Anasayfa/ Makale/ KVKK Kapsamında Veri İşleme ve Yurtdışına Aktarım Şartları

KVKK Kapsamında Veri İşleme ve Yurtdışına Aktarım Şartları

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin işlenmesi ve yurtdışına aktarılması katı kurallara bağlanmıştır. Özellikle açık rıza, istisnai durumlar ve güvenli ülke kriterleri, veri sorumluları için hukuki riskler barındırır. Bu makale, veri aktarım süreçlerindeki yasal sınırları detaylandırmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
ÖZEL NİTELİKLİ KİŞİSEL VERİ KİŞİSEL VERİLERİN İŞLENMESİ HUKUKA AYKIRILIK KVKK AÇIK RIZA

Bilişim çağında bilgi ve iletişim teknolojilerinin yaygınlaşması, kişisel verilerin sınırları aşarak küresel çapta dolaşıma girmesine yol açmıştır. İşletmelerin büyüme hedefleri ve bulut bilişim gibi ekonomik çözümler, veri işleme süreçlerini hızla uluslararası boyuta taşımaktadır. Ancak bu durum, kişisel veri ihlalleri ve mahremiyet risklerini beraberinde getirdiği için 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri işleme ve özellikle yurtdışına veri aktarımı konularında son derece sıkı düzenlemeler öngörmüştür. Kanun, bireyin verisi üzerindeki münhasır hakkını korumak amacıyla, kural olarak veri işleme faaliyetlerini açık rıza şartına bağlamış, açık rızanın alınmadığı durumlar için ise sınırları belirli yasal istisnalar çizmiştir. Bu bağlamda, veri sorumlularının ulusal ve uluslararası operasyonlarında hukuki uyumluluk sağlamaları, olası zararlardan kaçınmaları adına veri aktarımı süreçlerini kanunun belirlediği yasal çerçeve içerisinde yürütmeleri hayati önem taşımaktadır.

Kişisel Verilerin İşlenme Şartları ve Açık Rıza

Kanun uyarınca, kişisel verilerin işlenmesinde temel kural ilgili kişinin açık rızasının alınmasıdır. Literatürde "opt-in" olarak da bilinen bu yaklaşım, veri işlemeye başlamadan önce bireyin özgür iradesiyle onay vermesini gerektirir. Hukuken geçerli bir açık rıza beyanının anlaşılır, sade bir dille yazılmış olması ve belirli bir konuya ilişkin, bilgilendirmeye dayanan özgür iradeyle verilmiş olması şarttır. Uzun ve karmaşık sözleşme metinleri arasına gizlenmiş rıza beyanları hukuka aykırılık teşkil eder. Bununla birlikte kanun, bazı durumlarda açık rıza aranmaksızın veri işlenmesine olanak tanıyan istisnai haller de öngörmüştür. Örneğin, bir hizmet sözleşmesinin ifası için tarafların verilerinin işlenmesinin zorunlu olması veya Sosyal Güvenlik Kurumu gibi resmi kurumlara yasal bildirimlerin yapılması bu kapsamdadır. Ayrıca, kişinin kendi verisini alenileştirmesi de bir istisna olmakla birlikte, alenileştirme amacı dışındaki kullanımlar, örneğin salt pazarlama amaçlı işlemler, hukuka aykırı kabul edilmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek bilgiler özel nitelikli kişisel veri olarak tanımlanmıştır. Biyometrik veriler, genetik veriler ve sağlık bilgileri bu gruba girmektedir. Hukuki açıdan bu verilerin işlenmesi kural olarak mutlak surette açık rıza gerektirir. Günümüzde özel hastaneler, spor salonları veya işyerlerinde kimlik doğrulama amacıyla avuç içi izi veya parmak izi okutulması gibi biyometrik doğrulama sistemleri sıklıkla kullanılmaktadır. Ancak biyometrik ve genetik verilerin kopyalanması veya çalınması durumunda, bu bilgilerin değiştirilemez yapısı nedeniyle veri sahibi açısından ömür boyu sürecek geri dönülemez zararlar doğabilir. Bu sebeple, hizmet sunumu için kesin zorunluluk olmadığı sürece biyometrik verilerin kimlik doğrulama aracı olarak dayatılması hukuka aykırıdır ve veri sahiplerine mutlaka alternatif kimlik doğrulama yöntemleri sunulmalıdır.

Yurtiçinde ve Yurtdışına Kişisel Veri Aktarımı

Kişisel verilerin üçüncü kişilere aktarımı, veri işlemenin en kritik aşamalarından biridir. Yurtiçindeki aktarımlarda yeterli yasal önlemlerin alınması kaydıyla belirli kurallar çerçevesinde veri paylaşımı yapılabilirken, verilerin sınır ötesine taşınması çok daha katı prosedürlere tabidir. İnternet altyapısının küresel doğası ve küresel bulut bilişim servislerinin yaygınlığı, çoğu zaman firmaları maliyet avantajı sağlayan yurtdışı lokasyonlu sunucuları kullanmaya itmektedir. Ancak kanun gereğince, yurtdışına veri aktarımı kural olarak açık rızaya tabidir. Akıllı telefon uygulamaları, küresel uygulama marketleri veya yurtdışı merkezli e-posta sağlayıcıları üzerinden işlenen veriler doğrudan sınır ötesine aktarıldığından, veri sorumluları bu durumlarda özel bir aydınlatma süreci yürütmek ve yasal izinleri almak yükümlülüğü altındadır.

Yeterli Korumaya Sahip Ülkeler ve Aktarım Riskleri

Kurul tarafından ilan edilecek yeterli korumaya sahip güvenli ülkelere yapılacak aktarımlarda açık rıza istisnaları uygulanabilmektedir. Ancak hedef ülkenin güvenli ülkeler listesinde bulunmaması durumunda, Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve yetkili Kuruldan izin almaları kanuni bir zorunluluktur. Kişisel verilerin sınır ötesine taşınması, veri sahibi ve kurumsal yapılar açısından aşağıda belirtilen ciddi hukuki riskleri beraberinde getirir:

  • Bireyin verisi üzerindeki münhasır haklarının zayıflaması ve yasal kontrollerin kaybedilmesi.
  • Aktarım yapılan yabancı ülkenin kendi iç mevzuatına ve istihbarat uygulamalarına tabi olunması.
  • Hedef ülkeyle yaşanabilecek siyasi krizler veya ambargo kararları neticesinde verilere erişimin tamamen engellenmesi.
  • Biyometrik ve genetik gibi özel nitelikli kişisel verilerin uluslararası şirketlerin ticari analizlerinde izinsiz kullanılması.

Bu yasal ve yapısal riskleri asgariye indirmek adına, aktarım sırasında internet altyapısındaki zafiyetlere karşı verilerin güçlü algoritmalarla kriptolanması (şifrelenmesi) temel bir gerekliliktir.

Spor salonu girişte parmak izimi istiyor, vermek zorunda mıyım? expand_more
Kanunlarımıza göre parmak izi gibi biyometrik veriler özel nitelikli kişisel veri sayılır ve işlenmesi kural olarak mutlak surette açık rızanıza tabidir. Biyometrik verilerin çalınması veya kopyalanması, yapısı gereği değiştirilemez oldukları için veri sahibi açısından ömür boyu sürecek geri dönülemez zararlar doğurabilir. Hizmetin sunulması için kesin bir zorunluluk bulunmadığı sürece parmak izi okutulmasının dayatılması hukuka aykırıdır. Veri sorumlusu konumundaki işletme, size mutlaka alternatif bir kimlik doğrulama yöntemi sunmak zorundadır.
Şirket verilerini yabancı bir bulut servisine taşısak yasal sorun yaşar mıyız? expand_more
Kişisel verilerin yurtdışına aktarılması kanunlarımızda sıkı kurallara bağlanmış olup, kural olarak ilgili kişilerin açık rızasının alınmasını gerektirir. Küresel bulut bilişim servisleri kullanıldığında veriler sınır ötesine çıkmış kabul edildiğinden, şirketinizin özel bir aydınlatma süreci yürüterek yasal izinleri alması şarttır. Verilerin aktarılacağı ülke güvenli ülkeler listesinde değilse, ilgili ülkedeki ve Türkiye'deki veri sorumlularının yeterli korumayı yazılı taahhüt etmeleri ve Kuruldan izin almaları yasal bir zorunluluktur. Bu kurallara uyulmadığında şirketiniz hukuki yaptırımlarla karşılaşabilir ve olası siyasi krizler veya ambargolar neticesinde şirket verilerinize erişiminiz tamamen engellenebilir.
İnternetteki uzun sözleşmelerde gizlenen rıza metinleri geçerli midir? expand_more
Hayır, uzun ve karmaşık sözleşme metinleri arasına gizlenmiş rıza beyanları kanunlarımız kapsamında doğrudan hukuka aykırılık teşkil etmektedir. Hukuken geçerli bir açık rızanın; anlaşılır ve sade bir dille yazılmış olması, belirli bir konuya ilişkin ve mutlaka özgür iradeyle verilmiş olması şarttır. Kanun, kişisel verileriniz üzerindeki münhasır hakkınızı korumak amacıyla veri işlemeyi "opt-in" yani işlemden önce özgür iradeyle onay verme kuralına bağlamıştır. İşletmelerin sizi karmaşık metinlerle yanıltarak veri işlemesi yasal sınırlara aykırıdır ve buna karşı hukuki yollara başvurma hakkınız mevcuttur.
İletişim bilgilerimi internete koydum diye şirketler bana reklam mesajı atabilir mi? expand_more
Hayır, atamazlar çünkü kişisel verilerin internette alenileştirilmiş olması, bu verilerin şirketler tarafından her amaçla serbestçe kullanılabileceği anlamına gelmez. Bireyin kendi verisini alenileştirmesi açık rıza aranmaksızın veri işlenmesine olanak tanıyan bir istisna olsa da, alenileştirme amacı dışındaki kullanımlar kanuna aykırıdır. İletişim bilgilerinizi paylaşma amacınızın dışına çıkılarak, şirketlerin bunu salt pazarlama amaçlı işlemleri hukuka aykırı kabul edilmektedir. Bu tür veri ihlallerini gerçekleştiren işletmelere ve veri sorumlularına karşı yasal haklarınızı kullanabilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir