyeline sahip olan Türk hukuku uygulamasına yönelik olarak doktrinde çeşitli çözüm arayışları olmuştur. Bu bağlamda özellikle Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü’nün uluslararası veri aktarımına ilişkin yapmış olduğu çalışma dikkat çekicidir.[5] Bu çalışmada, Türkiye’nin de tarafı olduğu ve iç hukuka aktarıp yürürlüğe koyduğu dolayısıyla da Anayasa’nın 90.maddesine göre Kanun hükmünde olan Avrupa Konseyi’nin kişisel verilerin işlenmesi ve korunmasına yönelik 108 Sayılı Konvansiyonu’nun uluslararası veri aktarımına ilişkin yaşanan sorunları giderebileceği belirtilmektedir. Bir sonraki yazımızda, bu çalışmaya ilişkin daha detaylı açıklamalara yer verilecektir.
Sonuç
Günümüzde ticari hayatın merkezinde önemli bir rol oynayan verilerin uluslararası aktarımı meselesi maalesef ülkemizde üstesinden gelinmesi zor engellerle karşılaşmaktadır. Özellikle, Kurul’un hala güvenli ülkeleri belirlememiş olması ve kendisine iletilen taahhütnamelere henüz cevap vermemiş bulunması dolayısıyla uygulamada veriler çoğu durumda hukuka aykırı olarak yurt dışına aktarılmaktadır. Yakın geçmişte ilan edilen Bağlayıcı Şirket Kuralları’nın ise meseleye geniş kapsamlı bir çözüm getirmesi olası görülmemektedir. Tüm bu sebeplerle doktrinde çeşitli çözüm yolları tartışılmaya başlanmış olup Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü’nün yapmış olduğu çalışma özellikle dikkat çekicidir.
KAYNAKÇA
[1] https://kvkk.gov.tr/Icerik/5469/-Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari
[3] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[4] KVKK, ‘Bağlayıcı Şirket Kuralları Başvuru Formu’, KVKK-BŞK/2020-1, s.4
[5] Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü, ‘Kişisel Verilerin Korunmasına İlişkin Düzenlemeler Çerçevesinde Uluslararası Veri Aktarımı Yeni Gelişmeler ve Uygulamaya İlişkin Hukuki Değerlendirmeler’ (2020) https://itlaw.bilgi.edu.tr/media/2020/3/30/Final%20Veri_Aktarimi_Raporu_30.03.2020.pdf
YAZAR
Murat Gülgün
Sami Yılmaz
Comentarios