Makale
KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılması ve Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı, 7499 sayılı Kanun değişiklikleri ışığında incelenmektedir. Yeterlilik kararının şartları, karşılıklılık ilkesi ve veri güvenliğine etkileri hukuki bir perspektifle ele alınmıştır.
KVKK Madde 9 Kapsamında Yurt Dışına Veri Aktarımı ve Yeterlilik Kararı
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişisel verilerin yurt dışına aktarılması, gelişen teknoloji ve küreselleşen ticari hayatın kaçınılmaz bir sonucu olarak büyük bir hukuki önem taşımaktadır. KVKK'nın 9. maddesi, yurt dışına veri aktarımı konusunda temel kuralları belirlerken, veri sahiplerinin haklarını uluslararası boyutta da güvence altına almayı hedefler. Yakın zamanda yürürlüğe giren 7499 sayılı Kanun ile yapılan değişiklikler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ile uyumu artırmış ve yeterlilik kararı müessesesini yeniden şekillendirmiştir. Bu yeni düzenleme ışığında, aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilecek yeterlilik kararı, veri aktarımının hukuka uygunluğu açısından temel bir ön koşul haline gelmiştir. Bu yazımızda, uzman bir KVKK avukatı perspektifiyle, yeterlilik kararının hukuki doğası, bu kararın alınmasında rol oynayan kriterler ve yurt dışına aktarımın genel çerçevesi analiz edilmektedir.
Yurt Dışına Veri Aktarımında Temel Yaklaşım
KVKK, yurt dışına veri aktarımı hususunda, verilerin serbest dolaşımı ile kişi haklarının korunması arasında bir denge kurmayı hedefleyen koşullu sınırlandırma yaklaşımını benimsemiştir. 7499 sayılı Kanun ile değişen madde 9 uyarınca, kişisel veriler, ancak Kanun'un ilgili maddelerinde belirtilen temel işleme şartlarından birinin varlığı ve aktarımın yapılacağı yer hakkında yeterlilik kararı bulunması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. Önceki düzenlemede yalnızca ülkeler için öngörülen bu karar mekanizması, artık ülke içerisindeki belirli sektörler veya uluslararası kuruluşları da kapsayacak şekilde genişletilmiştir. Bu esneklik, Kurul'a somut ihtiyaçlar doğrultusunda nokta atışı kararlar alma yetkisi tanımakta ve uluslararası veri akışını hukuki bir güven zeminine oturtmaktadır. Dolayısıyla, yeterlilik kararının varlığı, veri sorumluları için ek bir idari izne gerek kalmaksızın ve istisnai yollara başvurulmaksızın hukuka uygun veri aktarımının ana rotasını oluşturmaktadır.
Yeterlilik Kararının Hukuki Niteliği ve Geçerlilik Süresi
Kişisel Verileri Koruma Kurulu tarafından verilen yeterlilik kararı, aktarım yapılacak destinasyonda kişisel veriler için etkin ve yeterli bir koruma kalkanı bulunduğunu tescil eden resmi bir idari işlemdir. Kanun koyucu, uluslararası hukuktaki hızlı değişimleri ve teknolojik gelişmeleri dikkate alarak bu kararların kalıcı olmadığını hüküm altına almıştır. KVKK madde 9/2 uyarınca, alınan yeterlilik kararları en geç dört yılda bir değerlendirmeye tabi tutulur. Bu süre düzenleyici nitelikte olup, Kurul gerekli gördüğü hallerde dört yıllık sürenin dolmasını beklemeden de inceleme yapma yetkisine sahiptir. Yapılan bu periyodik veya istisnai değerlendirmeler neticesinde Kurul, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya tamamen kaldırabilir. Bu dinamik yapı, sınır ötesi veri güvenliğinin zamanın gerisinde kalmasını engelleyen ve veri sorumlularının uyum süreçlerini sürekli güncel tutmalarını gerektiren hayati bir hukuki mekanizmadır.
Yeterlilik Kararı Verilirken Dikkate Alınan Temel Kriterler
Yabancı bir ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı verilirken Kurul'un dikkate alacağı objektif kriterler KVKK madde 9/3 içerisinde tahdidi olmamak kaydıyla açıkça sayılmıştır. Kurul'un güvenli bir veri aktarım koridoru açarken dayandığı bu temel hukuki kriterler şunlardır:
- Aktarım yapılacak merci ile Türkiye arasındaki karşılıklılık durumu,
- İlgili ülkenin veya kuruluşun tabi olduğu veri koruma mevzuatı ve kuralları,
- Aktarım yapılacak yerde bağımsız ve etkin bir veri koruma otoritesinin ve başvuru yollarının varlığı,
- İlgili aktarım noktasının uluslararası sözleşmelere taraf olma veya küresel örgütlere üye olma durumu,
- Türkiye'nin taraf olduğu uluslararası sözleşmeler. Bu kriterler arasında özellikle karşılıklılık ilkesi, Kurul'un mevcut uygulamalarında ve uluslararası müzakerelerinde en ön planda tuttuğu stratejik bir unsurdur. İlgili ülkenin iç hukukundaki veri koruma standartlarının, asgari olarak KVKK normlarına eşdeğer bir güvence sağlaması hedeflenmektedir.