Makale
KVKK madde 9 uyarınca kişisel verilerin yurt dışına aktarılması, kural olarak veri sahibinin açık rızası ile mümkündür. Kurul tarafından güvenli ülke listesi yayınlanmadığı için, açık rıza istisnalarına dayanan aktarımlarda yazılı taahhüt ve Kurul izni veya bağlayıcı şirket kuralları gibi hukuki güvencelerin sağlanması zorunludur.
KVKK Kapsamında Yurt Dışına Kişisel Veri Aktarımı
Günümüzde bilişim teknolojilerindeki hızlı gelişim ve internet tabanlı hizmetlerin yaygınlaşması, kişisel verilerin yurt dışına aktarılması sürecini günlük ticari ve sosyal hayatın ayrılmaz bir parçası haline getirmiştir. Akıllı telefon uygulamaları, bulut tabanlı yazılımlar ve e-posta altyapıları gibi sıkça kullanılan teknolojik araçlar, verilerin fiziki sınırları aşarak yurt dışındaki sunuculara veya veri merkezlerine aktarılmasına neden olmaktadır. Hukuki açıdan bu operasyon, verilerin bulundukları ortamdan veya yetkili kişilerden alınıp ülke sınırları dışındaki farklı bir ortama gönderilmesini ifade eder. Kişisel Verileri Koruma Kurulu incelemelerine göre, yabancı menşeli bir e-posta altyapısının kullanılması ve dijital yazışmaların dünyanın farklı yerlerindeki sunucularda tutulması dahi, yasal bağlamda doğrudan yurt dışına veri aktarımı olarak kabul edilmektedir. Bu hukuki gerçeklik karşısında, çok uluslu veya yerel şirketlerin ve tüm veri sorumlularının kişisel verilerin korunması mevzuatı çerçevesinde sınır ötesi veri trafiğini yasal usullere uygun ve güvenli bir zemine oturtmaları mutlak bir hukuki zorunluluktur.
Yurt Dışına Veri Aktarımında Açık Rıza ve Şartları
6698 sayılı Kanun bağlamında, kişisel verilerin yurt dışına aktarılabilmesi için temel ve öncelikli hukuka uygunluk sebebi, ilgili kişinin açık rızasının alınmasıdır. Veri sahibinin vereceği bu irade beyanı; mutlaka belirli bir sınır ötesi aktarım konusuna ilişkin olmalı, detaylı bir aydınlatma yükümlülüğü sürecine dayanmalı, hiçbir fiili veya psikolojik baskı altında kalmadan özgür irade ile açıklanmalı ve tereddüde yer bırakmayacak kadar net olmalıdır. Uygulamada veri sorumluları tarafından sıkça yapılan yasal bir hata, genel nitelikli yurt içi veri işleme faaliyetleri için topluca alınan rızanın sınır ötesi aktarımlar için de yeterli görülmesidir. Oysaki verilerin sınır ötesine taşınacağı veri sahibine açık, anlaşılır bir şekilde bildirilmeli ve bunun için bizzat özel bir rıza alınmalıdır. Nitekim denetleyici otorite niteliğindeki Kurul, emsal kararlarında, opt-out yöntemleriyle pasif kalarak elde edilen verilerin yabancı merkezli sunuculara aktarılmasını mevzuata açıkça aykırı bulmuştur. Bireyin aktif ve olumlu bir eylemi olmadan alınan onaysız verilerin sınır ötesine çıkarılması halinde yüksek idari yaptırımlar doğmaktadır.
Açık Rıza Olmaksızın Yurt Dışına Veri Aktarımı
Kişisel verilerin, ilgili bireyin özgür rızası aranmaksızın uluslararası dolaşıma sokulabilmesi için öncelikle mevzuatta sayılan temel veri işleme istisnalarının mevcut olması ve aktarım yapılacak yabancı yargı çevresinde yeterli korumanın bulunması kanuni bir gerekliliktir. Ancak, şirketlerin uyum süreçlerinde karşılaştıkları en büyük yapısal engellerden biri, Kişisel Verileri Koruma Kurulu tarafından henüz güvenli ülke listesinin resmi olarak ilan edilmemiş olmasıdır. Kurul tarafından ilan edilmiş bir uluslararası liste bulunmadığı için, hukuken dünyadaki hiçbir ülke peşinen yeterli ve güvenli korumaya sahip statüsünde kabul edilmemektedir. Bu hukuki boşluk tablosunda, verilerin güvenliğinden taviz vermeden aktarım yapılabilmesi için Türkiye'deki ve veriyi teslim alacak yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri şart koşulmuştur. Her iki tarafın imzalayacağı bu hukuki sözleşmelerin bağlayıcılık kazanması ve veri aktarımının başlayabilmesi ise mutlak surette Kurul'un resmi denetimi ve iznine tabi tutulmuştur.
Taahhütnameler ve Kurul İzni Uygulaması
Denetleyici otoritenin güvenli ülkeleri tayin etmemesi sebebiyle, açık rıza dışındaki yasal alternatifler olarak taahhütname düzenlenmesi veya çok uluslu işletmeler için bağlayıcı şirket kuralları mekanizmaları ön plana çıkmaktadır. Taraflar, ticari veri akışını yasal zemine oturtmak amacıyla karşılıklı taahhütnameler hazırlayarak resmi onay başvurusunda bulunabilirler. Kurul bu zorlu izin sürecinde; uluslararası sözleşmelerin durumunu, veri talep eden ülke ile kurulan ticari ve hukuki karşılıklılık esaslarını, aktarılacak verinin mahiyetini, korunma amaç ve süresini kapsamlı şekilde değerlendirir. Yabancı devletin veri koruma mevzuatının bağımsız bir otoriteye sahip olup olmadığı da bu incelemenin en kritik aşamasıdır. Ne var ki, uygulamada bu hukuki mekanizmanın işletilmesi, onay süreçlerinin zaman alması ve yoğun regülatif denetimler içermesi sebebiyle veri sorumluları açısından külfetli ve yorucu bir prosedür haline gelmektedir. Yine de veri ihlali riskinden kaçınmak için bu güvence adımlarının atılması mecburidir.
Özel Nitelikli Kişisel Verilerin Sınır Ötesi Aktarımı
Kanun koyucu, bireylerin manevi varlıkları ve temel haklarıyla doğrudan temas eden özel nitelikli kişisel verilerin sınır ötesi dolaşımı konusunda çok daha katı bir yasal koruma rejimi benimsemiştir. Etnik köken, siyasi düşünce, dernek üyeliği veya biyometrik veriler gibi sağlık ve cinsel hayat haricindeki hassas veriler, kanunlarda açıkça öngörüldüğü hallerde Kurul tarafından emredilen güvenlik önlemleri alınarak açık rızasız olarak yurt dışına taşınabilir. Buna karşın, mahremiyetin en üst düzeyde olduğu sağlık ve cinsel hayata ilişkin verilerin sınır ötesi trafiği, hukuken sır saklama yükümlülüğü altındaki yetkili kişi veya resmi kurumlarca yalnızca kısıtlı istisnai amaçlar dahilinde gerçekleştirilebilir:
- Kamu sağlığının etkili biçimde korunması ve sürdürülmesi
- Koruyucu hekimlik, tıbbi teşhis, tedavi ve klinik bakım hizmetlerinin yönetimi
- Sağlık hizmetlerinin ve ilgili finansman süreçlerinin genel planlanması
Tüm bu karmaşık yasal yükümlülükler haricinde, veri aktarıcılarının sınır ötesi operasyon sonrasında dahi kanuni şartların ihlal edilip edilmediğini düzenli ve periyodik olarak denetlemeleri hukuki bir mecburiyettir.