Makale
Kişisel verilerin yurt dışına aktarımı ve bu süreçte ortaya çıkan yargı yetkisi çatışmaları, devletlerin egemenlik hakları bağlamında karmaşık hukuki sorunlar doğurmaktadır. Ulusal ve uluslararası mevzuat çerçevesinde, sınır ötesi veri akışının denetimi ile farklı hukuk sistemlerinin kesiştiği davaların analizi büyük önem taşımaktadır.
Sınır Ötesi Veri Aktarımı ve Yargı Çatışmaları
Küreselleşen dijital dünyada kişisel verilerin yurt dışına aktarılması, hukuki ve ticari sınırların ötesine geçen oldukça karmaşık bir yapıya bürünmüştür. Bireylerin ve kurumların etkileşimleri sonucunda oluşan bu veri akışı, devletlerin kendi egemenlik sınırları içerisindeki hukuki koruma mekanizmalarını doğrudan ilgilendirmektedir. Bir devletin sınırları içerisinde toplanan ancak farklı bir ülkedeki veri merkezlerinde muhafaza edilen verilere yönelik erişim talepleri, farklı devletlerin yargı yetkilerinin çatışmasına sebebiyet vermektedir. Gerek iç hukukumuzdaki yasal mevzuatlar gerekse uluslararası alanda kabul gören düzenlemeler, söz konusu aktarımların hukuka uygun bir şekilde gerçekleştirilebilmesi için sıkı denetim kuralları öngörmektedir. Özellikle çok uluslu şirketlerin veri işleme faaliyetlerinde hangi devletin kanunlarına tabi olacağı sorunu, devletlerin yargı haklarını koruma refleksleriyle birleştiğinde, çözümü oldukça güç uluslararası yargı uyuşmazlıklarını beraberinde getirmektedir.
KVKK Kapsamında Yurt Dışına Veri Aktarımı
Türk hukukunda kişisel verilerin sınır ötesine iletilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi ile sıkı kurallara bağlanmıştır. Verilerin yurt dışına aktarılmasında hukuki uygunluğun sağlanabilmesi için mevzuatta belli bir denetim hiyerarşisi öngörülmüştür. Bu denetim mekanizması, hem veri sorumlularının hem de veri işleyenlerin uluslararası alanda uyması gereken katı yükümlülükleri ortaya koymaktadır. 10 Temmuz 2024 tarihinde yayımlanan yönetmelik çerçevesinde, sınır ötesi aktarımın temel adımları şu şekildedir:
- Yeterlilik Kararının Bulunması: Aktarımın yapılacağı ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararının mevcut olması.
- Uygun Güvencelerin Sağlanması: Yeterlilik kararı yoksa, ilgili kişinin aktarım yapılan ülkede yasal haklarını kullanabilmesi şartıyla; bağlayıcı şirket kuralları, yazılı taahhütname veya standart sözleşmelerle uygun güvencelerin sunulması.
- İstisnai Aktarım Halleri: Yukarıdaki şartların sağlanamadığı hallerde; açık rıza, üstün kamu yararı, hukuki uyuşmazlıklarda hakkın tesisi veya fiili imkânsızlık gibi kanunda sınırlı sayılan özel durumların varlığı.
Yargı Çatışmalarını Doğuran Uluslararası Davalar
Farklı devletlerin aynı veriler üzerinde yargı yetkisi iddia etmesi, uluslararası hukukta ciddi uyuşmazlıkların temelini oluşturmaktadır. Bu durumun en belirgin örneklerinden biri, ABD ile Microsoft arasında yaşanan uyuşmazlıktır. Davada, ABD makamları Depolanan İletişimler Kanunu kapsamında bir ceza soruşturması için Microsoft'tan İrlanda'daki veri merkezlerinde saklanan e-posta içeriklerini talep etmiştir. Microsoft ise bu verilerin ABD dışında olduğunu ve teslim edilmesinin İrlanda hukukunu ihlal edeceğini savunmuştur. Benzer bir yargı yetkisi tartışması, Walsh v. National Irish Bank LTD davasında da yaşanmıştır. İrlanda Gelir İdaresi Başkanlığı, Man Adası'nda bulunan bir banka şubesinden vergi soruşturması kapsamında müşteri bilgilerinin ifşasını istemiş, ancak Yüksek Mahkeme bu talebin Man Adası'nın egemen yargı yetkisine saygısızlık teşkil edeceğini ve yargı sisteminin bütünlüğünü bozacağını belirterek reddetmiştir. Bu davalar, sınır ötesi veri taleplerinin doğrudan veya dolaylı olarak nasıl yargı çatışmalarına yol açtığını açıkça göstermektedir.
Bölgesel Düzenlemeler ve GDPR'ın Etkisi
Yargı çatışmalarının çözümünde ve sınır ötesi veri akışının denetiminde bölgesel mevzuatların, özellikle de Avrupa Birliği'nin Genel Veri Koruma Tüzüğü'nün (GDPR) rolü büyüktür. GDPR, yalnızca birlik içindeki veri sorumlularını değil, aynı zamanda birlik dışındaki aktörlerin faaliyetlerini de kapsayacak şekilde genişletilmiş bir bölgesel kapsam benimsemiştir. Tüzüğün 48. maddesi, birlik dışına veri aktarımında yabancı mahkeme kararlarının nasıl tanınacağını açıkça düzenlemiştir. İlgili madde uyarınca, üçüncü bir ülkenin idari makamı veya mahkemesi tarafından istenen veri açıklamaları, ancak talepte bulunan ülke ile Birlik arasında yürürlükte olan bir uluslararası anlaşmaya dayanması hâlinde geçerli ve uygulanabilir kabul edilmektedir. Bu düzenleme, devletlerin birbirlerinin yargı yetkisine tek taraflı olarak müdahale etmesini engellemeyi amaçlamakta olup, verilerin korunmasında idari ve adli taleplerin hukuki zeminde çözümlenmesini zorunlu kılmaktadır.