Kişisel Verilerin Aktarılması

Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesindeki temel yükümlülüklerin yanı sıra işlenen verilerin paylaşımına yönelik düzenlemeler de yer almaktadır. Kanunda bu hususta ”kişisel verilerin aktarımı” (bknz. KVKK m 8) ve ”kişisel verilerin yurt dışına aktarılması” (bknz. KVKK m 9) şeklinde ikili bir düzenleme öngörülmüştür.

Kişisel verilerin aktarılmasına ilişkin yasal düzenleme temelinde verilerin işlenebilmesi koşullarıyla paralellik göstermektedir. Kanunun aradığı temel koşul ilgilinin açık rızasıdır. Kanunun 3.maddesinde de belirtildiği üzere burada değinilmiş olan açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.” İlgili kişinin verilerinin aktarılması ancak açık rıza alınmış olması halinde mümkündür.

Kişisel verilerin aktarılması konusunda ilgili kişinin rızasının gerekmediği istisnai durumlar ise kanunun 5. Maddesinde düzenlenmiştir. Buna göre şu şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Belirtilen şartlarda açık rıza alınmasına gerek bulunmamasına karşın dikkat edilmesi gereken husus aydınlatma yükümlülüğünün bu durumlarda da geçerliğini korumakta olmasıdır.

Açık rızanın alınmasının gerekli olmadığı hallerde dahi kanunun 10. maddesi kapsamında aydınlatma yükümlülüğü yerine getirilmelidir. Bu kapsamda, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Örneğin özlük dosyası için gerekli olan ve veri sorumlusu tarafından işlenen verilerin kanunda açıkça öngörülmüş olması sebebi ile çalışanın bu konuda açık rızasına gerek duyulmayacak olunmasına karşın kişisel verinin işlenmesine yönelik aydınlatma yükümlülüğü yerine getirilmelidir.

Kişisel verilerin yurt dışına aktarılmasını düzenleyen 9. madde incelendiğinde ilgilisinin ancak açık rızası alınmış olmak kaydıyla yurt dışına veri aktarımı yapılabileceği belirtilmiştir. Bu konuda da istisnai düzenleme yine 5.maddenin 2.fıkrası ile 6. maddenin 2.fıkrasında düzenlenmiştir. Bu kapsamda, yurt dışına aktarılacak veriler için ilgili ülkede yeterli korumanın bulunması gerekmektedir. Yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin olması gerekmektedir.

Verilerin aktarımında yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulunca belirlenerek ilan edilmektedir. Kurul, güvenli ülkeleri belirlerken:

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık
durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar vermektedir.

Görüldüğü üzere kişisel verilerin yurt dışına aktarılması konusunda veri sorumlusunun yükümlülüğü daha geniş düzenlenmiş, hatta bu yükümlülüğün bir çok veri sorumlusu tarafından belirlenmesi mümkün olmayacak ölçüde teknik kriterler öngörülmüştür. Veri sorumlusunun bu tür bir inceleme yapabilmesi her daim mümkün olamayacağından verilerin aktarılmasında özen gösterilmesi gereken husus mümkün olduğunda yurt dışına aktarılmasını engellenmesidir. Ancak günümüz şartlarında elektronik ileti hizmeti veren yurt dışı kaynaklı sağlayıcılar, cloud (bulut) teknolojisi gibi günlük hayatımızın içine kadar girmiş uygulamalar göz önüne alındığında bu hususunda mümkün olamayacak ölçüde zor olduğu ortadadır.