Av.Ayşe Hüma Lofça

Genel Bilgi

»Günümüzde doğrudan yabancı yatırım Türkiye de dahil olmak üzere her ülkenin ekonomisinde zorunlu bir unsur haline gelmiştir. Ülkeler yurtdışında yatırım yaparken, kişisel verileri işler. Veri korumanın önemi arttıkça, yabancı yatırımcılar uluslararası aktarılan veriler ve uygulanacak kurallar ile ilgili sorularla baş başa kalır. Bu makalede, Türkiye’den yurt dışına aktarılabilecek kişisel verilerin kapsamı ve 24/3/2016 tarihli ve 6698 sayılı “Kişisel Verilerin Korunması Kanunu” irdelenecektir.

»Türkiye’de yapılan yabancı yatırımlar, Türkiye’de uygulanan kişisel veri koruma hükümleri göz önünde bulundurularak yapılmalıdır. Yatırımcıların kendi ülkelerinden işçi getirmeleri, Türk veya yabancı işçi istihdam etmeleri fark etmeksizin çeşitli kişisel veri türleri Türkiye’de işlenecek ve böylece Türk veri tabanının bir parçası haline gelecektir. Bu durumda, doğrudan yabancı yatırımcılar verinin işlenmesi ve aktarımı sırasında Türk hukukunu göz önünde bulundurmalıdırlar.

Kişisel Verilerin Korunması Kanunu

»Kişisel Verilerin Korunması Kanunu’nun 9. Maddesi, yurt dışına veri aktarımı kuralını ortaya koymaktadır. Söz konusu maddenin birinci fıkrasına göre kişisel veriler yurt dışına ilgili kişinin açık rızası olmaksızın aktarılamaz. Yurtdışına yapılacak tüm veri transferleri, ilgili kişinin bilgisi ve rızası dahilinde olmalıdır.

»İkinci paragraf, kuralın istisnalarını belirtir; kişisel verilerin yurt dışına ilgilinin açık rızası olmaksızın aktarılabilmesi için verilerin aktarılacağı yabancı ülkede yeterli koruma bulunması veya yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulun izninin bulunması gerekmektedir.

»Ayrıca, yabancı ülkede yeterli koruma bulunup bulunmamasına bakılmaksızın, madde 5/2 veya madde 6/3’te belirtilen şartlardan birinin yerine getirilmesi gerekir. İlk olarak yeterli korumaya sahip yabancı ülkelerin durumu incelenecektir.

Türkiye’den Yeterli Korumaya Sahip Ülkelere Kişisel Veri Aktarımı

»Kişisel Verileri Koruma Kurumu yeterli koruma bulunan ülkeleri saptar ve ilan eder. Verinin aktarıldığı yabancı ülke yeterli korumaya sahip ülkeler arasında sayılıyorsa madde 5/2 veya madde 6/3 koşullarından biri sağlandığı takdirde veri aktarımı yapılabilir. Bu iki madde özel nitelikli kişisel veri olup olmamasına göre ayrılmaktadır.

Yeterli Korumaya Sahip Ülkelere Özel Nitelikli Kişisel Veri Aktarımı

»Madde 6/1’e göre özel nitelikli kişisel veriler, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir. Özel nitelikli kişisel veriler ilgilinin açık rızası olmadan işlenemez.

»6’ncı maddenin 3’üncü fıkrası kuralın istisnalarını öngörür. Bu durumda, cinsel hayat veya sağlığa ilişkin olan veriler dışındaki özel nitelikli kişisel veriler kanunda öngörüldüğü takdirde ilgili kişinin açık rızası alınmadan işlenebilir.

»Sağlık veya cinsel hayata ilişkin kişisel veriler ancak;

∼Kamu sağlığının korunması amacıyla,

∼Koruyucu hekimlik için,

∼Tıbbî teşhis için,

∼Tedavi ve bakım hizmetlerinin yürütülmesi için,

∼Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

»Veri işlenmesi faydalı veri tabanları oluşturulması ve kamu ihtiyaçlarının daha iyi yönetilmesi için zorunlu bir unsurdur ancak işlenen verinin niteliği özelleştikçe kanun maddeleri daha katı hale gelir. Yukarıda görüldüğü üzere sağlık ve cinsel hayat gibi çok özel kişisel veriler ancak önemli hususlar için ilgilinin rızası olmadan işlenebilmektedir.

Özel Nitelikli Olmayan Kişisel Verilerin Yeterli Korumaya Sahip Ülkelere Aktarımı

»Özel nitelikli olmayan kişisel veriler için daha geniş bir kapsam öngörülmüştür. 5’inci maddenin 2’nci fıkrası uyarınca bu tür kişisel veriler yurtdışına ilgilinin rızası olmadan aşağıdaki hallerde aktarılabilir;

“a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”

 Türkiye’den Yeterli Korumaya Sahip Olmayan Ülkelere Veri Aktarımı

 »Verinin aktarılacağı ülkede yeterli koruma bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekmektedir ve ayrıca Kurulun izni gerekmektedir. Madde 9/4’te Kurulun vereceği izin aşağıdaki koşullara bağlıdır;

“a)Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

 »Ayrıca madde 5/2 veya 6/3’teki şartlardan biri sağlanmalıdır. Ancak o halde veri aktarımı ilgilinin açık rızası olmadan yurtdışına aktarılabilir.

»Türkiye’den yeterli koruma bulunmayan ülkelere veri aktarımı yapılırken madde 9/2 uyarınca yazılı taahhüt verilmelidir. Aşağıdaki hususlar asgari olarak taahhütte bulunmalıdır.

 Veri Aktaranın Taahhütnameden Kaynaklanan Yükümlülükleri

»Kişisel veriler, Kişisel Verileri Koruma Kanunu’na uygun olarak işlenmelidir. Burada veriyi aktaran veri sorumlusu, hem kendi yükümlülüklerini yerine getirmek hem de veri alıcısının yükümlülüklerini yerine getirmesini denetlemek zorundadır.

»Veri aktaran, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdır. Ayrıca veri alıcısının da bu tedbirlerin alındığından emin olmalıdır.

»Veri aktaran, veri alıcısını KVKK ve ilgili diğer mevzuat hakkında bilgilendirir. Veri aktaran, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede kendisine bildirmek zorunda olduğunu veri alıcısına bildirir. Veri aktaran, bu durumu ilgilisine ve Kişisel Verileri Koruma Kuruluna en kısa sürede bildirir. Kurul, gerekli görürse bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

»Veri aktaran, veri alıcısının sözleşme hükümlerini yerine getirmesiyle ilgili meydana gelebilecek sorunları derhal Kurul’a bildirmekle yükümlüdür. Veri alıcısının ilgili kişilerden ve Kurul’dan gelen soruları cevaplaması kararlaştırılmış olmasına rağmen cevap vermesi mümkün olmadığı durumlarda veri aktaran, elindeki tüm bilgi ve belgelerle makul bir süre içerisinde ilgili kişi veya Kurul’un sorularını cevaplandırır.

»Veri aktaran, veri alıcısı sözleşmeye ilişkin sorumluluklarını yerine getirmediği takdirde sözleşmeyi askıya alma veya feshetme hakkına sahiptir. Askıya alma veya feshedilme derhal Kurul’a bildirilir.

Veri Alıcısının Taahhütnameden Kaynaklanan Yükümlülükleri

»Veri alıcısı, hukuka aykırı olarak veri işlenmesi, erişilmesi ve kişisel verilerin muhafazası için uygun güvenlik düzeyinin temini için gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.

»Kişisel verilerin veri alıcısı adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde gerekli tedbirlerin alınması konusunda bu kişilerle birlikte müştereken sorumludur. Veri işleyenler de dahil olmak üzere veri alıcısının yetkisi altında çalışan kimseler ancak verilen talimatlara uygun olarak veri işlemeye yetkilidir. Herhangi bir sebeple sözleşme hükümleri uygulanamazsa derhal veri aktarana bildirilmelidir.

»Veri aktaran, veri alıcısı sorumluluklarını yerine getirmediği takdirde askıya alma veya feshetme hakkına sahiptir. Veri alıcısı, sözleşmeye aykırı ulusal düzenleme olmadığını kabul, beyan ve taahhüt eder. Ayrıca veri aktaran, veri alıcısının yükümlülüklerini yerine getirmesi konusunda denetim yapma hakkına sahiptir.

»Sözleşmedeki taahhütlerin yerine getirilmesini etkileyecek bir mevzuat değişikliği yapılması halinde veya adli makamlardan bir talep geldiği takdirde veri alıcısı hemen durumu veri aktarana bildirmek zorundadır.

»Sözleşmenin feshedilmesi veya askıya alınması durumunda veri aktaranın tercihine göre, aktarılmış olan kişisel veriler için iki durum söz konusudur. Yedekleri de dahil olmak üzere aktarılan tüm kişisel veriler, veri aktarana geri gönderilebilir veya veri alıcısı verileri tamamen yok eder. Mevzuatta kişisel verilerin yok edilmesini engelleyen hükümler varsa aktarılan kişisel verilerin gizliliğini güvence altına almak için gerekli tüm idari ve teknik tedbirleri alır ve veri işleme faaliyetini durdurur.

»Sözleşmeye istinaden veri aktarımı gerçekleştirilirken, veri alıcısının kişisel verileri bir alt işverene aktarması gerekirse veri alıcısının veri aktaranı ispat edilebilir bir şekilde bilgilendirme ve onayını alma sorumluluğu vardır. Veri alıcısı ve alt işveren arasında yapılan sözleşme asgari olarak veri aktaran ve veri alıcısı arasındaki sözleşme hükümlerini içermelidir.

Taahhütnamenin Ortak Hükümleri

»Her iki tarafın kişisel verileri KVKK hükümlerine aykırı olarak üçüncü kişilere aktaramaz. Kişisel verileri yalnızca işleme amacıyla kullanabilir. Bu yükümlülük veri aktaran ve alıcı açısından herhangi bir süre sınırı yoktur.