Kişisel Verilerin Yurt Dışına Aktarılması

Alihan Yavaş


Kişisel Verileri Koruma Kurumu (KVKK), yurt dışına veri aktarımına ilişkin rehberi Ocak ayında yayımlayarak veri sorumluları ve işleyenler için önemli bir yol haritası sundu.


Kişisel Verilerin Yurt Dışına aktarılması

Kişisel Verileri Koruma Kurumu (KVKK), yurt dışına veri aktarımına ilişkin rehberi Ocak ayında yayımlayarak veri sorumluları ve işleyenler için önemli bir yol haritası sundu. Rehber, uluslararası veri transferine ilişkin süreçlerin hukuki ve teknik boyutlarını detaylandırarak uyum süreçlerinde rehberlik etmeyi amaçlamaktadır. Bu yazıda, rehberin sunduğu esaslar çerçevesinde, yurt dışına veri aktarımının nasıl gerçekleştirilebileceği inceledik.

Kanunda açıkça kişisel verilerin yurt dışına aktarılması tanımına yer verilmemiştir. Ancak 7499 sayılı Kanun ile değiştirilen Kanunun 9 uncu maddesinin uygulanmasına ilişkin usul ve esasları belirleyen Yönetmeliğin 4 üncü maddesinin (e) bendinde kişisel verilerin yurt dışına aktarılması; kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” şeklinde ifade edilmektedir.

Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kanun ve ilgili Yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur. Bu kurallar yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanır.

 

1. İhtimal - Yeterlilik Kararının Bulunması

6698 sayılı kanunun 5. veya 6. Maddesindeki şartlardan birisi mevcut ise ilk aşamada aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının bulunup bulunmadığına bakılmalıdır.

 

Genel nitelikli kişisel veriler bakımından esas olan ilgili kişinin açık rızası olmakla birlikte kanunda açıkça öngörülmüş olması, fili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

Özel nitelikli kişisel veriler bakımından ise (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) esas olan bu verilerin işlenmemesidir. Ancak ilgili kişinin açık rızasının olması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hallerinde özel nitelikli kişisel verilerin işlenmesi mümkündür.

Yeterlilik kararı kurul tarafından verilir ve resmi gazetede yayınlanır. Yeterlilik kararı verilirken; Kişisel verilerin aktarılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu, ülkenin ilgili mevzuatı ve uygulaması, bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması, uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu gibi hususlar dikkate alınır. Örnek olarak ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararının verilmesinin mümkün hale geldiği ifade edilmiştir.

 

2. İhtimal - Uygun Güvencelerden Birinin Bulunması

6698 sayılı kanunun 5. veya 6. Maddesindeki şartlardan birisi mevcut ise ve yeterlilik kararı yok ise; ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanı var ve taraflarca uygun güvencelerden biri sağlanmış ise yurt dışına veri aktarılabilir.

Uygun Güvence; Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiyedeki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, Kurul tarafından ilan edilen standart sözleşmenin varlığı, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi hallerinden birinin yerine getirilmesidir.

 

3. İhtimal - İstisnai Aktarım Hallerinden Birinin Bulunması

Yeterlilik kararının bulunmaması ve uygun güvencelerden birinin sağlanmaması halinde, arızi olmak kaydıyla, tek veya birkaç sefer ve süreklilik taşımayacak şekilde 6698 sayılı kanunun 9/6da sayılan istisnai hallerden birinin mevcut olması şartıyla yurt dışına veri aktarılabilir.

Örnek olarak; Türkiyedeki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması” verilmiştir.

İstisnai haller ise, açık rıza”, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması”, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması”, “üstün bir kamu yararı için zorunlu olması”, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması”, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması” ve kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması” olarak sayılmaktadır.

 

4. İhtimal - Menfaat Zorunluluğu

Kanunun 9 uncu maddesinin dokuzuncu fıkrası uyarıncaKişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiyenin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

Bu kapsamda, yurt dışına aktarıma ilişkin uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunmakta ise kişisel verilerin söz konusu hükümler uyarınca yurt dışına aktarılabileceğini; esasında yeterlilik kararının bulunması, uygun güvencelerin olması ya da istisnai aktarım hallerinin bulunmasından önce yurt dışına aktarım faaliyetinin ilk basamağında uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunup bulunmadığına bakılması gerektiğini önemle vurgulamak gerekmektedir.

 

Sonuç ve Değerlendirme

Kişisel verilerin yurt dışına aktarımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmeliklerde belirlenen usul ve esaslar çerçevesinde, yeterlilik kararının bulunması, uygun güvencelerin sağlanması, istisnai aktarım hallerinin varlığı veya menfaat zorunluluğu gibi koşullar altında gerçekleştirilebilir. Bu süreçte, ilgili kişilerin temel hak ve özgürlüklerinin korunması öncelikli olup, veri aktarımına ilişkin her adımın şeffaf, denetlenebilir ve hukuka uygun bir şekilde atılması esastır.

Özellikle uluslararası ticaret ve veri paylaşımının giderek önem kazandığı günümüzde, yurt dışına kişisel veri aktarımı konusunda hukuki ve teknik düzenlemelere uyum, hem bireylerin haklarının korunmasını hem de kurumların güvenilirliklerini sağlamaları açısından kritik bir rol oynamaktadır. Bu bağlamda, veri sorumluları ve işleyenlerin ilgili düzenlemeleri titizlikle incelemeleri ve gerekli yükümlülükleri yerine getirerek sorumlu bir veri yönetimi anlayışı benimsemeleri gerekmektedir.

 

Kaynakça

  • Kişisel Verilerin Yurt Dişına Aktarılması Rehberi (Ocak 2025)
  • Kişisel Verileri Koruma Kurulu