BBA Law BBA Law
  • Homepage
  • About Us
  • Areas of Specialization
  • Our Team
  • News
    Our Publications
    News
  • Contact
English
Turkish
BBA Law
  • Homepage
  • About Us
  • Areas of Specialization
  • Our Team
  • News
    Our Publications
    News
  • Contact
English
Turkish
UYGULAMADA KİŞİSEL VERİLERİN ULUSLARARASI TRANSFERİ

UYGULAMADA KİŞİSEL VERİLERİN ULUSLARARASI TRANSFERİ

admin admin
Articles
December 10, 2020

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 2016 yılında yürürlüğe girmesine rağmen hala “gri alan” diyebileceğimiz bir sürü konu bulunuyor. Bunlar arasında en çok tartışılan ve yüksek tutarda ceza kesilmesine sebep olan konu ise verilerin Kanun’a uygun bir şekilde yurt dışına aktarılması. Günümüzde hemen hemen her şirket operasyonel süreçleri, çok uluslu şirket olması, bulut gibi yeni teknolojileri entegre etmesi v.b. sebeplerle yurt dışına veri aktarıyor. Çoğu şirketi ilgilendiren bu konuyla ilgili maalesef hala netlik bulunmuyor. Ancak Kurul’un konuyla ilgili verdiği kararları ve ilan ettiği duyuruları göz önüne alındığında bu konunun Kurul nezdinde daha dar ve farklı yorumlandığı söylemek mümkün olacaktır. Bu yazımızda da özellikle Kurul’un uluslararası veri transferine ilişkin bakış açısını, uygulamada bu konuyu nasıl yorumladığını verdiği kararlarla ilişkilendirerek açıklamaktayız.

Mevcut Durumda Uluslararası Veri Transferinde Kullanılabilecek Hukuki Mekanizmalar:

KVKK m.9 uyarınca kişisel verilerini yurt dışına aktarmak isteyen veri sorumlularının kullanacakları hukuki mekanizmalar aktarımın yeterli korumanın bulunduğu ülkeye yapılıp yapılmadığına göre belirlenmektedir. İşbu yazımız mevcut duruma yönelik olduğundan şu an için uygulamada kullanılabilecek hukuki mekanizmalar aşağıda açıklanmıştır.

  1. Yeterli Korumanın Bulunduğu Ülkeye Aktarım:

KVKK m. 9’a göre kişisel veriler, kural olarak ilgilinin açık rızası olmaksızın aktarılamamaktadır. Ancak, KVKK m.5 ve 6’da düzenlenen açık rızanın gerekmediği hallerden birinin mevcut olması ve aktarılan ülkede yeterli korumanın bulunması halinde kişisel veriler açık rıza olmaksızın yurt dışına aktarılabilmektedir. Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenip, ilan edilmektedir.

Uygulamada Nasıl İlerliyor?

Kurul tarafından henüz güvenli ülkeler belirlenip ilan edilmemiştir. Bu konuda bir düzenlemenin olmaması sebebiyle uluslararası sözleşmelerin konu ile ilgili düzenlemelerine yönelinmiş ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin (“108 Sayılı Sözleşme”) ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol’ün (“181 Sayılı Ek Protokol”) uluslararası veri aktarımına dayanak teşkil edilip edilemeyeceği tartışılmıştır.

Ancak Kurul, gerek 2020/559 sayılı kararında gerekse konuyla ilgili duyurusunda 108 Sayılı Sözleşme’ye ve ek protokole taraf olmanın; yeterli korumanın bulunduğu ülkelerin belirlenmesinde bir kriter olduğunu belirtmekle birlikte tek başına bunun uluslararası veri transferini Kanun’a uygun hale getirmeyeceğini ve dolayısı ile taraf devletlere yapılan aktarımın güvenli ülkeye aktarım yapılması olarak değerlendirilemeyeceğini belirtmiştir.

Dolayısı ile şu anki uygulamada Kurul’un bakış açısına en yakın yolun-güvenli ülkeler belirlenene kadar- tüm ülkelerin yeterli koruma olmayan ülke gibi düşünülerek aktarım süreçlerinin tasarlanması olduğunu söylemek mümkün olacaktır.

  1. Yeterli Korumanın Bulunmadığı Ülkelere Aktarım:

Yeterli korumanın bulunmadığı ülkelere açık rıza olmaksızın aktarımın yapılabilmesi için açık rızanın dışında kalan hukuka uygunluk nedenlerinden birinin mevcut olması, buna ek olarak Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması gerekmektedir. Bir başka ifade ile yeterli korumanın olmadığı ülkelere aktarım yapılırken aşağıdaki hukuki mekanizmalar kullanılabilecektir:

  1. Açık Rıza
  2. Yeterli Korumanın Yazılı Olarak Taahhüt Edilmesi ve Kurul’dan İzin Alınması
    1. Bağlayıcı Şirket Kuralları
    2. Taahhütname

Uygulamada Nasıl İlerliyor?

  • Açık Rızaya Dayalı Aktarım:

Kanun’un 9. Maddesinde ilgili kişilerin kişisel verileri açık rıza olmaksızın yurt dışına aktarılamayacağı düzenlenmiştir. Kurul’un kararları incelendiğinde yurt dışına aktarımın açık rızaya dayanılarak yapılması halinde özellikle aşağıda belirtilen hususların altınının çizildiği görülmektedir:

  • Birincil-İkincil İşleme Amacı Ayrımı

Kurul, 2020/559 sayılı kararında yurt dışına aktarımda açık rıza temin edilirken veri işlemenin birincil ve ikincil amaçları arasındaki ayrıma değinmiştir. Kurul kararında da belirtildiği üzere yurt dışına aktarımda açık rızaya gerek olup olmadığı değerlendirilirken verilerin ilk edinilme amacı olan yani birincil işleme kapsamında mı yoksa bunun dışındaki bir sebeple mi yani ikincil işlemeye dayanılarak mı yapıldığı irdelenmelidir.

Uygulamada birçok veri sorumlusunun bu ayrımı yapmadan aydınlatma ve açık rıza metinlerinin düzenlendiği görülmektedir. Halbuki; aynı verinin farklı işleme amaçlarına dayanılarak işlenmesi halinde açık rıza alınmasının gerekli olup olmadığı, gerekli ise açık rızanın unsurlarının (i.belirli bir konuya ilişkin olma, ii. bilgilendirilmeye dayanma, iii.özgür iradeyle açıklanma) bulunup bulunmadığı her bir işleme amacı açısından değerlendirilmelidir.

ÖRNEK:

Bir işletmeye üye olmak için verilerin bu amaç doğrultusunda alınması ve işlenmesi birincil amaç iken bu verilerin analiz amacıyla kullanılması ikincil amaç olabilecektir. Aynı örnekte birincil işleme amacı için açık rıza dışında bir nedene dayanabiliyorken (sözleşmenin kurulması, ifası) ikincil işleme amacı için açık rıza temini gerekebilecektir.

  • Aydınlatma ve Açık Rıza Metinlerinin Ayrı Olması

Kurul, hem 2020/559 sayılı hem de 2020/173 sayılı kararında açık rızanın aydınlatma metinlerinden ayrı düzenlenmesi gerektiğini belirmiştir. Uygulamada birçok veri sorumlusunun veri işleme süreçlerine ilişkin toplu ve birçok bilginin yer aldığı aydınlatma metinlerini kullandığı ve aynı metnin sonunda neye ilişkin olduğu belirlenemeyen, birden fazla konuya ilişkin alınıyor ise seçme şansı bırakılmayarak kişinin hepsine onay vermesi ya da hiçbirine onay vermemesi sonucunu doğuran bir açık rıza metninin kullanıldığı görülmektedir.

Bizce bu tür açık rıza gereken durumlarda aydınlatma mümkün olan her aşamada katmanlı olarak yapılmalı, açık rıza gereken durumlarda ise sadece o duruma özel aydınlatma yapılarak ilgili kişiler bilgilendirilmeli ve birden çok süreç için açık rıza gerekiyorsa kişilere seçme şansı bırakılarak tamamı için tek bir açık rıza temin edilmemelidir.

  • Açık Rızanın En Geç Veri İşleme Anında Temin Edilmesi

Kurul, en geç veri işleme faaliyetinin gerçekleştiği sırada açık rızanın temin edilmesi gerektiğini dolayısı ile paylaşım yapıldıktan sonra rızanın geri alınabileceği şeklindeki bir uygulamayı kabul etmeyeceğini 2020/173 sayılı kararında açıkça belirtmiştir. Dolayısıyla açık rızanın kriterleri kadar temin edilme zamanının önemli olduğunu, sonradan geriye dönük açık rıza teminlerinin ihlal olarak değerlendirilebileceğini hatırlatırız.

Böyle bir ihlal ile karşılaşmamak için verilerin işleme amacının devam edip etmediği değerlendirilerek işleme amacının kalmayanların silme, yok etme, anonimleştirme gibi yöntemlerden birinin tercih edilerek silinmesi gerekecektir. Bunun burada belirtilmesinin sebebi uygulamada hala -çoğunluğunu Kanun’a uyumlu hale gelmemiş olanların oluşturduğu-  veri sorumlularının; ellerindeki verilerin tamamını, işleme amaçlarının güncelliğini kontrol etmeksizin tutmalarına ve bunun için de geriye dönük açık rıza temin etmelerine ilişkin işleyişin onları Kanun’a uyumlu hale getirmediğine dikkat çekmektir.

  • Yazılı Taahhüt ve Kurul İzni ile Yurt Dışına Aktarım Yapılması

Yeterli korumanın bulunmadığı ülkeye aktarım yapılırken açık rıza dışında bir hukuka uygunluk nedenine dayanılıyorsa örneğin; sözleşmenin ifası sebebiyle aktarım varsa veri sorumlularının Kurul’un izninin yanı sıra yeterli korumayı yazılı olarak da taahhüt etmesi gerekmektedir. “Yazılı taahhüt” şu ana kadar genel hatlarını Kurul’un çizdiği Taahhütname[1] yahut grup şirketler için olan Bağlayıcı Şirket Kuralları[2] olarak uygulamada karşımıza çıkmaktadır.

  • Taahhütname

Kurul, sitesinde taahhütnamelerde aradığı asgari unsurları ve örnek taahhütname metinlerine yer vermiştir. Taahhütnameye ihtiyaç duyulup duyulmadığını belirlemek için öncelikle veri işlemenin açık rızaya bağlı olup olmadığı tespit edilmelidir. Çünkü açık rızaya dayalı veri aktarımları taahhütnamelere konu edilmemektedir.

Uygulamada Nasıl İlerliyor?

Kurul, her ne kadar taahhütnamelere ve içeriklerine ilişkin bilgileri yayımlamış olsa da şu ana kadar onaylanan taahhütnamelere dair bir bilgi paylaşılmamıştır. Hatta Kurul kendisine yapılan taahhütname başvuruları onaylanana kadar da taahhütnameye dayanılarak bir veri aktarımı yapılamayacağını 2020/173 sayılı kararında açıkça belirtmiştir. İlgili kararda, veri sorumlusu tarafından taahhütname başvurusu yapılmış olmakla birlikte onaylanmış bir taahhütname olmadığı ve bu aktarımlar için açık rıza da alınmadığı gerekçe gösterilerek veri sorumlusuna ceza kesilmiştir[3].

Hem güvenli ülkelerin belirli olmaması hem de açık rıza dışındaki hukuki mekanizmaların pratikte kullanılamaması veri sorumlularına şu an için maalesef açık rıza temin ederek aktarım yapmaktan başka bir imkan tanımıyor. Nitekim Kurul’un bu yönde verdiği kararlara bakıldığında kendisinin de buna teşvik ettiği görülüyor.

Bir başka ifadeyle; taahhütnameye dayanarak aktarımda bulunmak isteyen veri sorumlularının Kurul tarafından onay gelene kadar aktarımlarını açık rıza ile yapmaları su anki uygulamada Kurul’un işleyişine en uygun çözüm gibi gözüküyor.  Ancak bu uygulamanın Kanun’un ruhuna uygunluğu da tartışmalı olup, açık rıza dışında alternatif bir seçenek olmaması, açık rıza dışında bir hukuki dayanak olmasına rağmen açık rıza dışında bir hukuki mekanizmanın kullanılamaması, verilen açık rızaların gerçekten gerekli unsurları taşıyıp taşımadığı, açık rızayı veren kişilerin aynı şekilde geri almaları halinde zaten hukuki dayanağı başka olan süreçlerin nasıl yürütüleceği ve bunun şirketlere olan etkisi gibi birçok konu Kurul bu konudaki görevlerini tamamlayana kadar belirsizliğini koruyacak gibi duruyor.

  • Bağlayıcı Şirket Kuralları

Kurul’un kabul ettiği ikinci yazılı taahhüt şekli bağlayıcı şirket kurallarıdır. Taahhütnamelerden farklı olarak bağlayıcı şirket kuralları, grup şirketlere yönelik bir hukuki mekanizmadır. Kurul, buna ilişkin yayımladığı dokümanda bağlayıcı şirket kurallarını kapsamını aşağıdaki şekilde belirlemiştir[4]:

Şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından;

  • Bu şirketler topluluğuna bağlı olarak yurt dışında faaliyet gösteren şirketlere,
  • Teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak aktarımlar

Kurul, buna ek olarak bu kapsamda yer alan şirketler arasında “bağlayıcılığın” Türk Hukukunda geçerli biz sözleşme veya benzeri hukuki işlem yapılması ve bunun tüm veri işleyenler tarafından imzalanması ile sağlanacağını belirtmektedir.  

Uygulamada Nasıl İlerliyor?

Kurul tarafından henüz onaylanmış bağlayıcı şirket kuralı olduğuna yönelik bir bilgi paylaşılmamıştır. Dolayısı ile taahhütnamelerle benzer şekilde buna ilişkin başvuru yaptıysanız ve onaylanmadıysa bu süreçteki verileri açık rızaya dayanarak aktarmanın Kurul’un uygulamasına en yakın işleyiş olacağı kanaatindeyiz.

BBA Hukuk Bürosu – Av. Ayben Arıkan(LL.M.)

[1] https://www.kvkk.gov.tr/Icerik/5255/Taahhutnameler

[2] https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU

[3] Kişisel Verileri Koruma Kurulu, “Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti” <https://kvkk.gov.tr/Icerik/6739/2020-173>.

[4] Kişisel Verileri Koruma Kurulu, “Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman” <https://kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU>.

Recent Posts
  • Constitutional Court Decision On Violation Of Personal Data Protection
  • Monetary Limit In Application To Consumer Arbitration Committees and Administrative Fines
  • May The Employer Inspect The Correspondence On The Employee’s Phone?
  • Amendments To The Press Law And Certain Laws
  • Regulation On The Consumer Arbitration Committees

Continue Reading

Previous post

ANAYASA MAHKEMESİ’NİN 2013/5653 BAŞVURU NUMARALI, 03/03/2016 TARİHLİ BİREYSEL BAŞVURU KARARININ “UNUTULMA HAKKI” KAPSAMINDA DEĞERLENDİRİLMESİ

Next post

İLETİ YÖNETİM SİSTEMİ

  • © BBA Law 2025

  • Legal Notice
  • Privacy
Close
Search

Hit enter to search or ESC to close

Çerez Kullanımı
Daha iyi bir kullanıcı deneyimi sunabilmek için çerezler (cookie) kullanılmaktadır.
Kabul Et
Ayarları Değiştir
Cookie Box Settings
Cookie Box Settings

Privacy settings

Decide which cookies you want to allow. You can change these settings at any time. However, this can result in some functions no longer being available. For information on deleting the cookies, please consult your browser’s help function. Learn more about the cookies we use.

With the slider, you can enable or disable different types of cookies:

  • Block all
  • Essential
  • Functionality
  • Analytics
  • Advertising

This website will:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected

This website won't:

  • Remember your login details
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location

This website will:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country

This website won't:

  • Remember your login details
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location

This website will:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions

This website won't:

  • Remember your login details
  • Advertising: Use information for tailored advertising with third parties
  • Advertising: Allow you to connect to social sites
  • Advertising: Identify device you are using
  • Advertising: Gather personally identifiable information such as name and location

This website will:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Use information for tailored advertising with third parties
  • Advertising: Allow you to connect to social sitesl Advertising: Identify device you are using
  • Advertising: Gather personally identifiable information such as name and location

This website won't:

  • Remember your login details
Save & Close