Yurtdışına veri aktarımı konusuna ilişkin Kişisel Verileri Koruma Kurumu’nun duyurusu hakkındaki Bilgi Notumuz yayımlanmıştır.

1. GİRİŞ

Kişisel Verileri Koruma Kurumu (“Kurum”) 7 Mayıs 2020 tarihinde “Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru”yu (“Duyuru”) yayımlayarak, yurt dışına veri aktarımı için ilişkin usul ve esaslar belirlemiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”)  9’uncu maddesi uyarınca, veri sahiplerinden verilerinin yurtdışına aktarılmasına ilişkin açık rıza alınmadığı hallerde, yurtdışına aktarım ancak (i) veri aktarılan ülkede yeterli korumanın bulunması; veya (ii) aksi halde, Türkiye’deki ve veri aktarılan ülkedeki veri sorumlularının /veri işleyenlerin yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bunu onaylaması halinde mümkündür. Kurul, henüz yeterli koruma bulunan ülkelerin listesini ilan etmediği için, veri sahiplerinin yurtdışına aktarıma ilişkin açık rızası alınmaksızın yapılan tüm aktarım faaliyetleri için Kurul’a taahhütname sunarak Kurul’un onayının alınması gerekmektedir.

Kurum sitesinde ilgili taahhütname için, veri sorumlusuna ve veri işleyene aktarım için ayrı ayrı olmak üzere örnekler yayımlamıştır.

2. DUYURU’NUN KAPSAMI

Duyuru’da Kurul’un dikkatine sunulacak taahhütnameler için şekil ve esasa ilişkin hususlar ele alınmıştır. Temel gereklilikler aşağıda kısaca açıklanmıştır:

• Veri Sorumlusu veya Veri İşleyen Niteliğinin Tespiti

Öncelikle, taahhütnamenin içeriği veri aktarılan kişi veya kuruluşun veri sorumlusu veya veri işleyen sıfatını haiz olmasına göre değişiklik gösterdiği için, belirlenen sıfatın detaylıca açıklanması gerektiği düzenlenmiştir. Bu doğrultuda, veri aktarılan kişi veya kuruluşun hangi sıfatı haiz olduğu, gerçekleştireceği veri işleme faaliyetleri temelinde ortaya koyulmalıdır.

• Veri İşleme Amacının Değerlendirilmesi

Kanun’un 4/2(c) maddesinde öngörülen, veri işleme faaliyetinin “Belirli, açık ve meşru amaçlar için” olması ilkesi uyarınca, veri aktarımının ve bu doğrultudaki veri işleme faaliyetinin yapılan iş veya hizmet ile bağlantılı ve bunlar için gerekli olması gerekmektedir. Ayrıca, kişisel verinin yalnızca gerektiği ölçüde işleneceğinin (aktarım da dahil olmak üzere) ortaya koyulması gerekmektedir.

• Özel Nitelikli Kişisel Verilerin Aktarımı

Kanun’un 6’ncı maddesinde sağlık ve cinsel hayata ilişkin olmayan özel nitelikli kişisel verilerin yalnızca kanunlarda öngörüledüğühallerde işlenebileceği düzenlenmiştir. Aynı madde uyarınca, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

Bu doğrultuda, sağlık ve cinsel hayata ilişkin olmayan kişisel verilerin aktarımı kanuni bir düzenlemeden kaynaklanmıyorsa aktarımı mümkün olmayacaktır.

Sağlık ve cinsel hayata ilişkin kişisel verilerin açık rıza alınmaksızın aktarılması ise kişisel verinin ancak (i) gizlilik yükümlülüğü bulunan sağlık sektörü çalışanları (doktorlar, hemşireler veya hastane görevlileri) veya (ii) sağlık sektöründe faaliyet gösteren kuruluşlar (hastaneler, sigorta şirketleri veya ilaç şirketleri) tarafından ve kanunen öngörülen gerekli önlemlerin alınmış olması koşuluyla işlenmesi halinde işlenebilecektir.

• Zincir Veri Aktarımı

Veri aktarılan kişi veya kuruluş tarafından ilgili verilerin, aynı ülkede olup olmaması fark etmeksizin, farklı bir veri sorumlusu veya veri işleyene aktarılacak olması halinde takip eden veri aktarımları için de ayrıca taahhüt ve izin süreçlerinin yürütülmesi gerekmektedir.

3. BAĞLAYICI ŞİRKET KURALLARI

Kurum’un 10 Nisan 2020 tarihli “Bağlayıcı Şirket Kuralları Hakkında Duyuru”suna da bu noktada değinmekte fayda vardır. Kurul’un uygulamaları uyarınca, farklı ülkelerde bulunan grup şirketler tarafından ortak kullanılan bir veri tabanına erişim sağlanması veri aktarımı olarak kabul edilmektedir. Yukarıda belirtilen taahhütname süreçleri, iki taraflı veri aktarımlarını kolaylaştırmakla beraber çok uluslu şirket toplulukları bünyesindeki şirketler arasındaki veri aktarımları için ek bir yükümlülük ve işlem gerektirmektedir.  Örneğin, bir grup şirket bünyesindeki beş şirketin aynı veri tabanını kullanması halinde, bu şirketlerin her biri tarafından veri tabanına erişim veri aktarımı olarak kabul edilecek ve yukarıda belirtilen taahhütname yükümlülüklerine tabi olacaktır.

Bu yükümlülüğün grup şirketler için büyük bir iş yüküne sebep olduğu düşünüldüğünde, ”bağlayıcı şirket kuralları”, grup şirketler arasındaki veri aktarım faaliyetleri için “bağlayıcı şirket kuralları formu”nu doldurup gerekli talimatları izleyerek Kurul’a başvuru yapma imkanı sunmaktadır. Bu grup şirketlerin ilgili taahhüttü tek başvuruda sağlamalarına imkan vermektedir. İlgili başvurunun yapılması için, bir bağlayıcı şirket kuralları metni hazırlanması ve Kurul’a sunulması gerekmektedir.

4. SONUÇ

Yurtdışına kişisel veri aktarımı, veri güvenliğinin sağlanması, aydınlatma yükümlülüğünün yerine getirilmesi ve Kurul kararlarının yerine getirilmesi gibi, ihlali idari para cezasına tabi birçok husus yönünden yükümlülükler içermektedir. Özellikle de Kurul’un en son Amazon kararındaki gibi, verdiği yüksek meblağlı idari para cezaları da göz önüne alındığında, her veri sorumlusu ve veri işleyen tarafından bu husus büyük dikkatle ele alınmalı ve Kurul’un bu konuya ilişkin duyuruları ve kararları takip edilmelidir.