Anasayfa Makale Arabuluculukta Veri İşleme ve Yurt Dışına Aktarım

Makale

Arabuluculuk sürecinde kişisel verilerin KVKK kapsamında işlenme şartları ile davet mektubu gibi evrakların WhatsApp veya Gmail gibi uygulamalarla yurt dışına aktarılmasına dair hukuki çerçeve, güncel mevzuat ve uygulamadaki sorunlar bağlamında ele alınmıştır.

Arabuluculukta Veri İşleme ve Yurt Dışına Aktarım

AÇIK RIZA KVKK KİŞİSEL VERİLERİN İŞLENMESİ

Arabuluculuk, uyuşmazlıkların çözümünde mahkemelere alternatif olarak sunulan, tarafların kendi çözümlerini bulmalarını teşvik eden esnek ve barışçıl bir süreçtir. Bu sürecin yöneticisi olan arabulucu, görevini yerine getirirken taraflara ait çok sayıda kişisel veriyi işlemek ve muhafaza etmek durumunda kalır. Özellikle sürecin hazırlık aşamasında alınan ön başvuru formu, taraflara gönderilen davet mektubu, özel oturumlarda tutulan notlar ve sürecin sonunda hazırlanan son tutanak gibi belgeler, tarafların kimlik, iletişim, adres ve hatta özel nitelikli kişisel verilerini barındırır. Süreç boyunca bu verilerin toplanması, kaydedilmesi ve üçüncü kişilerle veya dijital uygulamalar aracılığıyla paylaşılması, Kişisel Verilerin Korunması Kanunu hükümlerinin titizlikle uygulanmasını gerektirir. Teknolojinin gelişmesiyle birlikte uyuşmazlık çözüm pratiklerinde sıklıkla kullanılan dijital iletişim araçları, kişisel verilerin yurt dışına aktarımı gibi karmaşık hukuki sorunları da beraberinde getirmektedir. Arabulucunun bu süreçte mevzuata uygun hareket etmesi, hem sürecin güvenilirliği hem de tarafların temel hak ve özgürlüklerinin korunması açısından büyük önem taşımaktadır.

Arabuluculuk Sürecinde Kişisel Verilerin İşlenme Şartları

Arabuluculuk sürecinde, tarafların uyuşmazlıklarını çözmek için başvurdukları ilk andan sürecin sonlanmasına kadar çeşitli aşamalarda kişisel verilerin işlenmesi söz konusu olur. Arabulucu, adliye arabuluculuk bürolarından gelen ön başvuru formları ile tarafların ad, soyad ve kimlik numarası gibi genel nitelikli kişisel verilerini elde eder. İlgili kanun ve yönetmelikler çerçevesinde, arabulucunun bu verileri işlemesi, KVKK uyarınca kanunlarda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanır. Dolayısıyla, arabulucunun süreci başlatmak ve tarafları davet etmek amacıyla bu verileri işlemesi için açık rıza alınmasına gerek yoktur. Bununla birlikte, arabuluculuk müzakerelerinin sonunda hazırlanan son tutanak da bir veri kayıt sisteminin parçasıdır. Arabulucunun bu tutanağı düzenlemesi ve kanuni yükümlülük gereği beş yıl boyunca saklaması, son tutanakta yer alan adres ve imza gibi bilgilerin işlenmesi anlamına geldiğinden tamamen hukuka uygun bir veri işleme faaliyetidir.

Özel Oturumlarda Özel Nitelikli Kişisel Verilerin İşlenmesi

Arabuluculuk görüşmeleri sırasında, özellikle tarafların birbiriyle yüz yüze konuşmaktan çekindiği durumlarda özel oturumlar düzenlenmektedir. Bu oturumlarda taraflar, uyuşmazlığın gerçek kaynağını açıklarken sağlık bilgileri, cinsel hayat veya sendika üyeliği gibi özel nitelikli kişisel verilerini arabulucu ile paylaşabilirler. Kural olarak özel nitelikli kişisel verilerin işlenmesi yasak olmakla birlikte, arabuluculuk uygulamasında bu verilerin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda hukuka uygun şekilde işlenmesi mümkündür. Eğer bu zorunluluk durumu mevcut değilse, arabulucunun sürece dair bu verileri işleyebilmesi, ancak kişisel veri sahibinin açık rızasının alınması ve mevzuat tarafından belirlenen yeterli önlemlerin eksiksiz şekilde yerine getirilmesiyle geçerli hâle gelir.

Arabuluculuk Uygulamasında Yurt Dışına Veri Aktarımı

Günümüz uyuşmazlık çözüm yöntemlerinde, taraflarla hızlı ve etkin iletişim kurabilmek adına dijital araçların kullanımı kaçınılmaz hâle gelmiştir. Arabulucular, tarafları ilk toplantıya davet ederken sıklıkla WhatsApp veya Gmail gibi platformları kullanmaktadır. Ancak, bu uygulamaların sunucularının Türkiye dışında bulunması, gönderilen davet mektubu içerisindeki taraflara ait kişisel verilerin açıkça yurt dışına aktarımı anlamına gelmektedir. KVKK kapsamında kişisel verilerin yurt dışına aktarılabilmesi için öncelikle Kurul tarafından verilmiş bir yeterlilik kararının bulunması aranır. Ancak hâlihazırda böyle bir karar ilan edilmediğinden, arabulucunun bu uygulamalar üzerinden güvenli bir şekilde veri aktarabilmesi için Kanun'da belirtilen diğer uygun güvence veya istisnai aktarım şartlarına başvurması hukuki bir zorunluluk olarak karşımıza çıkmaktadır.

Arızi Durumlar ve Açık Rıza Zorunluluğu

Yeterlilik kararının bulunmadığı hâllerde, mevzuatta yer alan uygun güvence yöntemlerinden olan standart sözleşme veya yazılı taahhütname, arabulucunun Google veya Meta gibi dev şirketlerle karşılıklı anlaşma imzalama ihtimalinin fiilen imkânsız olması sebebiyle uygulanamamaktadır. Bu nedenle arabulucunun bahsi geçen uygulamalar üzerinden davet mektubu göndermesi, KVKK uyarınca tek seferlik ve süreklilik arz etmeyen arızi durumların varlığı kapsamında değerlendirilmelidir. Ancak burada aktarımın zorunlu olması şartı aranır ki arabulucunun elinde PTT gibi yerel ve yasal alternatifler bulunduğu için bu aktarım yasal olarak zorunlu kabul edilemez. Bu durumda arabulucunun kullanabileceği tek hukuki yol, ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla yurt dışı aktarımına açık rıza vermesidir. Arabulucu, tarafları arayarak bu uygulamalar üzerinden belge göndereceğini belirtip doğabilecek riskleri aydınlatmalı ve ilgili açık rızayı mutlaka ispatlanabilir bir şekilde kayıt altına almalıdır. Aksi takdirde yapılan bu aktarım hukuka aykırı olacaktır.

Yurt İçi ve Yurt Dışı Aktarımda Güvenli İletişim Yöntemleri

Arabulucunun veri sorumlusu sıfatıyla hareket ettiği bu süreçte, kişisel verilerin hem yurt içinde hem de yurt dışında hukuka uygun bir biçimde aktarılması büyük önem arz eder. Kurul kararları ve güncel mevzuat uyarınca arabulucunun iletişimde dikkate alabileceği alternatif yöntemler ve bunların hukuki nitelikleri şu şekildedir:

  • PTT İadeli Taahhütlü Mektup: Sunucuları yurt içinde bulunan ve kanuni geçerliliği yüksek bir usul olup veri işlemenin kanunlarda açıkça öngörülmesi istisnasına dayanarak açık rıza gerektirmeden yurt içi aktarım sağlar.
  • Kayıtlı Elektronik Posta: Yurt içi veri merkezlerini kullanan bu altyapı, resmi evrakın güvenle iletilmesini sağlar ve arabulucunun ispat yükümlülüğünü hukuka uygun bir veri işleme faaliyeti çerçevesinde yerine getirmesine olanak tanır.
  • Yabancı Sunuculu E-Posta: Doğrudan yurt dışı veri aktarımı sayıldığından, yeterlilik kararı ve uygun güvence eksikliğinde, sadece muhtemel risklerin anlatılarak açık rıza alınması şartıyla hukuka uygun kabul edilebilir.
  • Yabancı Mesajlaşma Uygulamaları: Tıpkı yabancı e-posta hizmetleri gibi yurt dışı aktarımı sayılır, arızi nitelikte bir aktarım olarak kabul edilse dahi taraflardan önceden ispat edilebilir bir açık rıza beyanının alınmasını zorunlu kılar.
5 dk okuma Yayınlanma: Güncelleme: