Kişisel Verilerin Yurtdışına Aktarılması

Kişisel Verilerin Yurtdışına Aktarımına Dair Kanuni Düzenleme

Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 9. maddesi, kişisel verilerin yurtdışına aktarımını düzenlemektedir. KVKK’nın 9. maddesi ile getirilen esas kural, yurtdışına aktarım için veri sahibinin açık rızasının alınmasıdır. Bununla birlikte, KVKK madde  9/2 bu kuralın istisnalarını getirerek, normal nitelikli veriler için KVKK’nın 5. maddesinde belirtilen hukuka uygunluk nedenlerinden birinin bulunması, özel nitelikli veriler için de yine 6. maddenin 3. fıkrasında yer alan şartlardan birinin bulunması şartına bağlı olarak; (i) verilerin aktarılacağı ülkede yeterli korumanın bulunması ya da (ii) yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması hallerinde veri sahibinin açık rızasının aranmayacağını belirtmiştir.

Özel nitelikli kişisel veriler bakımından, aktarımın yapılacağı ülkede yeterli koruma mevcut ise, açık rıza yoksa bile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve genetik verileri işlenmesine dair kanunlarda düzenleme olması halinde yeterli korumanın bulunduğu ülkeye aktarılabilecektir. Veri sahibinin açık rızası olmaksızın sağlık ve cinsel hayata dair veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli korumanın bulunduğu ülkedeki sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum ve kuruluşlara aktarılabilecektir.

KVKK’nın 9. maddesinde Kurul tarafından veri aktarımının yapılacağı güvenli ülkelerin ilan edileceği belirtilmiş ancak halihazırda bu ülkeler açıklanmamıştır. Bir ülkenin güvenli ülke olarak belirtilmemesi durumunda da, KVKK’nın 5. maddesindeki hukuka uygunluk nedenlerinden birinin bulunması veya özel nitelikli veriler için madde 6/3’te  yer alan şartlardan birinin bulunması halinde veri sorumlularının yeterli bir korumayı taahhüt etmeleri ve ayrıca Kurul’un izninin bulunması halinde yabancı ülkeye veri sahibinin açık rızası olmaksızın veri aktarımında bulunulabilir.

Kurul Tarafından Yayınlanan Model Klozlar

16.05.2018 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde KVKK madde  9/2 (b)  kapsamında kişisel verilerin yurtdışına aktarılması halinde veri sorumlusu tarafından hazırlanması gereken taahhütnamede yer alacak asgari unsurlar belirlenerek, ilan edilmiştir. Bu kapsamda veri aktarımının yapılacağı ülkede yeterli bir korumanın bulunmaması durumunda; hem bir veri sorumlusundan diğer bir veri sorumlusuna aktarım, hem de bir veri sorumlusundan bir veri işleyene aktarım için iki farklı taahhütname örneği yayımlanmıştır (KVKK-Kişisel Verileri Koruma Kurumu). Her iki örnekte de ayrı ayrı hem veri sorumlusunun hem de veri işleyenin asgari yükümlülükleri belirlenmiştir. Bu sayede, veri aktarımını konu eden sözleşmelere konulacak maddeler bakımından asgari bir yükümlülük getirilerek, eklenmesi öngörülen model klozlar ile tarafların sözleşme müzakere süreçlerinin hızlandırılması da söz konusu olacaktır.

Yaptırımlar

Türk Ceza Kanunu’nun (“TCK”) 135. maddesi kişisel verileri hukuka aykırı olarak kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceğini öngörür; eğer kaydedilen bu veri özel nitelikli bir kişisel veri ise bu ceza yarı oranında artırılır. Bununla birlikte, 136. maddeye göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi de iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Ayrıca, TCK’nın 137.maddesinde 135 ve 136. maddede belirtilen suçların nitelikli halleri belirtilerek, bu suçların bir kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi halinde, verilecek ceza yine yarı oranında artırılacaktır.

İdari para cezaları bakımında KVKK’da yurtdışına aktarım ile ilgili doğrudan bir ceza yer almasa da KVKK’nın 12. maddesi kapsamında veri sorumlusunun veri güvenliğine ilişkin tedbirleri yerine getirmemesi halinde 15.000.- Türk Lirası’ndan 1.000.000.- Türk Lirası’na kadar idari para cezasının söz konusu olabileceği açıktır.

İzlenmesi Gereken Yol

Öncelikle, veri aktarımının yapılacağı ülke ile Türkiye’nin taraf olduğu herhangi bir uluslararası sözleşmenin olmaması halinde, verilerin yurtdışına aktarımına ilişkin veri sahibinin açık rızasının olup olmadığına bakılacaktır.

Açık rıza mevcut değilse; verilerin normal veya özel nitelikli olmasına bağlı olarak KVKK madde 5/2 veya madde 6/3de sayılan şartların sağlanıp sağlanmadığına bakılacaktır. Bu şartlar sağlanıyor ise aktarımın yapılacağı ülkenin Kurul tarafında belirlenen “güvenli ülkeler” listesinde olup olmadığı kontrol edilecektir.

Şayet aktarım yapılan ülke “güvenli ülke” değil ise, veri aktarımına ilişkin yazılı bir taahhüdünün olup olmadığına bakılacaktır. Eğer böyle bir taahhüt mevcutsa Kurul’dan izin alınması gereklidir.  Kurul da  izin vermiş ise, kişisel veri yurt dışına ayrıca veri sahibinin rızası aranmaksızın aktarılabilecektir.

Hali hazırda güvenli ülkeler listesi ilan edilmediği için, yukarıda açıklanan yol izlenerek yurtdışına veri aktarımı gerçekleştirilmeli ve Kurul tarafından ilan edilen asgari unsurları içeren sözleşmeler imzalanmış ve Kurul’dan izin alınmış olmalıdır. Bunun dışından her zaman veri sahibinin açık rızasının alınması şartıyla veri aktarımı yapılabilir. Ancak rızanın veri sahibi tarafından herhangi bir zaman geri alınabileceği ve geri alınması halinde aktarımın yapılamayacağı unutulmamalıdır.

Kurum’un internet sitesinde ilan edilen ilgili taahhütnamelere https://www.kvkk.gov.tr/Icerik/4236/Yurtdisina-Veri-Aktariminda-Veri-Sorumlularinca-Hazirlanacak-Taahhutnamede-Yer-Alacak-Asgari-Unsurlar linkinden ulaşabilirsiniz.