Kişisel Verilerin Korunması Kanunu’nun Avrupa Birliği Standartlarına Uyumu

İnsan hakları standartlarını yükseltmek amacı ile hazırlanan İnsan Hakları Eylem Planı (Eylem Planı) 2 Mart 2021 tarihinde kamuoyuna açıklandı, İnsan Hakları Eylem Planı (2021-2023) hakkında Cumhurbaşkanlığı 2021/09 sayılı Genelgesi (Genelge) yayımlandı. İnsan Hakları Eylem Planı Uygulama Takvimi’nde ise Kişisel Verilerin Korunması Kanunu’nun (KVKK) Avrupa Birliği standartları ile uyumlu hale getirileceği açıkça belirtilerek, uyum için bir yıllık süre öngörüldü. KVKK’nın Avrupa Birliği standartları ile uyumlu hale getirileceğine ilişkin bu düzenleme, uygulamada özellikle yurt dışı veri aktarımı konusunda yaşanan sıkıntılar bağlamında olumlu bir gelişme olarak yorumlanabilir. Nitekim son zamanlarda veri sorumluları tarafından yurt dışına veri aktarımı ve izin mekanizmalarının yürütülmesi konusunda karşılaşılan zorluklar geniş çevrelerde tartışılarak Kişisel Verileri Koruma Kurumu (Kurum) nezdinde de veri sorumlularınca gündeme getirilen bir konu olarak yerini aldı.

Kişisel Verilerin Yurt Dışına Aktarımındaki Meşruiyet

Veri aktarımı”’ veya “veri transferi” tanımına dair KVKK’da açık bir düzenlenme yer almamakla birlikte, KVKK’nın tanımlar maddesinde kişisel veri aktarımı kişisel veri işleme faaliyeti olarak kabul edilir. Nitekim Kurum’un, internet sitesinde ilan edilen 26.10.2020 tarihli kamuoyu duyurusunda da açıkça işaret ettiği üzere, kişisel verilerin yurt dışına aktarılmasının “değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme” gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmaz.

Kişisel verilerin yurt dışına aktarılmasına ilişkin esaslar, KVKK’nın dokuzuncu maddesinde ayrıca düzenlenip, bu maddede aktarıma ilişkin özel koşul ve şartlar öngörülür.

Söz konusu maddede, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı belirtiliyor. İlgili düzenlemeden anlaşılacağı üzere, yurt dışı veri aktarımlarında öncelikli olarak veri sahibinin açık rızasının arandığı görülürr. Ancak KVKK’nın beşinci maddesinin ikinci fıkrasıile özel nitelikli kişisel veriler bakımından altıncı maddesinin üçüncü fıkrasında belirtilen şartlardanbirinin varlığı ve bunlara ilaveten kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması halinde; yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”)  izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği belirtiliyor.

KVKK’nın dokuzuncu maddesinin üçüncü fıkrasında ise “yeterli korumanın bulunduğu ülkeler”in Kurul tarafından belirlenerek ilan edileceği belirtiliyor. Kurum tarafından, güvenli ülke statüsü tayini için ülkeler arası ilişkiler dikkate alınarak çeşitli ülkelerle görüşmeler gerçekleştirilerek bu kapsamdaki çalışmaların halihazırda sürdürülmekte olduğu belirtmiş olsa da, yeterli korumanın bulunduğu ülkeler henüz ilan edilmemiştir. Bu nedenle, Kurum yurt dışına veri aktarımı ile ilgili olarak açık rızanın mevcut olmadığı hallerde veri sorumlularınca taahhütname ve bağlı şirket kuralları ile başvuru imkanı tanıyarak, yurt dışına veri aktarımına ilişkin izin alınmasına ve bu doğrultuda veri sahiplerinin açık rızaları olmaksızın veri aktarımına yönelik iki alternatif başvuru yolu geliştirdi.

Taahhütname ve Bağlayıcı Şirket Kuralları

Kurul’un 02.04.2018 tarih ve 2018/33 numaralı kararı ile kişisel verilerin, Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna aktarımına ilişkin olarak KVKK’nın dokuzuncu maddesinin ikinci fıkrasının (b) bendine istinaden hazırlanacak taahhütnamelerde bulunması gereken asgari unsurlar belirlendi. Akabinde hem veri sorumlusundan veri sorumlusuna hem de veri sorumlusundan veri işleyene gerçekleştirilecek yurt dışına veri aktarımlarında kullanılmak üzere iki tür taahhütname taslağı hazırlandı. Veri sorumluları tarafından, kişisel veri aktarımının türüne göre ilgili taahhütname metinleri kullanılarak, taahhütnamenin ekinde yer alan kişisel veri aktarımının dayandığı işleme şartı, amacı, aktarıma konu veri kategorileri, veri konusu kişi grubu veya grupları, aktarım yapılacak tarafın alacağı idari ve teknik tedbirler ve saklama süresi gibi unsurlar hakkında ilgili açıklamalar ile Kurum’a izin için başvuruda bulunulması gerekir3.

Uygulamada, Kurum tarafından taahhütname başvurularının hukuki ve teknik boyutları ile detaylı bir biçimde değerlendirmeye tabi tutulduğunu söylemek mümkün. Nitekim halihazırda yurt dışına aktarım için taahhütname yolu ile izin başvurularının değerlendirilmesi sonucunda Kurul tarafından yalnızca TEB Arval Araç Filo Kiralama Anonim Şirketi’ne 09.02.2021 tarihinde, Amazon Turkey Perakende Hizmetleri Ltd. Şti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti ’ne ise 04.03.2021 tarihinde KVKK’nın dokuzuncu maddesinin ikinci fıkrası (b) bendi kapsamında yurt dışına veri aktarımlarına izin verildi.

İlaveten Kurum tarafında kişisel verilerin yurt dışına aktarılabilmesine izin verilmesi bakımından alternatif bir yöntem olarak “Bağlayıcı Şirket Kuralları” oluşturuldu. Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma politikalarıdır. Bu kapsama giren şirketlerin, Kurum’a başvurusu yapması gerekir. Çok uluslu grup şirketleri, grup şirketleri arasında gerçekleştirilecek olan yurt dışına veri aktarımlarında uymayı taahhüt ettikleri kuralların Kurul tarafından kabul edilmesi akabinde, KVKK’nın dokuzuncu maddesinin ikinci fıkrasının (b) bendinde düzenlenmiş yeterli korumayı taahhüt etme yükümlülüklerini yerine getirmiş olacaktır.

Veri Sorumlularının İkilemi: Taahhütname Bağlayıcı Şirket Kuralları mı Yoksa Açık Rıza mı?

KVKK mevut düzenlemesi ve uygulama uyarınca, Kurum tarafından şeffaf bir aktarım rejiminin hedeflendiği belirtilmiş olsa da, halihazırda kişisel verilerin yurt dışına aktarılmasına ilişkin uygulamanın, veri sorumlularını büyük ölçüde zora soktuğu yadsınamaz bir gerçek. Nitekim güvenli ülkeler listesinin henüz ilan edilmemiş olması, veri sorumluları tarafından taahhütname veya bağlayıcı şirket kurallarının hazırlanarak Kurum’a izin için başvurulmasını veya veri sorumluları tarafından veri sahiplerinin açık rızalarının alınmasını zorunlu kılar.

Kurum’a yapılan taahhütname başvurularının değerlendirmesi akabinde şimdiye kadar sadece yukarıda ismi geçen üç şirket bakımından yurt dışı aktarımına izin verilmiş olması, bağlayıcı şirket kuralları hazırlanarak yapılan başvurulara yönelik herhangi bir iznin henüz tesis edilmediği ve başvuru sürecinin uzun olması gerçeği dikkate alındığında, uygulamada veri sorumlularının taahhütname ve bağlayıcı şirket kuralları yolu ile Kurum’a yurt dışı aktarımı izni başvurusu yapma konusunda çekimser davrandıkları görünüyor. Anılan nedenlerden ötürü, uygulamada veri sorumluları bakımından yurt dışı veri aktarımının meşruiyeti ise “açık rıza” temini suretiyle sağlanıyor.  

Ayrıca belirtilmeli ki, Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation) (GDPR), düzenlemesi uyarınca sınır ötesi veri aktarımını kolaylaştıracak ılımlı bir mekanizmanın kurulduğu ve güvenli ilan edilen ülkelere veri aktarımına izin verildiği görülür. KVKK’da ise kişisel verilerin ilgili kişinin açık rızası ile aktarılması ve ancak KVKK’nın beşinci maddenin ikinci fıkrası ile altıncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı mevcut ise yeterli koruma bulunan ülkelere açık rıza olmaksızın veri aktarımına izin verildiği; bu şartlar mevcut olsa dahi yeterli koruma bulunmayan ülkelere veri aktarımı için mutlaka Kurum’a başvuru yapılarak, Kurul’un değerlendirmesine tabi olarak izin alınması gerekliliği şeklinde GDPR’dan oldukça farklı bir uygulama söz konusudur.  Kişisel verilerin yurt dışına aktarımı konusunda GDPR ile KVKK arasındaki bu önemli fark, özellikle çok uluslu grup şirketlerinin veri işleme faaliyetleri ve grup şirketleri arasında dijital veri paylaşımı konularında sıkıntı yaratmaktadır. Nitekim Türkiye’de kurulu çok uluslu grup şirketi sayısı oldukça yüksek olup, bu şirketlerin Türkiye’deki iş faaliyetlerinde kullandıkları yazılım, bulut sistemleri ve teknik altyapı gibi sistemlerin sunucuları çoğunluklar yabancı ülkede kurulu diğer grup şirketleri nezdinde yer alır veya Türkiye’deki veri sorumlusu tarafından kullanılan yazılımlara grup şirketleri tarafından yurt dışından doğrudan erişim sağlanır. Hal böyle iken, çok uluslu bir grup şirketin Türkiye’de bulunan bir iştirakinde bahsi geçen yazılımlar bünyesinde gerçekleşen bir veri işleme faaliyeti sırasında veriler teknik olarak yurt dışına aktarılmış veya diğer grup şirketleri tarafından yurt dışından erişim sağlanmış olduğundan, “veri işleme” ile “yurt dışına veri aktarım” faaliyetlerinin eş zamanlı olarak gerçekleştirilmiş olduğunu söylemek mümkündür. Bu durumda özellikle dijital veri paylaşımının yaygınlaştığı son yıllarda Kurul tarafından yurt dışı veri aktarımı konusunda hükmedilen yüksek idari para cezaları göz önüne alındığında, veri sorumluları nezdinde yaşanan zorluklar ve cevap bekleyen sorular tekrar gündeme geliyor.

Açık Rızanın Yokluğu Halinde Kişisel Verilerin Silinmesi

Uygulamada veri sorumluları arasındaki genel eğilim, tüm veri sahibi kategorileri bakımından yurt dışı veri aktarımında veri sahiplerinin açık rızalarının alınmasıdır. Uygulamada, şirket çalışanları bakımından açık rıza temini kolay olsa da, diğer veri sahibi kategorileri bakımından, veri sorumluları tarafından veri sahiplerine ulaşmak ve açık rızanın temin edilmesi konusunda zorluklar yaşandığı bir gerçektir.

İlaveten dijital ortamlardaki kişisel veri işlemeye yönelik açık rıza ve yurt dışına aktarım için açık rızanın ayrı ayrı alınması gerekliliği uyarınca, kişisel verilerin işlenmesine yönelik açık rızanın temin edildiği fakat yurt dışına aktarım için açık rıza alınamayan durumlarda veya veri sahiplerince açık rızaların geri alınması halinde ya da veri aktarımının veri sahibinin herhangi bir etkisi olmaksızın otomatik olarak elektronik posta alımı gibi sebeplerle sunucuları yurt dışında bulunan yazılımlara/elektronik posta sunucularına veya portallara aktarılması ve veri işlenmesi KVKK’ya aykırılık teşkil ettiğinden, bu verilerin söz konusu yazılım ve portallardan tamamen silinmesi gerekliliği doğacak.

Çok uluslu şirketlerin operasyonlarının neredeyse tamamının yurt dışında sunucuları bulunan ve grup şirketleri tarafından ortak kullanılan veya yurt dışından erişim sağlanan yazılım ve programların kullanılması yolu ile gerçekleştirildiği dikkate alındığında, yurt dışı veri aktarımına yönelik veri sahibinin açık rızasının mevcut olmadığı hallerde, veri aktarımı ihlaline sebep olunmaması bakımından Türkiye’deki veri sorumlusu şirketin elektronik ortamda veri işleme faaliyetini tamamen durdurması, halihazırda sistemlerinde kayıtlı tüm kişisel verileri silmesi veya yatırım yapılmış olan tüm yazılım ve programlarının sunucularının Türkiye’ye taşınması gibi önlemlerin alınması gerekir. Bu yönde bir uygulamanın birçok şirket için oldukça ağır bir külfet getireceği ve telafisi güç sonuçlar doğurabileceğini söylemek mümkündür.  

Açık Rıza ve Hakkın Kötüye Kullanımı

Açık rıza temini konusunda tartışma yaratan bir diğer husus ise, açık rızanın niteliğinden kaynaklanır. KVKK’da açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanır. İlaveten, Kurul’un da benimsediği yaklaşım uyarınca,  diğer kişisel veri işleme şartlarının varlığı halinde açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği kabul edilir. Yukarıda da belirtildiği üzere uygulamada elektronik ortamda işleme ve yurt dışı veri aktarımının eş zamanlı olarak neredeyse otomatik olarak gerçekleşmesi sebebi ile işleme ve aktarım faaliyeti esasen teknik olarak birbirinden ayrılamaz hale gelir. Bu nedenle, veri işleme için KVKK’da öngörülen istisnalar uyarınca açık rıza temin edilmeksizin işleme faaliyeti gerçekleştirilebilmesi mümkün iken, sırf yurt dışı veri aktarımı olması sebebiyle hem işleme hem de yurt dışı aktarım için ayrı ayrı açık rıza alınması yoluna gidildiği görülür. Bu tür bir uygulamanın da açık rızanın özgür iradeye dayanması ilkesine aykırılık teşkil edebileceği tartışılıyor.

Açık Rıza ve Hizmet Şartı İkilemi

Veri sorumlularını çıkmaza sokan bir diğer husus ise, veri sorumlusu şirket bünyesinde gerçekleştirilen müşteri ve tüketicilere sunulan bir takım hizmetler ile düzenlenen çeşitli kampanyalara başvuruların veri sahibi şirket tarafından geliştirilen ve sunucusu yurt dışında bulunan yazılım veya web siteleri üzerinden elektronik ortamda gerçekleştirilmesidir. Bu durumda, her ne kadar veri sahibi kampanya katılımcısının başvurusu sırasında paylaştığı kişisel verilerin işlenmesi bakımından teorik olarak KVKK’da sayılan istisnalardan faydalanarak veri sahibinin açık rızasını almaksızın kişisel veri işleyebilecek olsa da, kampanyaya katılım veya kayıt için sunucusu yurt dışında bulunan yazılım veya web siteleri kullanılması sebebi ile başvuru sırasında paylaşılan kişisel veriler otomatik olarak yurt dışına aktarılmış sayılır. Bu durum yine aynı sorunu gündeme getiriyor ve veri sorumlusunun, veri sahibi tarafından kampanyaya katılımı için açık rızasının alınmasını zaruri hale getirerek, yurt dışına aktarım izni vermeyen kişilerin kampanyaya katılımlarına da engel teşkil ediyor. İlaveten, açık rıza alınmaksızın kampanyadan ve/veya bir hizmetten faydalanmanın mümkün olmaması sonucu da Kurul’un “hizmetin açık rıza şartına bağlanmaması” ilkesi kapsamında sakıncalı bir sonuç doğurabileceği tartışmasını gündeme getiriyor. Nitekim açık rızanın üyeliğin veya hizmetin bir koşulu olarak dayatılması ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının Kurul tarafından açık rızayı sakatlayacak hal olarak değerlendirildiği ve bu durumun da veri işleme bakımından KVKK’ya aykırılık teşkil etmesi sebebi ile idari para cezasına hükmedildiğine yönelik Kurul’un birçok kararı mevcut.

Sonuç olarak, yurt dışına veri aktarımı bakımından karşılaşılan zorluklar dikkate alındığında halihazırda KVKK’da öngörülen yurt dışı aktarımına ilişkin kısıtlayıcı düzenlemenin GDPR ile uyumlu hale getirilerek yurt dışına veri aktarımını kolaylaştıracak pratik ve ılımlı bir mekanizmanın benimsenmesi önem arz etmektedir. Özellikle, İnsan Hakları Eylem Planı Uygulama Takvimi’nde KVKK’nın Avrupa Birliği standartları ile uyumlu hale getirileceğinin açıkça belirtilmesi ve uyum için bir yıllık sürenin öngörülmüş olması veri sorumluları bakımından umut verici bir gelişme olup, belirlenen süre içerisinde uyumun gerçekleştirilmesi beklenmektedir. Aksi takdirde veri sorumluları tarafından veri işleme ve yurt dışına veri aktarımında karşılaşılan zorlukların kısa vadede giderilmesi mümkün gözükmüyor, bu durum da özellikle çok uluslu veri sorumlusu şirketler bakımından operasyonel faaliyetler üzerindeki olumsuz etkilerin giderek artmasına sebebiyet verecektir.

NOTLAR

1 Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kurum yapılan başvuruların riayet edilmesi gereken usul ve esaslara uygun olmadan gerçekleştirildiği tespit ederek, taahhütnamelerin hazırlanmasında veri sorumluları tarafından dikkat edilmesi gereken gerek usule gerek esasa ilişkin hususlar Kurum’un resmi internet sitesinde yayımlanmıştır.

Kaynak: hbrturkiye.com

Written by

Bir cevap yazın