6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 2016 yılında yürürlüğe girmesine rağmen hala “gri alan” diyebileceğimiz bir sürü konu bulunuyor. Bunlar arasında en çok tartışılan ve yüksek tutarda ceza kesilmesine sebep olan konu ise verilerin Kanun’a uygun bir şekilde yurt dışına aktarılması. Günümüzde hemen hemen her şirket operasyonel süreçleri, çok uluslu şirket olması, bulut gibi yeni teknolojileri entegre etmesi v.b. sebeplerle yurt dışına veri aktarıyor. Çoğu şirketi ilgilendiren bu konuyla ilgili maalesef hala netlik bulunmuyor. Ancak Kurul’un konuyla ilgili verdiği kararları ve ilan ettiği duyuruları göz önüne alındığında bu konunun Kurul nezdinde daha dar ve farklı yorumlandığı söylemek mümkün olacaktır. Bu yazımızda da özellikle Kurul’un uluslararası veri transferine ilişkin bakış açısını, uygulamada bu konuyu nasıl yorumladığını verdiği kararlarla ilişkilendirerek açıklamaktayız.
Mevcut Durumda Uluslararası Veri Transferinde Kullanılabilecek Hukuki Mekanizmalar:
KVKK m.9 uyarınca kişisel verilerini yurt dışına aktarmak isteyen veri sorumlularının kullanacakları hukuki mekanizmalar aktarımın yeterli korumanın bulunduğu ülkeye yapılıp yapılmadığına göre belirlenmektedir. İşbu yazımız mevcut duruma yönelik olduğundan şu an için uygulamada kullanılabilecek hukuki mekanizmalar aşağıda açıklanmıştır.
- Yeterli Korumanın Bulunduğu Ülkeye Aktarım:
KVKK m. 9’a göre kişisel veriler, kural olarak ilgilinin açık rızası olmaksızın aktarılamamaktadır. Ancak, KVKK m.5 ve 6’da düzenlenen açık rızanın gerekmediği hallerden birinin mevcut olması ve aktarılan ülkede yeterli korumanın bulunması halinde kişisel veriler açık rıza olmaksızın yurt dışına aktarılabilmektedir. Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenip, ilan edilmektedir.
Uygulamada Nasıl İlerliyor?
Kurul tarafından henüz güvenli ülkeler belirlenip ilan edilmemiştir. Bu konuda bir düzenlemenin olmaması sebebiyle uluslararası sözleşmelerin konu ile ilgili düzenlemelerine yönelinmiş ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin (“108 Sayılı Sözleşme”) ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol’ün (“181 Sayılı Ek Protokol”) uluslararası veri aktarımına dayanak teşkil edilip edilemeyeceği tartışılmıştır.
Ancak Kurul, gerek 2020/559 sayılı kararında gerekse konuyla ilgili duyurusunda 108 Sayılı Sözleşme’ye ve ek protokole taraf olmanın; yeterli korumanın bulunduğu ülkelerin belirlenmesinde bir kriter olduğunu belirtmekle birlikte tek başına bunun uluslararası veri transferini Kanun’a uygun hale getirmeyeceğini ve dolayısı ile taraf devletlere yapılan aktarımın güvenli ülkeye aktarım yapılması olarak değerlendirilemeyeceğini belirtmiştir.
Dolayısı ile şu anki uygulamada Kurul’un bakış açısına en yakın yolun-güvenli ülkeler belirlenene kadar- tüm ülkelerin yeterli koruma olmayan ülke gibi düşünülerek aktarım süreçlerinin tasarlanması olduğunu söylemek mümkün olacaktır.
- Yeterli Korumanın Bulunmadığı Ülkelere Aktarım:
Yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın aktarımın yapılabilmesi için açık rızanın dışında kalan hukuka uygunluk nedenlerinden birinin mevcut olması, buna ek olarak Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması gerekmektedir. Bir başka ifade ile yeterli korumanın olmadığı ülkelere aktarım yapılırken aşağıdaki hukuki mekanizmalar kullanılabilecektir:
- Açık Rıza
- Yeterli Korumanın Yazılı Olarak Taahhüt Edilmesi ve Kurul’dan İzin Alınması
- Bağlayıcı Şirket Kuralları
- Taahhütname
Uygulamada Nasıl İlerliyor?
- Açık Rızaya Dayalı Aktarım:
Kanun’un 9. Maddesinde ilgili kişilerin kişisel verileri açık rıza olmaksızın yurt dışına aktarılamayacağı düzenlenmiştir. Kurul’un kararları incelendiğinde yurt dışına aktarımın açık rızaya dayanılarak yapılması halinde özellikle aşağıda belirtilen hususların altınının çizildiği görülmektedir:
- Birincil-İkincil İşleme Amacı Ayrımı
Kurul, 2020/559 sayılı kararında yurt dışına aktarımda açık rıza temin edilirken veri işlemenin birincil ve ikincil amaçları arasındaki ayrıma değinmiştir. Kurul kararında da belirtildiği üzere yurt dışına aktarımda açık rızaya gerek olup olmadığı değerlendirilirken verilerin ilk edinilme amacı olan yani birincil işleme kapsamında mı yoksa bunun dışındaki bir sebeple mi yani ikincil işlemeye dayanılarak mı yapıldığı irdelenmelidir.
Uygulamada birçok veri sorumlusunun bu ayrımı yapmadan aydınlatma ve açık rıza metinlerinin düzenlendiği görülmektedir. Halbuki; aynı verinin farklı işleme amaçlarına dayanılarak işlenmesi halinde açık rıza alınmasının gerekli olup olmadığı, gerekli ise açık rızanın unsurlarının (i.belirli bir konuya ilişkin olma, ii. bilgilendirilmeye dayanma, iii.özgür iradeyle açıklanma) bulunup bulunmadığı her bir işleme amacı açısından değerlendirilmelidir.
ÖRNEK:
Bir işletmeye üye olmak için verilerin bu amaç doğrultusunda alınması ve işlenmesi birincil amaç iken bu verilerin analiz amacıyla kullanılması ikincil amaç olabilecektir. Aynı örnekte birincil işleme amacı için açık rıza dışında bir nedene dayanabiliyorken (sözleşmenin kurulması, ifası) ikincil işleme amacı için açık rıza temini gerekebilecektir.
- Aydınlatma ve Açık Rıza Metinlerinin Ayrı Olması
Kurul, hem 2020/559 sayılı hem de 2020/173 sayılı kararında açık rızanın aydınlatma metinlerinden ayrı düzenlenmesi gerektiğini belirmiştir. Uygulamada birçok veri sorumlusunun veri işleme süreçlerine ilişkin toplu ve birçok bilginin yer aldığı aydınlatma metinlerini kullandığı ve aynı metnin sonunda neye ilişkin olduğu belirlenemeyen, birden fazla konuya ilişkin alınıyor ise seçme şansı bırakılmayarak kişinin hepsine onay vermesi ya da hiçbirine onay vermemesi sonucunu doğuran bir açık rıza metninin kullanıldığı görülmektedir.
Bizce bu tür açık rıza gereken durumlarda aydınlatma mümkün olan her aşamada katmanlı olarak yapılmalı, açık rıza gereken durumlarda ise sadece o duruma özel aydınlatma yapılarak ilgili kişiler bilgilendirilmeli ve birden çok süreç için açık rıza gerekiyorsa kişilere seçme şansı bırakılarak tamamı için tek bir açık rıza temin edilmemelidir.
- Açık Rızanın En Geç Veri İşleme Anında Temin Edilmesi
Kurul, en geç veri işleme faaliyetinin gerçekleştiği sırada açık rızanın temin edilmesi gerektiğini dolayısı ile paylaşım yapıldıktan sonra rızanın geri alınabileceği şeklindeki bir uygulamayı kabul etmeyeceğini 2020/173 sayılı kararında açıkça belirtmiştir. Dolayısıyla açık rızanın kriterleri kadar temin edilme zamanının önemli olduğunu, sonradan geriye dönük açık rıza teminlerinin ihlal olarak değerlendirilebileceğini hatırlatırız.
Böyle bir ihlal ile karşılaşmamak için verilerin işleme amacının devam edip etmediği değerlendirilerek işleme amacının kalmayanların silme, yok etme, anonimleştirme gibi yöntemlerden birinin tercih edilerek silinmesi gerekecektir. Bunun burada belirtilmesinin sebebi uygulamada hala -çoğunluğunu Kanun’a uyumlu hale gelmemiş olanların oluşturduğu- veri sorumlularının; ellerindeki verilerin tamamını, işleme amaçlarının güncelliğini kontrol etmeksizin tutmalarına ve bunun için de geriye dönük açık rıza temin etmelerine ilişkin işleyişin onları Kanun’a uyumlu hale getirmediğine dikkat çekmektir.
- Yazılı Taahhüt ve Kurul İzni ile Yurt Dışına Aktarım Yapılması
Yeterli korumanın bulunmadığı ülkeye aktarım yapılırken açık rıza dışında bir hukuka uygunluk nedenine dayanılıyorsa örneğin; sözleşmenin ifası sebebiyle aktarım varsa veri sorumlularının Kurul’un izninin yanı sıra yeterli korumayı yazılı olarak da taahhüt etmesi gerekmektedir. “Yazılı taahhüt” şu ana kadar genel hatlarını Kurul’un çizdiği Taahhütname[1] yahut grup şirketler için olan Bağlayıcı Şirket Kuralları[2] olarak uygulamada karşımıza çıkmaktadır.
- Taahhütname
Kurul, sitesinde taahhütnamelerde aradığı asgari unsurları ve örnek taahhütname metinlerine yer vermiştir. Taahhütnameye ihtiyaç duyulup duyulmadığını belirlemek için öncelikle veri işlemenin açık rızaya bağlı olup olmadığı tespit edilmelidir. Çünkü açık rızaya dayalı veri aktarımları taahhütnamelere konu edilmemektedir.
Uygulamada Nasıl İlerliyor?
Kurul, her ne kadar taahhütnamelere ve içeriklerine ilişkin bilgileri yayımlamış olsa da şu ana kadar onaylanan taahhütnamelere dair bir bilgi paylaşılmamıştır. Hatta Kurul kendisine yapılan taahhütname başvuruları onaylanana kadar da taahhütnameye dayanılarak bir veri aktarımı yapılamayacağını 2020/173 sayılı kararında açıkça belirtmiştir. İlgili kararda, veri sorumlusu tarafından taahhütname başvurusu yapılmış olmakla birlikte onaylanmış bir taahhütname olmadığı ve bu aktarımlar için açık rıza da alınmadığı gerekçe gösterilerek veri sorumlusuna ceza kesilmiştir[3].
Hem güvenli ülkelerin belirli olmaması hem de açık rıza dışındaki hukuki mekanizmaların pratikte kullanılamaması veri sorumlularına şu an için maalesef açık rıza temin ederek aktarım yapmaktan başka bir imkan tanımıyor. Nitekim Kurul’un bu yönde verdiği kararlara bakıldığında kendisinin de buna teşvik ettiği görülüyor.
Bir başka ifadeyle; taahhütnameye dayanarak aktarımda bulunmak isteyen veri sorumlularının Kurul tarafından onay gelene kadar aktarımlarını açık rıza ile yapmaları su anki uygulamada Kurul’un işleyişine en uygun çözüm gibi gözüküyor. Ancak bu uygulamanın Kanun’un ruhuna uygunluğu da tartışmalı olup, açık rıza dışında alternatif bir seçenek olmaması, açık rıza dışında bir hukuki dayanak olmasına rağmen açık rıza dışında bir hukuki mekanizmanın kullanılamaması, verilen açık rızaların gerçekten gerekli unsurları taşıyıp taşımadığı, açık rızayı veren kişilerin aynı şekilde geri almaları halinde zaten hukuki dayanağı başka olan süreçlerin nasıl yürütüleceği ve bunun şirketlere olan etkisi gibi birçok konu Kurul bu konudaki görevlerini tamamlayana kadar belirsizliğini koruyacak gibi duruyor.
- Bağlayıcı Şirket Kuralları
Kurul’un kabul ettiği ikinci yazılı taahhüt şekli bağlayıcı şirket kurallarıdır. Taahhütnamelerden farklı olarak bağlayıcı şirket kuralları, grup şirketlere yönelik bir hukuki mekanizmadır. Kurul, buna ilişkin yayımladığı dokümanda bağlayıcı şirket kurallarını kapsamını aşağıdaki şekilde belirlemiştir[4]:
Şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından;
- Bu şirketler topluluğuna bağlı olarak yurt dışında faaliyet gösteren şirketlere,
- Teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak aktarımlar
Kurul, buna ek olarak bu kapsamda yer alan şirketler arasında “bağlayıcılığın” Türk Hukukunda geçerli biz sözleşme veya benzeri hukuki işlem yapılması ve bunun tüm veri işleyenler tarafından imzalanması ile sağlanacağını belirtmektedir.
Uygulamada Nasıl İlerliyor?
Kurul tarafından henüz onaylanmış bağlayıcı şirket kuralı olduğuna yönelik bir bilgi paylaşılmamıştır. Dolayısı ile taahhütnamelerle benzer şekilde buna ilişkin başvuru yaptıysanız ve onaylanmadıysa bu süreçteki verileri açık rızaya dayanarak aktarmanın Kurul’un uygulamasına en yakın işleyiş olacağı kanaatindeyiz.
BBA Hukuk Bürosu – Av. Ayben Arıkan(LL.M.)
[1] https://www.kvkk.gov.tr/Icerik/5255/Taahhutnameler
[2] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU
[3] Kişisel Verileri Koruma Kurulu, “Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti” <https://kvkk.gov.tr/Icerik/6739/2020-173>.
[4] Kişisel Verileri Koruma Kurulu, “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” <https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU>.