Kişisel Verilerin Yurt Dışına Aktarılması

Yazan: Av. Cankat ŞİR

Türkiye’de 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ve devamında gelen Kişisel Verileri Koruma Kurulu (Kurul) karar ve düzenlemeleri sonucunda, tüm dünyada olduğu gibi Türkiye’de de, artık kişisel verilerin işlenmesi ve aktarılması eskisi kadar kolay değil.

Öncelikle kişisel veriyi tanımlamak gerekmektedir. KVKK ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında kişisel veri “kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kimliği belirlinin ne olduğunu anlamak oldukça kolay olabilmektedir. Örneğin şu an bu yazıyı siz okurken, yazının başında ya da sonunda Av. Cankat Şir yazmaktadır. Burada üç farklı kişisel veri görmektesiniz. Birincisi “Cankat”, ismim. İkincisi “Şir”, soy ismim. Sonuncusu ise ismimin başında yer alan, mesleğimi ifade eden avukat unvanı. Örneğimin içinde aslında bilerek yaptığım bir sıralama hatası var. İsmimin başında olmasına rağmen avukat ibaresini en son açıkladım. İsim ve soy ismin kişisel veri olduğu aşikardır. Sonda belirttiğim avukat ibaresi ise aslında bazen anlaşılması zor olan “kimliği belirlenebilir” kavramını ifade etmektedir. Sokağa çıkıp avukat diye seslendiğinizde bir şey ifade etmeyecektir. (Tabi şu anda ülkemizdeki hukuk fakültesi ve avukat sayısını değerlendirdiğimzide, sokağa çıkıp avukat diye seslendiğinizde nerede olursanız olun muhtemelen birileri dönüp bakacaktır, yapmayınız.) Fakat avukat unvanını benimle iliştirdiğinizde artık mesleğimi ifade ettiğiniz için bu benim bir kişisel verim haline gelmiş oluyor. Av. Cankat dediğinizde ya da Law is Love dergisine kişisel verilerin yurt dışına aktarımına ilişkin yazı yazmış ve ismi Cankat olan avukat dediğinizde artık bu tanımlar beni ifade etmektedir ve dolayısıyla benim kişisel verimdir.

Diğer yandan, herhangi birisinin benim ismimi soy ismimi ve/veya mesleğimi bilmesi beni çok rahatsız etmez. Fakat birisi benim geçen sene halı saha maçında sol çapraz bağlarımı kopardığımı benden habersiz öğrenirse beni rahatsız eder. Muhtemelen sizlerin de benzerdir. İsminiz, soy isminiz ya da mail adresinizi birisinin bilmesi çok rahatsız etmese de hastanede gördüğünüz tedavinin, dini inancınızın ya da cinsel yöneliminizin bilinmesi sizleri rahatsız eder. İşte bu yüzden kişisel veriler kategorisine dahil ama daha sıkı şartlara tabi olan özel nitelikli kişisel veriler, sınırlı sayıda tanımlanmıştır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Girizgahtan sonra geldik kişisel verilerin yurt dışına aktarımına. Öncelikle aktarımın ne ifade ettiğini belirlemek gerekmektedir. Şüphesiz ki bir bilgiyi yurt dışında bulunan üçüncü bir kişiyle paylaştığınızda bu bir aktarımdır. Fakat biraz daha detaya girersek mesela çalıştığımız ofisteki iş arkadaşımıza, müvekkilimiz ile ilgili bir bilgiyi paylaştığımızda bu kişisel verilerin aktarımı mıdır? Cevap hem evet, hem hayır. Buradaki önemli konu, aktarılan araçtır. Eğer bu kişisel veriyi sözlü ya da fiziki olarak arkadaşımıza verdiysek, kişisel verilerin yurt dışına aktarımı söz konusu değildir. Lakin Outlook, Gmail ya da Whatsapp üzerinden gönderdiysek, bu kişisel verilerin yurt dışına aktarımıdır. Benzer şekilde ilgili bilgiyi Google Drive, OneDrive gibi sunucusu yurt dışında bulunan bulut saklama programlarına yüklediğinizde, ilgili kişisel veriyi yurt dışına aktarmış oluyorsunuz. O zaman şu sonuca varabiliriz:

1- Kişisel verilerin yurt dışında bulunan üçüncü kişilere aktarımı, kişisel verilerin yurt dışına aktarımıdır.

2- Kişisel verilerin altyapısı yurt dışında bulunan e-posta aracılığıyla bulunduğu yer önem arz etmeksizin üçüncü kişilere iletilmesi ya da sunucusu yurt dışında bulunan bulut sistemlere yüklenmesi, kişisel verilerin yurt dışına aktarımıdır.

Peki bu kişisel veriler istenildiği gibi yurt dışına aktarılabilir mi? Hayır. Her ülkede olduğu gibi Türkiye’de de KVKK kapsamında esas olan kişisel verilerin yurt dışına aktarılmamasıdır. Diğer bir ifadeyle temel kural olarak kişisel verilerin yurt dışına aktarılması yasaktır. Eğer aktarılmak isteniyorsa, birtakım koşulların yerine getirilmesidir. Bu koşullar kişisel veriler ve özel nitelikli kişisel veriler olarak ayrı ayrı ele alınacaktır.

Kişisel verinin yurt dışına aktarılabilmesi için aşağıdaki durumlardan birinin varlığı gerekir:

- İlgili kişinin açık rızasının bulunması: İlgili kişi bazı kaynaklarda veri sahibi olarak da ifade edilmektedir. Yukarıda Av. Cankat Şir örneğini verdim. Burada ben ilgili kişiyim. Bir şirket benim verimi yurt dışına aktarmak istiyorsa açık rızamı alabilir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır.

o Belirli bir konuya ilişkin olması: Açık rızayı alacak veri sorumlusu tarafından açık rıza beyanın hangi konuya ilişkin olarak istendiği açıkça ortaya konulması gerekmektedir. Örneğin sadece “kişisel verilerimin yurt dışına aktarımına izin veriyorum” yeterli değildir. “Kişisel verilerimin ticari ilişkinin kurulması ve iletişimin kurulması amacıyla yurt dışında bulunan, bulut saklama ve iletişim hizmetleri sağlayan Outlook programı aracılığıyla ABD merkezli Microsoft Corporation’a aktarılmasına rıza gösteriyorum” gibi bir ifade olmalıdır.

o Bilgilendirmeye dayalı: Yukarıda bahsettiğim rızanın dayalı olduğu bilgilendirme açık olmalıdır. Örneğin “kişisel verilerinizin yurt dışına aktarımına ilişkin rızanızı istiyoruz” geçerli bir bilgilendirme değildir. “Kişisel verilerinizin ticari ilişkinin kurulması ve iletişimin sağlanması amacıyla yurt dışında bulunan, bulut saklama ve iletişim hizmetleri sağlayan Outlook programı aracılığıyla ABD merkezli Microsoft Corporation’a aktarılmasına ilişkin rızanızı istiyoruz” gibi bir aydınlatma olmalıdır.

o Özgür irade: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Kişinin iradesini sakatlayacak her türlü fiil, kişisel verilerin işlenmesi için verdiği açık rızayı da sakatlayacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde, kişinin özgür biçimde karar vermesi mümkün değildir. Diğer yandan Kurul tarafından yayımlanan rehberlerde, iş ilişkisi kapsamında işverenin, işçiden aldığı rızanın da özgür iradeye dayanmayabileceği belirtilmektedir.

- Taahhütname: İkinci yol, açık rızaya başvurmadan, Kanun’da yer alan işleme şartlarını sağlayıp, veri aktarılacak taraf ile taahhütname imzalanması ve bunun Kurul’a onaylatılması. Örneğin, teoride, Google ile imzalanacak bir taahhütname yoluyla artık gmail üzerinden kişisel veriler hukuka uygun olarak aktarılabilecektir. Şu ana kadar sadece bir taahhütnamenin onaylandığı Kurum tarafından duyurulmuştur. Birden çok başvurunun olduğu bilinse de bunlara ilişkin olumlu ya da olumsuz bir dönüt yapılmamıştır.

- Bağlayıcı Şirket Kuralları: Yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Avrupa’da Binding Corporate Rules olarak geçen bu yöntem büyük holdingler için uygun bir yöntem olsa da başvuru süreci oldukça uzun ve masraflıdır. Avrupa Veri Koruma Otoritesi’ne göre bugüne kadar onay alan bağlayıcı şirket kuralları başvurusunun sayısı yedidir[1].

- Yeterli Korumanın Bulunduğu Ülkeler: Kanun’a göre, Kurul, yeterli korumanın bulunduğu ülkeleri açıklayacak ve bu ülkelere kişisel veri açık rıza alınmaksızın aktarılabilecekse de yeterli korumanın bulunduğu ülkeler Kurul tarafından henüz duyurulmamıştır.

Özel nitelikli kişisel veriler bakımından, aktarımın yapılacağı ülkede yeterli koruma mevcut ise, açık rıza yoksa bile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve genetik verileri işlenmesine dair kanunlarda düzenleme olması halinde yeterli korumanın bulunduğu ülkeye aktarılabilecektir. İlgili kişinin açık rızası olmaksızın sağlık ve cinsel hayata dair veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli korumanın bulunduğu ülkedeki sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum ve kuruluşlara aktarılabilecektir.

Sonuç olarak yeterli korumanın bulunduğu ülkeler mevcut olmadığından özel nitelikli kişisel veriler ancak ilgili kişinin açık rızası ile aktarılabilecektir.

İşin pratiğine gelirsek kişisel verilerin yurt dışına aktarımı kangrenleşmiş bir konudur. Veri lokalizasyonu politikası doğru bir politika olsa da en basit iletişim araçlarından, kurumsal şirketlerin kullandığı müşteri ilişkileri yazılımlarına kadar bilişim ile temas eden her uygulamanın serverlarının yurt dışında olduğu değerlendirildiğinde, daha pratiğe dönük düzenlemeler olması yerinde olacaktır. Nitekim mahalle bakkalı dışında küçüklü büyüklü her şirket öyle ya da böyle yurt dışına veri aktarıyor. Bu da Türkiye’deki tüm şirketlerin neredeyse hukuka aykırı hareket ediyor olduğu sonucunu doğuruyor. Sonuç olarak Türkiye kendi iletişim uygulamalarını güçlendirecek ve/veya iletişim hizmetleri sağlayan büyük şirketlere Türkiye’de server açtıracak ya da pratiğin, kanunla buluşması için yeni yaklaşımlar gerekecektir.

[1] https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en