Yurt Dışına Kişisel Veri Aktarımının Güncel Hukuki Rejimi

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 9. maddesinde 7499 sayılı Kanun ile yapılan değişiklikler, yurt dışına kişisel veri aktarımı alanında önemli bir hukuki reform niteliği taşımaktadır. Önceki yasal düzenlemede uluslararası veri transferleri büyük ölçüde ilgili kişinin açık rızasına dayanırken, yeni hukuki rejimde bu yaklaşım terk edilerek Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu kademeli bir aktarım sistemi benimsenmiştir. Bu yenilikçi sistem, küreselleşen dijital ekonominin ihtiyaçlarına cevap vermeyi ve kurumların sınır ötesi veri işleme faaliyetlerinde karşılaştıkları yasal belirsizlikleri aşmayı hedeflemektedir. Yeni mimaride, yurt dışına veri aktarımı temel olarak üç ana sütun üzerine inşa edilmiştir. Bu sütunlar sırasıyla; Kişisel Verileri Koruma Kurulu tarafından verilecek yeterlilik kararı, yeterlilik kararının bulunmadığı durumlarda sağlanacak uygun güvenceler ve bu iki temel mekanizmanın işletilemediği istisnai haller için öngörülen arızi aktarım koşullarıdır. Böylece, uluslararası veri akışını sağlarken veri güvenliğini tesis etmek ve kişisel veri sahiplerinin temel haklarını etkin biçimde korumak mutlak bir hukuki zorunluluk haline getirilmiştir.

Yeterlilik Kararı ile Yurt Dışına Veri Aktarımı

KVKK'nın güncellenen 9. maddesine göre, kişisel verilerin yurt dışına aktarılmasında öncelikli kural, aktarımın yapılacağı ülke, ülke içerisindeki belirli sektörler veya uluslararası kuruluşlar hakkında bir yeterlilik kararı bulunmasıdır. Kişisel Verileri Koruma Kurulu tarafından verilen bu karar, veri alıcısı konumundaki ülkenin, Türkiye'deki koruma düzeyine eşdeğer bir veri koruma standardı sağladığının resmi olarak tespiti anlamına gelmektedir. Yeterlilik kararı verilirken, aktarım yapılacak ülke ile Türkiye arasındaki karşılıklılık durumu, ilgili ülkenin bağımsız bir veri koruma otoritesine sahip olup olmadığı ve uluslararası sözleşmelere taraf olma durumu gibi hususlar titizlikle değerlendirilmektedir. Bu kararın varlığı halinde, veri sorumluları ve veri işleyenler, ilgili kişinin açık rızasına veya başkaca bir ek izne ihtiyaç duymaksızın kişisel verileri güvenle yurt dışına aktarabilmektedir. Yeterlilik kararları en geç dört yılda bir yeniden değerlendirilmekte olup, Kurul gerekli gördüğü hallerde bu kararları değiştirebilir, askıya alabilir veya tamamen kaldırabilir.

Yeterlilik Kararının Bulunmadığı Hallerde Uygun Güvenceler

Kurul tarafından alınmış bir yeterlilik kararının bulunmadığı durumlarda, yurt dışına veri aktarımı ancak taraflarca uygun güvencelerin sağlanması şartıyla gerçekleştirilebilir. Bu mekanizma, kişisel verilerin korunması düzeyinin, sınır ötesi aktarım sonrasında da kesintisiz olarak devam etmesini temin etmek amacıyla oluşturulmuştur. Bu aşamada, ilgili kişinin aktarımın yapılacağı ülkede haklarını etkin bir şekilde kullanabilmesi ve kanun yollarına başvurabilmesi temel ön koşuldur. Kanun koyucu, uygulanabilecek uygun güvence yöntemlerini tahdidi olarak saymıştır. Kurul tarafından ilan edilen standart güvence metinlerinin onaylanması bu araçlardan biridir. Ayrıca, çok uluslu şirket toplulukları için Kurul onayından geçmiş bağlayıcı şirket kuralları, yeterli korumayı sağlayan hükümlerin yer aldığı ve Kurul tarafından izin verilen yazılı taahhütnameler ile kamu kurumları arasındaki uluslararası nitelikte olmayan anlaşmalar da uygun güvence mekanizmaları arasında yer almaktadır. Bu yöntemlerle, bireylerin verilerinin yabancı yargı alanlarında dahi hukuki koruma kalkanı altında tutulması hedeflenmiştir.

İstisnai Durumlarda Arızi Veri Aktarımı

Hem yeterlilik kararının bulunmadığı hem de uygun güvencelerin sağlanamadığı durumlarda, Kanun yasa koyucu tarafından belirlenen dar kapsamlı istisnalar çerçevesinde arızi veri aktarımına müsaade etmektedir. Ancak bu yöntemin sürekli ve sistematik bir veri akışı yaratacak şekilde kullanılması hukuka aykırılık teşkil etmektedir. Arızi aktarım hallerinde aktarımı yapan taraflar, olağanüstü, tek seferlik veya öngörülemeyen durumlarda belirlenen yasal şartlara dayanarak hareket etmelidir. Bu istisnai şartlar arasında yer alan unsurlar şu şekilde sıralanmaktadır:

• İlgili kişinin, muhtemel riskler hakkında tam ve şeffaf şekilde aydınlatılması kaydıyla açık rıza vermesi.
• Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
• Bir hakkın tesisi, kullanılması veya korunması amacıyla kişisel verilerin aktarılmasının kaçınılmaz olması.
• Üstün kamu yararı gereği aktarımın zorunluluk arz etmesi.
• Fiili imkânsızlık sebebiyle rızasını açıklayamayan kişinin veya bir başkasının hayatının ya da beden bütünlüğünün korunması.

Sonraki Aktarımlar ve Veri Koruma Etki Değerlendirmesi

Yurt dışına kişisel veri aktarımı yapan kurumların sorumluluğu yalnızca ilk aktarım işlemi ile sınırlı kalmamaktadır. Yurtdışına hukuka uygun yollarla aktarılan kişisel verilerin, bu alıcı tarafından daha sonra başka bir ülkeye veya uluslararası kuruluşa aktarılması yani sonraki aktarım durumunda da Kanun'daki güvencelerin kesintisiz olarak sağlanması zorunludur. Bu bağlamda, veri aktarımı yapılan ülkenin hukuki rejiminin, kişisel veriler üzerinde yaratabileceği risklerin önceden analiz edilmesi büyük önem taşımaktadır. İlgili mevzuat, açıkça ifade etmese de GDPR standartlarında olduğu gibi bir Veri Transferi Etki Analizi yapılmasını gerektirecek nitelikte bir altyapı oluşturmuştur. Sınır ötesi transfer yapan aktörler, aktarım zincirinin her aşamasında kişisel verilerin güvenliğini temin etmek, hukuki güvenceleri alt alıcılara teşmil etmek ve olası veri ihlallerini önleyecek teknik ve idari tedbirleri kesintisiz uygulamakla yükümlüdür. Aksi takdirde, hem yerel makamlarca uygulanacak idari yaptırımlar hem de veri sahiplerinin açabileceği tazminat davaları ile karşı karşıya kalınması yasal mevzuatın doğal bir sonucudur.