Kanunda kişisel verilerin hangi şartlar altında yurtiçine aktarılabileceği belirtilmiştir. Kanun, daha önceki başlıklarda incelemiş olduğumuz kişisel verilerin işlenmesi şartları ile bu verilerin yurtiçine aktarılması konusunda aynı şartları aramaktadır. Ancak kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir.
Kişisel veri aktarımı Kanun ‘da, temel olarak kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir. Ancak Kanun açık rıza şartı dışında da yurtiçine veri aktarımını düzenlemiştir. Bu düzenlemeye göre, Kanunun 5. maddesi ile ve 6. maddesindeki şartların sağlanması halinde (yeterli önlemlerin alınması kaydıyla) kişisel verilerin açık rıza aranmaksızın yurtiçinde aktarılmasına da imkân tanınmıştır.
Kişisel Verilerin Korunması Kanunu ve Yurtiçine Veri Aktarımı İle İlgili Madde 5, 6 ve 8
Kişisel Verilerin İşlenme Şartları
MADDE 5
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
MADDE 6
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel Verilerin Aktarılması
MADDE 8-
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6. maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Yani eğer ki ilgili kişiden alınan bir açık rıza beyanı yok ise yurt içindeki her türlü veri aktarımı için Kanunun 8. maddesinde yer alan düzenlemelerin uygulanması gerekmektedir.
A-Açık Rıza Beyanının Varlığı Halinde
Buna göre genel ve özel kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabilmektedir. Yani ilgili kişiden ( personel adayı, personel, müşteri vb.) alınan açık rıza beyanı içerisinde veri aktarımı ile ilgili bir başlığın bulunması ve bu başlık altında hangi kişisel verilerin hangi amaçla kime/kimlere aktarılacağı belirtilmelidir. Eğer ki kişisel veri aktarımı yapılan gerçek veya tüzel üçüncü kişiler değişir ise her seferinde açık rıza beyanı almak yerine veri sorumlusu kendisine ait internet sitesinde veri aktarımı yapılan gerçek veya tüzel üçüncü kişileri belirtebilir. Aktarım yapılan kişilerde değişiklik olması halinde bu değişikliği internet sitesi üzerinden duyurabilir. Yani ilgili kişinin bir şekil de aktarım yapılan yeni üçüncü kişileri görmesi sağlanmalı ve bu bilgiler güncel tutulmalıdır.
Örnek
Açık Rıza Beyanının Varlığı Halinde
1- A şirketi personeline veya müşterisine ait kişisel verileri Tedarikçileri ile
2- A şirketi personeline veya müşterisine ait kişisel verileri lojistik firmaları ile
3- A şirketi personeline veya müşterisine ait kişisel verileri etkinlik şirketleri ile
4- A şirketi personeline veya müşterisine ait kişisel verileri dijital ajanslar ile
5- A şirketi personeline veya müşterisine ait kişisel verileri seyahat edilecek havayolu şirketi ile
6- A şirketi personeline veya müşterisine ait kişisel verileri konaklanacak otel ile
7- A şirketi personeline veya müşterisine ait kişisel verileri çağrı merkezi ile
8- A şirketi personeline veya müşterisine ait kişisel verileri denetim şirketleri ile
9- A şirketi personeline veya müşterisine ait kişisel verileri bankalar ile
10- A şirketi personeline veya müşterisine ait kişisel verileri finans kuruluşları ile
11- A şirketi personeline veya müşterisine ait kişisel verileri sigorta şirketleri ile
12- A şirketi personeline veya müşterisine ait kişisel verileri hukuk, vergi vb. alanlarda destek alınan danışmanlık firmaları ile
13- A şirketi personeline veya müşterisine ait kişisel verileri sair iş ortakları ile iştirakleri ile
14- A şirketi personeline veya müşterisine ait kişisel verileri yurtiçinde bulunan depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, program, bulut bilişim), güvenlik, çağrı merkezi, satış, pazarlama gibi alanlarda dışarıdan hizmet alınan üçüncü kişiler ile paylaşabilir.
B-Açık Rıza Beyanının Yokluğu Halinde
Kişisel veriler Kanun’ en sadece gerçek kişilere ait verilerdir. Veri sorumlusu ve veri işleyen hem gerçek hem de tüzel kişi olabilmektedir. Kişisel verilerin yurtiçinde aktarımı ya iki veri sorumlusu, ya da veri sorumlusu ve veri işleyen arasında gerçekleştirilecek olup, yurt içindeki her türlü veri aktarımı için Kanunun 8. maddesinde yer alan düzenlemelerin uygulanması gerekmektedir.
1-Genel Kişisel Verilerin Yurtiçinde Aktarılması
Kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Örnek
A şirketi açık rıza beyanının yokluğu halinde hukuken yetkili kamu kurumları ve özel kişi ve kurumlar ile paylaşılabilir.
· A şirketi, ilgili kişiden açık rıza beyanı almamış olsa bile Sosyal Güvenlik Kurumu tarafından kendisinden istenen personel verilerini yasal yükümlülüğü sebebiyle paylaşabilir.
· A şirketi ilgili kişiden açık rıza beyanı almamış olsa bile herhangi bir mahkeme tarafından istenen kişisel verileri yasal yükümlülüğü sebebiyle paylaşabilir.
Ancak A şirketi tüm bu veri aktarımlarını yaparken Kişisel Verilerin Korunması Kanunu madde 5. ‘ de sıralanan işleme şartları çerçevesi dışına çıkmamalıdır. Bu sebeple kişisel verilerin gerekli iş ve işlemler için ve madde 5 ‘ de sıralanan şartlar çerçevesinde paylaşmalıdır. Bunlar dışında fuzuli ve gereksiz veri paylaşımında bulunmamaya mümkün olduğunca dikkat etmelidir.
2- Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Şirketlerin Dikkat Etmesi Gerekenler
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu olan şirketler Kanun’ un madde 8 / 2-b ‘ de ifade edilen ‘’ yeterli önlemin alınması kaydı ile ‘’ ibaresine dikkat etmelidir.
Veri sorumlusu olan şirketlerin yükümlülüklerinden olan idari ve teknik önlemlerin alınması zorunluluğu kendisi yurtiçine veri aktarımında da göstermektedir. Yurtiçine veri aktarımında özellikle teknik tedbirlerin özenle yerine getirilmesi gerekmektedir.
Ayrıca şirketlerin dikkat etmesi gereken konulardan birisi de veri sorumlusu sıfatına sahip bir şirket bünyesi içerisinde gerçekleşen veri aktarımı, Kanunun 8. maddesi çerçevesinde veri aktarımı olarak değerlendirilemez. Yani bir personelin içerisinde kişisel veri olan bir maili müdürüne göndermesi veri aktarımı olarak nitelendirilmemektedir.
Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda aktarım sayılmaz. Ancak, şirketler topluluğu altında yer alan farklı şirketler arasında veri aktarımı gerçekleştirilmesi ise Kanunun 8. maddesi kapsamında veri aktarımı yapılması anlamına gelmektedir. Sebebi ise farklı tüzel kişilikler arasında aktarımın yapılmasıdır. Yani bir tüzel kişi bünyesinde farklı birimler arasında veri paylaşımı yapılmasının aksine, aynı şirketler topluluğu bünyesinde yer alan farklı tüzel kişiler arasında veri aktarımı gerçekleştirilmesi, 8. madde kapsamında veri aktarımı sayılacaktır.
Bunun yanı sıra kamu kurum ve kuruluşları arasında ve/veya kamu kurum ve kuruluşları ile gerçek kişiler ve özel hukuk tüzel kişileri arasında gerçekleşecek veri aktarımları da Kanunun 8. maddesi kapsamında veri aktarımı olarak değerlendirilecektir.
Veri sorumlusu olan şirket personellerinin iş hayatında sıkça yaptığı ve dikkat etmesi gereken noktalardan biriside şirket mail adresi içinde kişisel veri içeren bir mailin şahsi bir mail adresine gönderilmesidir.
Örneğin
A şirketinin, çalışan adaylarına karşı iş başvurusu kapsamında, açık rıza beyanı ve aydınlatma yükümlülüğünü genel olarak yerine getirdiğini varsayalım.
A şirketinde insan kaynakları müdürü olarak görev yapan B isimli müdür, şirket prosedürü gereği şirket mail adresini mesai saatleri dışında kullanamamaktadır. B isimli insan kaynakları müdürünün şirket mail adresine, A şirketine iş başvurusunda bulunmuş 3 yeni çalışan adayının CV ‘ si gönderilmiştir. B, Kendisine mail olarak gönderilen CV’ leri mesai saatleri içerisinde iş yoğunluğu sebebiyle inceleyememiştir. Bu sebeple mesai saatleri dışında inceleme yapabilmek için CV’ leri şahsi mail adresine aktarmıştır.
Eğer ki A şirketi genel olarak uyguladığı açık rıza beyanı ve aydınlatma yükümlülüğünde bu duruma değinmemiş ise yukarıda anlatılan veri aktarımı KVKK kapsamında ihlal niteliğindedir.
Comments