Yurtdışına veri aktarımı, Kişisel Verilerin Korunması Kanunu 9. Maddesinde düzenlenmiştir.
Kişisel Verilerin Yurt Dışına Aktarılması
MADDE 9-
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ancak kişisel verilerin yurt dışına aktarılmasında Kanun ek tedbirlerin alınmasını istemiştir.
Öncelikle belirtmek gerekir ki Kişisel Verilerin Yurt Dışına Aktarılması başlıklı 9. madde de dikkat edilmesi gereken en önemli nokta ’’ Yeterli Korumanın Bulunduğu Ülkeler ’’ in Kurulca belirlenerek ilan edilmesidir.
Kanun, Kişisel Verileri Koruma Kurulu’na yurt dışına yapılacak olan kişisel veri aktarımlarında ilgili kişinin zarar görmemesi için aktarımı onaylama veya yasaklama imkânı vermiştir. Türkiye’ nin taraf olduğu uluslararası anlaşmaların kapsamına giren durumlarda Kurul’ un onay mekanizması çalışmamaktadır.
Kanun’ un 9. Maddesinde de anlaşılacağı üzere ilk olarak açık rıza beyanı olması halinde kişisel verilerin yurtdışına aktarılabileceği belirtilmiştir. Açık rıza beyanının varlığı halinde artık başka bir şart koşulmamıştır.
Ancak açık rıza beyanı yok ise belli şartlar ile kişisel veri yurtdışına aktarılabilmektedir. Kanun kişisel verilerin yurt dışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A-Yeterli Korumaya Karar Verilmesi
Kişisel verilerin yurt dışına aktarılmasında ilgili ülkede yeterli koruma bulunup bulunmadığına, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurt dışına aktarılmasına Kurul;
• Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
• Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
• Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
• Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
• Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
B-Yeterli Korumanın Bulunması Hali
Yeterli korumanın bulunması halinde ve aşağıdaki şartların varlığıyla kişisel verilerin yurtdışına aktarımı gerçekleştirilebilecektir.
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
C- Yeterli Korumanın Bulunmaması Halinde
• Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin gerçekleşmesi,
Kişisel Verilerin İşlenme Şartları
MADDE 5
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
MADDE 6
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
• Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hallerinde yurt dışına aktarılabilmektedir.
Şirketlerin Dikkat Etmesi Gerekenler
Yurtdışına veri aktarımının gösterildiği tabloda bahsedilen taahhütler ile ilgi olarak Kişisel Verileri Koruma Kurulu kvkk.gov.tr adresinde Veri Sorumlusundan Veri Sorumlusuna Aktarım ve Veri Sorumlusundan Veri İşleyene Aktarım olmak üzere iki örnek taahhüt yayınlamıştır. Kurul tarafından yayınlanan örnek taahhütler aşağıdadır.
Comments