Makale

Kişisel verilerin yurtdışına aktarılması sürecinde, aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararı bulunmaması uygulamada sıkça karşılaşılan bir durumdur. Bu gibi spesifik durumlarda, veri sorumluları ve veri işleyenlerin uluslararası veri transferini hukuka uygun şekilde gerçekleştirebilmeleri için Kanun'da sayılan uygun güvencelerden birini sağlaması gerekmektedir. 7499 sayılı Kanun ile KVKK madde 9'da yapılan ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumu amaçlayan değişiklikler, bu hukuki çerçeveyi yeniden şekillendirmiştir. Bu yeni düzenleme uyarınca, yeterlilik kararının bulunmadığı hallerde aktarım yapılabilmesi için, veri sahibinin aktarım yapılacak ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması zorunlu bir ön şart olarak aranmaktadır. Hukuki bir perspektifle değerlendirildiğinde, küresel çapta ticari faaliyet yürüten şirketlerin idari yaptırımlardan kaçınmaları için sınır ötesi veri akışlarındaki güvence mekanizmalarını doğru kurgulamaları hayati önem taşır.

KVKK Kapsamında Sağlanabilecek Uygun Güvenceler

Yeterlilik kararının bulunmadığı durumlarda uluslararası veri aktarımının yasal zeminini oluşturmak üzere KVKK'nın 9. maddesinin 4. fıkrasında çeşitli uygun güvence mekanizmaları düzenlenmiştir. Bu mekanizmaların temel amacı, yurtdışına çıkan kişisel verilerin, ulusal sınırların ötesinde de Türk hukuku standartlarına eşdeğer bir koruma kalkanı altında tutulmasını mutlak surette garanti etmektir. Veri aktaran ile alıcı arasında tesis edilecek bu güvenceler, hukuki niteliklerine göre Kurul onayına veya bildirim usulüne tabi tutulmuştur. İlgili hukuk uygulamaları bağlamında ele alındığında, şirketlerin kurumsal yapılarına, iştirak ağlarına veya veri akışının sıklığına göre en uygun mekanizmayı seçmeleri stratejik bir değer taşır. Kanun koyucu, uluslararası sözleşme niteliğinde olmayan anlaşmalardan, özel teşebbüsler arasındaki sözleşmelere kadar son derece geniş bir yelpazede hukuki enstrümanlar sunmuştur. Bu güvencelerin uygulanabilmesi için her halükarda genel veri işleme şartlarından birinin gerçekleşmiş olması aranmaktadır.

Standart Sözleşmeler ve Bağlayıcı Şirket Kuralları

Sınır ötesi kurumsal veri akışlarında en çok tercih edilecek esnek mekanizmalardan biri, Kurul tarafından ilan edilen standart sözleşmeler aracılığıyla sağlanan güvencedir. Veri kategorileri, aktarım amaçları, alıcı grupları ile alınacak teknik ve idari tedbirleri kapsayan bu sözleşmelerin imzalanması halinde, önceden idari bir izin alınmaksızın aktarım gerçekleştirilebilir. Ancak, hukuki bir geçerlilik şartı olarak bu sözleşmelerin imzalanmalarından itibaren beş iş günü içinde Kuruma bildirilmesi emredici bir kuraldır. Öte yandan, çok uluslu ve ortak ekonomik faaliyette bulunan teşebbüs grupları için bağlayıcı şirket kuralları son derece işlevsel ve kalıcı bir yöntemdir. Bu kural setleri, grup içerisindeki tüm şirketleri bağlayıcı nitelikte kurgulanmalı ve Kurul tarafından resmen onaylanmalıdır. Bağlayıcı şirket kurallarına dayalı aktarımlar, çok uluslu şirketlerin karmaşık veri trafiğini tek bir hukuki şemsiye altında toplayarak operasyonel maliyetleri düşürür ve uyumluluğu artırır.

Taahhütnameler ve Kurum İzni

Yeterli korumanın bulunmadığı ülkelere veri aktarımında kullanılan bir diğer önemli güvence mekanizması ise yeterli korumayı sağlayacak standart hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve bu taahhütnameye istinaden Kurul tarafından aktarıma izin verilmesi usulüdür. Bu yöntem, standart sözleşmelerin kullanılamadığı veya bağlayıcı şirket kurallarının tesis edilemediği özellikli veri aktarım senaryolarında veri sorumluları tarafından kurtarıcı bir enstrüman olarak kullanılır. Hazırlanacak taahhütnamelerde, kişisel verilerin niteliği, işlenme süresi ve alıcı ülkede alınacak taahhütlü önlemler detaylandırılmalıdır. Kurul, izin başvurusunu değerlendirirken aktarım yapılacak ülkenin mevzuatını, idari uygulamalarını, hukuki karşılıklılık durumunu ve somut aktarımın taşıdığı riskleri bir bütün olarak analiz eder. İzin sürecinin detaylı incelemeye tabi olması sebebiyle, taahhütnamelerin güçlü hukuki argümanlarla hazırlanması uygulamada avukatların en hassas yaklaşması gereken konuların başında gelir.

Uygun Güvencelerin Bulunmadığı Arızi Aktarım İstisnaları

Yeterlilik kararının tahsis edilmediği ve Kanun'da açıkça öngörülen uygun güvence mekanizmalarının (standart sözleşme, bağlayıcı şirket kuralları, taahhütname vb.) fiilen sağlanamadığı son çare durumlarında, kişisel verilerin yurt dışına aktarılabilmesi ancak arızi olmak kaydıyla belirli istisnai hallere dayandırılabilir. Hukuki uygulamalarda "arızi aktarım" kavramı; sistematik, düzenli ve sürekli olarak tekrarlanmayan, istisnai ihtiyaçlardan doğan anlık veri akışlarını ifade eder. KVKK'nın 9. maddesinin 6. fıkrasında sınırlı sayıda (tahdidi) sayılan bu istisnai durumların herhangi birinin varlığı, veri aktaran taraflara acil hukuki işlemlerinde dar bir hareket alanı tanımaktadır. İstisna normlarının dar yorumlanması ilkesi gereği, bu maddelere dayanılarak sürekli bir veri aktarım kurgusu yapılamaz. Belirtilen sıkı hukuki koşullar altında geçerli olan istisnai aktarım halleri Kanun'da şu şekilde listelenmiştir:

• İlgili kişinin, aktarımın muhtemel riskleri hakkında önceden aydınlatılarak bilgilendirilmesi şartıyla, söz konusu aktarıma açık rıza vermesi.
• Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için hukuken zorunlu olması.
• İlgili kişi yararına, veri sorumlusu ile üçüncü bir kişi arasında yapılacak sözleşmenin kurulması veya ifası için sınır ötesi aktarımın zorunlu olması.
• Kişisel verilerin aktarılmasının, yasal düzenlemelerde karşılığını bulan üstün bir kamu yararı sebebiyle kesin bir zorunluluk arz etmesi.
• Bir hakkın tesisi, kullanılması veya korunması amacıyla verilerin yargı veya idari merciler nezdinde paylaşımının zorunlu olması.
• Fiili imkânsızlık sebebiyle rızasını açıklayamayan kişinin veya üçüncü bir şahsın hayatı ya da beden bütünlüğünün korunması için verilerin aktarılması.
• Mevzuattaki şartları fiilen sağlamak ve resmi olarak talep etmek kaydıyla, kamuya veya meşru menfaati bulunanlara açık bir sicilden veri aktarımı yapılması.