Bilişim, Medya ve Fikri Mülkiyet

KİŞİSEL VERİLERİN YURTDIŞINA AKTARIMINDA YENİ DÖNEM

Yurtdışına veri aktarımı yapılması hususundaki Taahhütname, 6698 sayılı Kişisel Verilerin Korunması Kanununun 9. maddesinin 2. fıkrasının (b) bendi kapsamında Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından değerlendirilmiş ve söz konusu veri aktarımına 09.02.2021 tarihinde Kurul tarafından izin verilmiştir. 

Emsal niteliğindeki bu kararla birlikte Veri Sorumlularının yurtdışına veri aktarımlarında her bir veri sahibinden açık rıza almalarından ziyade, veri alıcı grupları ile imzalayacakları Taahhütnamenin Kurul tarafından değerlendirilmesi ve Kurul’un yurtdışı veri aktarımına izin vermesi yolu ile çok daha pratik biçimde aktarım yapabilmelerinin önü açılmıştır.   

Yurtdışına Veri Aktarımı Koşulları Neydi?

Kişisel verilerin yurtdışına aktarım koşulları 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) üç temel alternatif ile belirtilmektedir. Kişisel verinin yurt dışına aktarılabilmesi Kanunun 9 uncu maddesine göre; (i) ilgiliden yurtdışına aktarım için açık rıza alınması, (ii)aktarım yapılacak ülkenin Kurul tarafından yeterli korumaya sahip ülkelerden sayılması veya (iii) yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması koşullarından birinin varlığı halinde yurtdışına kişisel veri aktarımı yapılabilmektedir.

Kanunun yürürlüğe girdiği 2016 yılından beri Kurul herhangi bir ülkeyi “yeterli korumaya sahip” ülke olarak kabul etmediği gibi yeterli korumaya sahip olmayan ülkelere Taahhütnameler veya bağlayıcı şirket kuralları başvuruları ile veri aktarımı konularında sessizliğini korumakta idi. Her ne kadar Kanun’da yurtdışına aktarım için, veri sahibinden açık rıza alınması seçeneğinin yanı sıra alternatif düzenlemeler bulunsa da Kurul’un 09.02.2021 tarihli yurtdışına aktarıma izin kararına kadar bu alternatifler uygulama alanı bulamadı. Herhangi bir kurumda sıklıkla kullanılmakta olan en basit CRM yazılımlarının dahi yurtdışı serverlarına sahip olduğu ve bu şekilde her gün hemen her şirketin büyük ölçekte yurtdışına veri aktarımı yaptığı düşünüldüğünde her bir ilgiliden tek tek açık rıza alınmasının uygulanabilir olmadığı ortadadır.

Ancak Kurul’un söz konusu kararı ile bir Araç Filo Kiralama Şirketi tarafından yurt dışına kişisel veri aktarımı yapılması hususundaki taahhütname başvurusunu değerlendirip, Taahhütname ile yurtdışına veri aktarımına izin vermesi, yurtdışına kişisel veri aktarımında yeni bir döneme girileceğine işaret ediyor.

Bu kararla birlikte yurtdışına veri aktarımı için uygulamada karşılık bulan tek yöntem olan her ilgiliden açık rıza alınması yöntemi, yerini veri aktaran ve veri alıcı grupları arasında akdedilecek, Taahhütnamelere ve bağlayıcı şirket kuralları başvurularına bırakacak gibi görünüyor.

Yurtdışı Aktarımına İzin Konusunda Kurum Ne Diyor?

Yurtdışı kişisel veri aktarımı için alınacak izinler de özellikle Kurum’un resmî web sitesinde bulunan rehber metinlerin kullanılması, açıklamalara dikkat edilmesi gerekir. Bu kapsamda hazırlanacak Taahhütnamelerde resmî web sitesinde yer alan Taahhütname örneklerinde yer alan hükümlere her halükârda yer verilmesi büyük önem arz edecektir. Başvuru yapılırken veri sorumlusunu temsil ve ilzama yetkili (başvurmaya yetkili kişinin) kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair belgelerin başvuruya eklenmesi, yabancı dildeki her belgenin noter onaylı çevirisinin yapılması gerekecektir.

Başvuruda en önemli noktalardan biri de hangi kişisel verilerin hangi alıcı guruplarına, hangi amaç ve hukuki sebepler kapsamında aktarıldığının net ve detaylı biçimde belirtilmesi, özellikle veri kategorisi bölümlerinde muğlak ifadelerden kaçınılması ve kategori altında aktarımı yapılacak veri tiplerinin belirtilmesi (örneğin kimlik veri kategorisi altında: isim, soy isim, TC Kimlik No gibi alt kategorilerin belirtilmesi) tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve Taraflar arasındaki ilişkinin şayet mevut ise belgeler ile teyit edilmesi olacaktır.

Sonuç

Kurul tarafından ilk defa Taahhütname başvurusunun değerlendirilip yurtdışına aktarım için izin verilmesi, ticari ve opreasyonel faaliyetlerinde yurtdışına veri aktarımı oldukça yoğun olan kurumlar için büyük bir gelişmedir. Kabul edilen taahhütname ile yurtdışı veri aktarımı izin başvurularının önü açılmıştır. Bu itibarla vakit kaybetmeden yurtdışına kişisel veri aktarmakta olan tüm kurumların izin başvuruları için gerekli çalışmalara başlamasını tavsiye ederiz.

 

Avukat Ekim Bayram

Bize Soru Sorun

Bir Uzmanla Görüşün