KVKK kapsamında yurt dışına kişisel veri aktarılması hususu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9. maddesinde düzenlenmiştir. Bu düzenlemeye göre temel kural, kişisel verilerin yurtdışına aktarımına veri sahibinin açık rızasının bulunmasıdır. Bununla birlikte veri sahibinin açık rızası olmaksızın da, Kanun’un 5. maddesinin 2. fıkrasında veya 6. maddesinin 3. fıkrasında belirtilen istisnai işleme şartlarının mevcut olması halinde, verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması yurtdışına veri aktarımı mümkündür.
Aynı şekilde veri sahibinin açık rızası olmaksızın, Kanun’un 5. maddesinin 2. fıkrasında veya 6. maddesinin 3. fıkrasında belirtilen istisnai işleme şartlarının mevcut olması halinde, verilerin aktarılacağı yabancı ülkede yeterli koruma bulunmuyorsa, bu ülkelere yapılacak kişisel veri aktarımında, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartlarıyla, veri aktarımı gerçekleştirilebilmektedir.
Kişisel Verileri Koruma Kurumu (Kurum) tarafından 07.05.2020 tarihinde internet sitesinden yayımlanan duyuru ile Kanun’un 9. maddesinin (2) numaralı fıkrasının (b) bendi uyarınca yapılacak yurt dışına veri aktarımında kullanılacak taahhütnamelerin usul ve esasına ilişkin olarak dikkat edilmesi gereken hususlar ilan edilmiştir.
Söz konusu ilana göre, hazırlanacak taahhütnamelerde usule ilişkin dikkat edilmesi gereken hususlar olarak;
- Başvurmaya yetkili kişinin adı, soyadı, adresi, imzasının yanında imzaya yetkili olduğunu kanıtlar belgelerin de ibraz edilmesi gerekliliği,
- Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafının bulunması gerekliliği,
- Başvuru tüzel kişi tarafından yapılacak ise ilgili veri sorumlusunun bu konuda temsil ve ilzama yetkili kişi olması ve bu hususu kanıtlar belgelerin başvuruya eklenmesi, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin eklenmesi, yabancı dildeki tüm belgelerin de noter onaylı çevirisinin bulunması gerekliliği,
- Hazırlanacak taahhütname ekine, Türkiye’de yerleşik şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde yerleşik veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği, Sözleşmeye taraf olmayan ülkelerde yerleşik veri alıcı bakımından ise belgelerin Türkiye’de hukuken geçerli olması için gerekli işlemlerin gerçekleştirilmesi gerekliliği ve
- Son olarak hazırlanan taahhütnamelerde, Kurum’un resmi internet sitesinde yayımlanan taahhütname örneklerinde yer alan (Veri Sorumlusundan Veri Sorumlusuna Aktarım, Veri Sorumlusundan Veri İşleyene Aktarım) hükümlere asgari olarak aynen, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmesi gerektiği belirtilmiştir.
Kurum’un internet sitesinde yayımladığı ilanda esasa ilişkin olarak da dikkat edilmesi gereken hususlar belirtilmiş olup bu hususlar “Taahhütname Düzenlenirken Dikkat Edilmesi Gereken Hususlar” ve “EK-1’de Yer Alan Başlıklar Altında Yer Verilen Açıklamalarda Dikkat Edilmesi Gereken Hususlar” olmak üzere iki ana başlık altına incelenmiştir. Buna göre;
- Kanun’un 3. maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu kavramı tanımına yer verilerek kimlerin veri sorumlusu olacağı belirtilmiştir. Bu tanıma göre, kişisel verilerin işlenmesine ilişkin kararları alan, işleme faaliyetinin ne zaman başlayacağı, kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisine sahip olan, veri işleme faaliyetinin temel araç, amaç ve faaliyetlerini belirleyen, veri işleme süreçlerinin her anında özerk ve bağımsız olan gerçek veya tüzel kişidir. Yine Kanun’un 3. maddesinin birinci fıkrasının (ğ) bendinde veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak veri işleyen tanımına yer verilmiştir. Bu tanımlamalardan yola çıkarak, kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi veri sorumlusuna ait iken veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar kapsamında ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştiren kişidir. Netice olarak veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren kanıtlar herhangi bir belgenin bulunması halinde taahhütname ile gönderilmesi önem arz etmektedir.
- Taahhütname metninde kullanılacak tanımlar, Kanun ve ilgili yasal düzenlemelerdeki tanımlamalarla uygun olmalı, Kanun’da yer alan terimler ve dil ile taahhütname dili aynı olmalıdır.
- Taahhütname ve eki belgeler hazırlanırken, Kanun’un “Genel ilkeler” başlıklı 4. maddesinde sayılan genel ilkeler olan, “-Hukuka ve dürüstlük kurallarına uygun olma, -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme, -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelere uyulması zorunlu olup hukuki bir gereklilik doğurmaktadır.
- Sayılan ilkelerden “Belirli, açık ve meşru amaçlar için işlenme” ilkesi uyarınca veri sahibi açısından veri işleme sürecinin açık bir şekilde anlaşılabilir olması, veri işlemenin hangi hukuki işleme şartına bağlı olarak gerçekleştirildiğinin tespit edilebilir olması ve veri işleme amacının belirlenebilir olması gerekmektedir.
- Sayılan ilkelerden “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesi uyarınca da veri işleme faaliyetinin, belirlenen amaca uygun ve sadece bu amaç için veri işlemesinin gerçekleştirilmesi gerekmektedir.
Söz konusu duyuruda ayrıca ayrıntılı olarak, veri konusu kişi grubu ve grupları, veri kategorileri, veri aktarımının amaçları, veri aktarımının hukuki sebebi, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler ve veri aktaranın veri sorumluları sicil bilgi sistemi (VERBİS) bilgileri hususları da düzenlenmiştir.
Bu çerçevede, veri konusu kişi grubu ve grupları belirtilirken net bir ifade şekli benimsenmelidir. Veri kategorileri ifade edilirken veri konusu kişi grubu ve grupları başlığı ile bağ kurulmak suretiyle muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, belirli, açık ve meşru bir veri aktarımı amacıyla bağlantılı, sınırlı ve ölçülü olacak şekilde veri kategorileri belirlenmeli ve kategoriler anlaşılır detayda ortaya konmalıdır.
Taahhütnameye konu kişisel verinin özel nitelikli kişisel veri mi yoksa sağlık verisi mi olduğu tespit edilerek buna göre aktarım faaliyetinin ilgilinin açık rızası şartına dayanıp dayanmadan gerçekleşeceği hususu ele alınmıştır. Kanunun 6. maddesinin birinci fıkrasında nelerin özel nitelikli kişisel veri olduğu sayılmış, devamı fıkrada ise bu verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu belirtilmiştir. Fakat söz konusu veriler içinde sağlık ve cinsel hayata ilişkin ve diğer özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurt dışına aktarımı durumu ancak Kanunun 6. maddesinin üçüncü fıkrasında tahdidi olarak sayılan işleme şartlarından birinin mevcut olması halinde gerçekleşebilir.
Alıcı ve alıcı gruplarının, sonraki devam eden aktarıma taraf veri sorumlularının, veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması gerekmektedir. Kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda “Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler)”nin dikkate alınması gerekmektedir.
Yine, özel nitelikli kişisel veriler düzenlenecekse, Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı dikkate alınmalıdır.
Kayıt yükümlülüğü varsa, VERBİS bilgilerine bu başlık altında yer verilmesi gerekmektedir. Taahhütname ekinde yer alan başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler” başlığı altında açıklanmalıdır. Örneğin, saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilmelidir.
Aynı şekilde, yurt dışına veri aktarımı izin başvurularında hazırlanacak taahhütnamelerde, irtibat kişisi iletişim bilgileri, işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konduğu veri sorumlusu ve veri işleyen başlıkları ve aktarılan kişisel verilerin aktarım amacıyla bağlantılı olacak şekilde ne tür bir işleme faaliyetine tabi tutulacağı hususunun somut aktarım özelinde anlaşılır detayda ortaya konacağı işleme faaliyetleri başlığı da bulunmalıdır.
07.05.2020 tarihli duyurunun tam metnine https://kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU linkinden ulaşabilirsiniz.
Comments