TR EN AR FA
 
İnternet sitemizde yer alan yayınlar, düşünce yazıları niteliğinde olup yazarların ele aldıkları konu hakkındaki bireysel görüşlerini yansıtmaktadır; düşünce ve ifade özgürlüğüne inanan bir Büro olarak her türlü fikre saygı ve dile getirilmelerinden memnuniyet duyuyoruz. Sitemizdeki yazı ve makalelerde yer alan bilgileri spesifik bir hukuki uyuşmazlığa uygulamadan önce mutlaka bir Avukata danışmanızı tavsiye ederiz.

KİŞİSEL VERİLERİ KORUMA KURUMU’NUN GÜNCEL TAAHHÜTNAME KARARLARI IŞIĞINDA YURT DIŞINA VERİ AKTARIMI

Av. Hatice HOCAOĞLU, Av. F. Sümeyra DOĞAN

6698 sayılı Kişisel Verileri Koruma Kanunu’nun (bundan sonra kısaca “KVKK” olarak anılacaktır) uygulayıcısı olan Kişisel Verileri Koruma Kurumu (bundan sonra kısaca “Kurum” olarak anılacaktır) 09/02/2021 tarihinde bir taahhütname başvurusunu sonlandırarak hukuk camiasında büyük bir şaşkınlığa sebep oldu. Kararı duyan herkesin adeta telaşla birbirine aktardığı bu karar ve bu karar bağlamında Türk kişisel verileri koruma hukukuna göre yurtdışına veri aktarımı konusunda hakkında değerlendirmelerimiz aşağıda dikkatlerinize sunulur.

1- Kişisel Verileri Koruma Hukukunun Üvey Evladı: Yurtdışına Veri Aktarımı

Yurtdışına veri aktarımı, KVKK madde 9’da bağımsız bir madde olarak düzenlenmiştir. Kanunda yer alan aktarım seçeneklerinden bahsetmeden önce; Kanun’un kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramakta olduğu hususuna dikkat çekmek isteriz. Başka bir ifadeyle, ancak Kanun’a uygun elde edilmiş bir veri var ise söz konusu verilerin Kanun’a uygun olarak yurt dışına aktarımından bahsedilebilir. Kişisel verilerin yurt dışına aktarımı konuşulurken Kurum’un Kanun’u uygulaması (veya gerekli karar ve açıklamaları süresinde yapmadığı için uygulamaması) hukuka uygun aktarımı adeta imkânsız hale getirdiği için oldukça önem arz eden bu noktanın gözden kaçırıldığı görüşündeyiz. Bu durum aynen özel nitelikli verilen işlenmesi ve dolayısıyla aktarılması konusunda da geçerlidir.

Kanunda yer alan düzenleme ile hukuka uygun olarak aktarım için üç yöntem öngörülmüştür. İlki ancak açık rıza alınarak verilerin yurtdışına aktarılabileceğini düzenleyen madde metninde, diğer yöntemlerin yerine getirilmesinde çeşitli şartların sağlanmış olması şartı aranmaktadır. Açık rıza alınmadan yurt dışına veri aktarımında uygulanabilmesi muhtemel diğer yöntemleri özetle belirtmek gerekirse bunlar:

· Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre Kanunun 5. maddesinin 2. fıkrası veya 6. maddesinin 3. fıkrasında belirtilen işleme şartlarının mevcut olması,

· Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre Kanunun 5. maddesinin 2. fıkrası veya 6. maddesinin 3. fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunmasıdır. [i]

Yukarıda da yer verildiği üzere, Kanun’un hukuki bir veri aktarımı için öngörmüş olduğu şartların birisinin sağlanması gerekmektedir. Ancak ilgili kişilerden açık rıza alınması haricindeki diğer yöntemlerin uygulanması hususunda birtakım zorluklar vardır. Bunlardan ilki bu konuyla uzaktan veya yakından ilgilenen hemen herkesin illaki duymuş olduğu; Kurum’un yeterli korumayı sağlayan “güvenli ülke” listesini yayınlamamış olmasıdır. Kişisel verilerin yurt dışına aktarımı konusunda güvenli ülkeler listesi üzerinde çalışılmakta olunduğu Kurum tarafından da pek çok kez doğrulanmıştır ancak bu konuda henüz bir gelişme olmamıştır. Güvenli ülke listesinin yayınlanmasında hukuki olduğu kadar politik bir yön olduğu da ortadadır. Ancak politikanın bu konudan ayrıştırılamaması nedeniyle kişilerin ve kurumların hayatları zorlaştırılmakta ve yürürlükte olan hukuk kuralları uygulanamaz hale getirilmektedir.

02/05/2019 tarihli 2019/125 Karar numaralı Kurum kararı ile yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form yayınlanarak bu konuda çalışma yapıldığı yönünde bir izlenim oluşturulmuş olsa da bu konuda herhangi bir gelişme olmamıştır.[ii]

Kanun’un madde 9/2/b hükmü uyarınca, veri aktarımının gerçekleştirilmesi için verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda (ki bahsedilen güvenli ülke listesi olmadığı sürece hiçbir ülkenin güvenli olmadığı varsayılmaktadır), aşağıdaki koşulların ikisi birlikte yerine getirilmelidir. Bunlar:

- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve

- Kurulun izninin bulunmasıdır.

Yazılı bir taahhüt ibraz ederek Kuruldan izin alınması çok kısa bir zaman öncesine kadar uygulanmamış bir yöntemdi. Bu nedenle uygulayıcılar tarafından adeta unutulduğu dahi söylenebilir.

10/04/2020 tarihinde Kurum’un web sitesinde yayınlanan Bağlayıcı Şirket Kuralları ile Kurum yurt dışına veri aktarımına yeni bir soluk getirmek istemiştir. Verinin aktarılacağı ülkede yeterli korumanın bulunmadığı durumlarda çok uluslu grup şirketleri arasında veri aktarımı için alternatif bir yöntem olarak, Bağlayıcı Şirket Kuralları (“BŞK”) kavramını getirilmiştir. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması ve başvurunu sonuçlanması ile hukuka uygun olarak yurt dışına veri aktarımı gerçekleştirilebilecektir. Ancak burada da belirtilmesi gereken, bu yazının yazım tarihinde BŞK’nın yayınlanmasının üzerinden on ayın üzerinde süre geçmesine rağmen henüz onaylanan bir başvurunun olmamasıdır. Buradan anlaşılmaktadır ki, her ne kadar bu sorununun çözümüne yönelik yeni yasal düzenlemeler getirilse de bu düzenlemelerin hayata geçirilmesi başka sorunlara yol açmaktadır.

2- Kurum’un 09/02/2021 Tarihli Taahhütnameye İlişkin Kararı

İşbu yazının yayım tarihi itibari ile güvenli ülkeler listesi Kurum tarafından ilan edilmediği için, taahhütname alınmasına ilişkin başvuru yapılması kapsamında Kurum tarafından ilan edilen asgari unsurları içeren sözleşmeler imzalanmış ve Kurum’dan izin alınmış olmalıdır. Bu yöntemler haricinde yurt dışına veri aktarımı ancak ilgili kişinin açık rızasının alınması şartıyla yapılabilir. Ancak rızanın veri sahibi tarafından herhangi bir zaman geri alınabileceği ihtimali veri sorumluları tarafından her zamanda akılda tutulmalıdır.

Kurum tarafında taahhütname başvurularına ilişkin olarak, 07/05/2020 tarihinde Kurum internet sitesinde taahhütnamelerde dikkat edilmesi gereken hususlara ilişkin bir duyuru yayımlanmıştır. Bu duyuruda başvurularda usule ve esasa ilişkin dikkat edilmesi gereken hususlardan ayrıntılı bir şekilde bahsedilmiştir.[iii]

Bu duyuru ile Kurum’un bu başvuru yöntemini ciddiye aldığı ve hayata geçirmek istediği somut olarak anlaşılmıştır. Ancak bu duyurunun yayımından sonra bu konuda başkaca bir gelişme uzun süre yaşanmamıştır.

Bu konudaki uzun süren sessizliği 09/02/2021 tarihli Kurum’un internet sitesinde yayınlanan kısa bir duyuru bozmuştur. Yayınlanan karar, olumlu sonuçlanan bir taahhütname başvurusuna ilişkin olup aşağıdaki ifadeleri içermektedir;

TEB Arval Araç Filo Kiralama Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir.”[iv]

Olumlu sonuçlanan ilk karar olması nedeniyle bu konuda Kurum’un çalışma yaptığını da gösteren bu karar, kişisel verilerin yurtdışına aktarımı konusunda uygulayıcılara bu yönteminde de kullanılabilir olduğunu göstermesi nedeniyle de ayrıca önem arz etmektedir.

Yukarıda verilen ve ilk olması sebebiyle önem arz eden kararın akabinde Kurum 04/03/2021 tarihinde bir taahhütname başvurusuna ilişkin karar daha vermiştir. Buna göre;

Veri sorumluları Amazon Turkey Perakende Hizmetleri Ltd. Şti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti. tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvuruları Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 04.03.2021 tarihinde Kurul tarafından izin verilmiştir.[v]

Yurt dışına veri aktarım hem veri sorumlularını hem de ilgili kişiler için oldukça büyük öneme sahiptir. Yalnızca bu nedenle dahi, veriyi hem işleyen hem de işlenen özneler tarafından ihtimamla gerçekleştirilmelidir. Görüldüğü üzere, güvenli ülke listesi yayınlanan kadar veri sorumluları bulut sistemleri, elektronik posta kullanımı, sosyal medya uygulamaları[vi] gibi günümüz dünyasında adeta zorunlu olan teknoloji kullanımları sebebiyle kaçınılmaz mahiyetteki yurt dışı veri aktarımları için Taahhütname yöntemini kullanabilir. Bu konuda herhangi bir sorunuz olması halinde Büromuz ile iletişime geçmekten lütfen çekinmeyiniz.

Saygılarımızla, 11/03/2021

ESİS HUKUK BÜROSU



[i] 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (07.04.2016 tarih ve 29677 sayılı Resmi Gazete), madde 9.

[ii] Kişisel Verilerin Korunması Kurumu, 02/05/2019 tarihli, konulu ve “Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulmuş form” 2019/125 sayılı Kurul Kararı, açık erişim: <https://www.kvkk.gov.tr/Icerik/5469/-Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari> (erişim tarihi: 11/03/2021).

[iii] Kişisel Verilerin Korunması Kurumu, “Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru” (07/05/2020), açık erişim: <https://www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU> (erişim tarihi: 11/03/2021).

[iv] Kişisel Verilerin Korunması Kurumu, “Taahhütname Başvurusu Hakkında Duyuru” (09/02/2021), açık erişim: <https://www.kvkk.gov.tr/Icerik/6867/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU> (erişim tarihi: 11/03/2021).

[v] Kişisel Verilerin Korunması Kurumu, “Taahhütname Başvurusu Hakkında Duyuru” (04/03/2021), açık erişim: < https://www.kvkk.gov.tr/Icerik/6898/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU> (erişim tarihi: 11/03/2021).

[vi] Şirketler tarafından kullanılan uygulamaların kişisel verilerin korunması hukuku kapsamında değerlendirmesi için bkz. Hatice HOCAOĞLU, Fatma Sümeyra DOĞAN, Zeynep Sena SALTIK, “Bulut Yasası ve Schrems II Kararı Işığında Türkiye’de Müşteri Hizmeti Uygulamaları Hakkında Uygulamacı Perspektifinden Değerlendirmeler”, Terazi Hukuk Dergisi, Sayı: 174 (Şubat, 2021).

Yol Tarifi