Günümüzde şirketler, küresel ekonomi ve bilişim teknolojilerinin gelişimi ışığında müşterilerin davranış ve taleplerini izlemek, reklam yapabilmek, ürün satmak ya da ticari hayatın devamlılığı gibi birçok amaçla kişisel verileri işlemeye ve bunları gerek yurtiçinde gerek uluslararası alanda aktarmaya ihtiyaç duymaktadırlar. Şirketler müşterileri, tedarikçileri veya iş ortaklarının diğer ülkelerde bulunması veya uluslararası faaliyetler yürütmeleri, veri saklama ve iletme aracı olarak sunucuları ülke dışında bulunan sistemler kullanılmaları açısından ticari hayatın gereği olarak yurtdışına sürekli kişisel veri aktarmaktadırlar. Kişisel verilerin gerek işlenmesi gerek aktarılmasına duyulan bu ihtiyaç ve günümüz teknolojisinde aktarımın hızı ve kolaylığı sağladığı avantajlarla birlikte kişisel veri güvenliği açısından birçok sorunu da meydana getirebilmektedir. Nitekim ilgili kişinin vatandaşı olduğu ülkede hukuka uygun şekilde işlenmiş olan kişisel verileri yurtdışına aktarıldığında söz konusu yasanın koruyuculuğu ortadan kalkmaktadır. Dolayısıyla kişisel verilerin yurtdışında aktarımının çeşitli kurallar ve prensipler dahilinde yapılması gerektiği açıktır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) m.3/e’de kişisel verilerin işlenmesi tanımlanırken, kişisel verilerin aktarılması da dahil olmak üzere veriler üzerindeki her türlü işlemden bahsedilmiştir. Aktarım bu anlamda bir veri işleme türü olarak kabul edilmiş ise kişisel veri ve özel nitelikli kişisel veri işleme şartlarını belirleyen m.5 ve 6’ya ek bazı güvencelere tabi tutulmuştur. KVKK ayrıca kişisel verilerin yurtiçinde ve yurt dışında aktarımı açısından da bir ayrıma gitmiştir.
Kişisel veri aktarımını düzenleyen 8. maddeye baktığımızda;
Kişisel veriler ilgili kişinin açık rızası bulunmadığı hallerde Kanunun 5. maddesi veya yeterli önlemler alınmak kaydıyla 6. maddesindeki şartların mevcudiyeti halinde aktarılabilecektir. Kanun 5 ve 6. maddelerine atıfla kişisel verilerin ilgili kişinin açık rızası olmaksızın yurtiçinde aktarılabileceği haller ise şunlardır:
Kişisel veriler açısından (m.5/2)
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunu meşru menfaatleri için veri işlemenin zorunlu olması.
Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla (m.6/3)
- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik nitelikli verileri açısından kanunda öngörülen hallerde
- Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
Kanun, ilk bakışta kişisel verilerin açık rıza dışındaki işlenme şartları ile yurtiçindeki aktarılmasını aynı şartlara bağlamış, aktarım için yalnızca özel nitelikli kişisel veriler bakımından yeterli önlemlerin alınmasını şart koymuştur. Ayrıca aktarıma ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu belirtilmiştir.
Kişisel verilerin yurt dışına aktarımı ise;
Kanun m.9 çerçevesinde kişisel verilerin açık rıza olmaksızın yurtdışına aktarılması m.5/2 ve 6/3’de yer alan şartlardan birinin varlığı aranmaktadır. Ancak işbu şartlarla birlikte aktarım yapılacak ülkede yeterli koruma bulunup bulunmaması konusunda ikili bir ayrıma gidilmiştir. Buna göre;
- Kişisel verilerin aktarılacağı ülkede yeterli koruma bulunması halinde kişisel veriler;
Kanun m.5/2 ve 6/3’teki şartların bulunması halinde açık rıza alınmaksızın yurt dışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edilecektir.
- Yeterli koruma bulunmaması halinde kişisel veriler;
- Kanun m.5/2 ve 6/3’teki şartların bulunması,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve
- Kurulun izninin bulunması halinde açık rıza olmaksızın yurtdışına aktarılabilecektir.
Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ve aktarıma izin verilip verilmeyeceğine aşağıdaki hususları değerlendirerek ve gerekirse ilgili kurum ve kuruluşların görüşlerini de dikkate alarak karar verecektir:
- Türkiye’nin taraf olduğu uluslararası sözleşmeler
- Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu
- Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi
- Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması
- Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler.
Kanun, yeterli korumanın bulunduğu ülke listesinin belirlenmesiyle karşılıklı taahhüt halinde verilecek iznin değerlendirmesi için aynı kriterlerin değerlendirileceğine hükmetmiştir. Mevcut düzenlemeler ışığında Kurul tarafından halihazırda yeterli korumaya sahip ülke listesi belirlenmemiştir. “Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler”[1] adlı bir form yayımlanmışsa da kriterler arasındaki karşılılık prensibi yakın zamanda çözülmesi güç gözüken bir engel olarak karşımıza çıkmaktadır. Uygulamada yeterli korumaya sahip ülkeler ilan edilene kadar yurtdışına aktarımda açık rıza alınması yoluna başvurulmaktadır. Ancak açık rızaya dayalı veri aktarımı gerek her bir aktarım sırasında sağlanmasının pratik zorluğu gerekse geçerlilik değerlendirilmesi açısından tercih edilmesi gereken bir aktarım şartı olmaktan uzaktır.
Açık Rızaya Dayalı Aktarım
Açık rıza, Kanun’un 3. maddesinde “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Kanunumuzun lafzından her ne kadar açık rızanın asıl diğer veri işleme şartlarının istisnai olarak yorumlanması sonucu çıkmaktaysa da Kurul yaklaşımı AB düzenlemesiyle paralel olarak açık rızanın diğer veri işleme şartlarıyla aynı statüde olduğu ve hatta en son sırada dayanılması gereken bir veri işleme şartı olduğu şeklindedir. Nitekim Kurum rehberlerinde veri işleme faaliyeti gerçekleştirilmeden önce diğer veri işleme şartlarından birinin olup olmadığının değerlendirilmesi, bunlardan hiçbiri yoksa açık rızaya dayanılması gerektiği belirtilmekte birlikte Kurul 2 Ağustos 2018 tarihinde yayımlanan karar özetinde diğer veri işleme şartlarından biri varken açık rızaya dayanılmasının hakkın kötüye kullanımı anlamına geleceğini açıkça vurgulamıştır. Kurul her ne kadar açık rıza veri işleme şartını kişisel verilerin yurtiçi ve yurtdışına aktarımı bağlamında spesifik olarak değerlendirmeye tabi tutmamışsa da veri aktarımının da bir veri işleme faaliyeti olduğundan hareketle açık rızanın veri aktarımı açısından da aynı yaklaşımla yorumlanması gerektiği kanaatindeyiz.
Karar özeti;
“Veri sorumlusu tarafından Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatmasının;
– Diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği,
– Ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,”
Karşılıklı Taahhüt ve Kurul İznine Dayalı Aktarım
Kanun m.9/2’de yeterli koruma bulunmaması halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı taahhüt etmeleri ve Kurul’un izninin bulunması halinde kişisel verilerin açık rıza olmaksızın yurtdışına aktarılabileceği düzenlenmiştir. Ayrıca Kurul’un aktarıma izin verirken yukarıda yazmış olduğumuz birtakım kriterleri gözeteceği belirtilmiştir. Kurum, internet sitesinde işbu maddeden hareketle yurtdışına veri aktaracak veri sorumlularınca hazırlanmak üzere “Veri Sorumlusundan-Veri Sorumlusuna” ve “Veri Sorumlusundan-Veri İşleyene” olmak üzere iki adet taahhütname örneği yayımlamıştır. Karşılıklı taahhüde dayalı aktarımda da Kanun’un açık rıza konusundaki lafzi yorum sıkıntısında olduğu gibi bir uyumsuzlukla karşı karşıya olduğumuzu belirtmek gerekmektedir. Nitekim Kanunumuzda, yeterli korumaya sahip olmayan ülkelere açık rıza olmaksızın veri aktarımı veri sorumluları arasında imzalanacak taahhütname şartına bağlanmış, Veri Sorumlusundan Veri İşleyene aktarımla ilgili herhangi bir düzenlemeye yer verilmemiştir. Kurul yaklaşımı AB otoritelerinin yaklaşımından farklı olarak kişisel verilerin ülke sınırları dışına çıktığında yurtdışına aktarımın gerçekleştiği yönündedir. Bu yaklaşım hem veri sorumlusundan veri sorumlusuna hem de veri işleyene aktarım oluşturulan şablon taahhütnameler hem de aşağıda yer verdiğimiz yurtdışı kaynaklı e-posta ve bulut bilişim hizmetlerinin kullanılması hakkındaki Kurul kararı ile ortaya konmuştur.
Kanun m.9/4 uyarınca Kurul’un, yeterli korumaya sahip ülke listesinde olduğu gibi karşılıklı taahhütlere verilecek izin konusunda da aynı kriterlere göre değerlendirme yapacağından bahsetmiştik. İlgili Kanun maddesi Kurul’a bu hususları değerlendirme konusunda bir takdir yetkisi tanımış ise de söz konusu düzenleme nedeniyle karşılıklılık kriterinin verilecek izin konusunda da tekrar karşımıza çıkmakta ve bizi aynı noktaya geri getirmektedir. Kanımızda Kanun’un her iki aktarım hukuka uygunluk nedeni bakımından Kurul’a somut şarta uygun aktarım kriterleri ışığında değerlendirme imkanı sunması gerekirdi. Yine de yeterli korumaya sahip ülke listesinin halihazırda açıklanmamış ve açık rızaya dayalı aktarımın hukuki geçerliliğinin tartışmalı oluşundan hareketle yurtdışına veri aktarımı için mevcut durumda en tercih edilebilir çözümün taahhütname ve Kurul izni olduğu düşünülebilir. Ancak bahsi geçen hukuki boşluk ve uyumsuzlukların yanı sıra uygulamada Kurul tarafından onaylanmış herhangi bir taahhütname örneği bulunmamaktadır. Sonuç olarak gerek teori gerek pratikte kişisel verilerin ticari hayatın bir gereği olarak sürekli, sistematik ve aynı zamanda hukuka uygun şekilde aktarımı mümkün gözükmemektedir.
Kişisel Verileri Koruma Kurulu, taahhüt alınmasındaki zorluk konusundaki bakış açısını kurumsal e- posta hizmetinin Gmail üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağına ilişkin yapılan başvuru hakkında verdiği 31.05.2019 tarih 2019/157 sayılı kararıyla net bir şekilde ortaya koymuştur. Kurulun sunucuları yurtdışında bulunan e-posta ve saklama hizmetlerinin yurtdışına aktarım olarak kabul edileceği şeklindeki kararı aktarım yapılacak taraftan taahhüt alma zorluğunun ne derece zor olup olmadığına bakılmaksızın taahhüt alınması gerektiği görüşünde olduğunu da açıkça göstermektedir.
Karar özeti;
Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,
Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine,
Tüm bu haller birlikte değerlendirildiğinde, mevcut düzenlemeler ışığında veri sorumlularının yurtdışına kişisel veri aktarımı için alınmaması gerektiği halde alınan belki de geçersiz olan açık rıza almak, bilişim sistemleri arasından yerel sunucu kullanımını tercih etmek, karşılıklı taahhütnameler imzalayarak Kurul tarafından izin verilmesini beklemek gibi tercihleri olduğu söylenebilecektir. Ancak yukarıda detayı şekilde açıkladığımız üzere bu yöntemlerden hiçbirinin hukuki ve pratik açıdan uygulanabilir olmadığı açıktır.
Kişisel verilerin yurtdışına aktarılmasına yönelik düzenlemelerin GDPR ve AB düzenlemeleriyle paralel olarak, gerek veri sorumlularının ticari hayatın gerektirdiği veri aktarımını sürdürebilmesi gerek ilgili kişilerin menfaatlerini korunması açısından sonuç odaklı mekanizmalar getirilerek çözümlenmesi gerekmektedir.
Kişisel Verilerin Korunması çerçevesinde getirilen tüm yasal düzenlemelerin kişisel verilerin işlenmesi ve aktarılması önüne set çekilmesi değil, kişiyi ve temel hak ve özgürlüklerini koruma amacından hareketle getirildiği unutulmamalıdır. Kurum güvenli ülke listesini halen yayınlamamış olmasına karşın, kendisine Kanun’la verilen düzenleyici işlem yapma yetkisinden hareketle bu konuda GDPR ve AB otorite uygulamalarıyla paralel uygulamalar getirmekteyse de bu durum Kanun’un lafzi yorumundan kaynaklanan sıkıntıları aşabilecek düzeye ulaşamamaktadır. İşbu yazının yayımlandığı tarih itibariyle Kurul tarafından yurtdışına hukuka aykırı veri aktarımından kaynaklanan herhangi bir yaptırım kararı da verilmiş değildir. Özellikle karşılılık ilkesi çerçevesinde Kurul tarafından güvenli ülke listesinin kısa sürede yayımlanmasını beklememekteyiz. Aktarıma ilişkin mevcut sıkıntıların ortadan kalkabilmesi için öncelikle Kanun’un 9. maddesinde yer alan kısıtlayıcı düzenlemelerin değiştirilmesi gerekmektedir. Bu kapsamda şu an için, yurtdışına veri aktarımının hukuka ve veri sorumlusu ile ilgili kişinin menfaatlerini koruma amacına uygun şekilde gerçekleşmesinin Kurul tarafından alınacak yeni düzenleyici işlemler ya da Kurulca verilecek olası bir yaptırım kararına karşılık, Kişisel Verilerin Korunması Kanunu ve bu husustaki uluslararası sözleşmeler bağlamında hukuki yorum yoluyla aşılabilecektir.
[1](Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler, Kişisel Verileri Koruma Kurumu, 02.05.2019 tarih2019/125 sayılı Kararı, https://www.kvkk.gov.tr/Icerik/5470/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayinlanan-Karari