Ara
Close this search box.
Ara
Close this search box.

,

Aralık 21, 2023

6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilerin Yurt Dışına Aktarımında Taahhütnameler ile Kurul İzninin Değerlendirilmesi

A. Giriş 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kişisel verilerin işlenmesi, saklanması ve korunmasını düzenlenmek amacıyla yürürlüğe girmiş olup KVKK ile kişisel verilerinin güvende tutulması ve işlenmesinin denetlenmesi amaçlanmaktadır. 

Günümüzde, özellikle global şirketlerin, veri sorumlusu sıfatı ile işledikleri kişisel verileri Türkiye’deki sunucularda saklaması gittikçe imkânsız bir hale gelmekte olup şirketler kişisel verileri yurt dışına aktararak işlemeyi tercih etmektedir. Bu noktada, yurt dışına aktarılan verilerin denetimi ve güvenliği önem arz etmektedir.

İşbu makalede, KVKK’nın 9. maddesi kapsamında kişisel verilerin yurt dışına aktarılması hususuna kısaca değinildikten sonra KVKK’nın 9/2-b maddesinde düzenlenen ve yurt dışına veri aktarımı sağlanması hallerinden biri olan taahhütnameler ile taahhütname başvurularının hem veri sorumluları hem de veri sahipleri için nasıl bir güvence sağladığı ve veri aktarımının yasal bir şekilde gerçekleştirilmesine nasıl katkı sağladığı ele alınacak olmakla birlikte Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bu kapsamdaki güncel kararı değerlendirilecektir. 

B. KVKK Kapsamında Kişisel Verilerin Yurt Dışına Aktarılması 

Kişisel verilerin aktarımının yurt içinde veya yurt dışında yerleşik gerçek veya tüzel kişilere yönelik gerçekleştirilmesi mümkün olmakla birlikte verilerin ulusal mevzuatın geçerli olduğu ülke sınırından çıkması, kişinin verileri üzerindeki hâkimiyetinin azalması ve güvenliğin sağlanması konusunda birtakım zorluklara yol açtığından yurt dışına veri aktarımı hususunun KVKK’da ayrı bir hükümle düzenlenmesi tercih edilmiştir. Nitekim, KVKK’nın yurt dışına veri aktarımıyla ilgili “kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi kapsamında kişisel verilerin uluslararası düzeyde nasıl işleneceği konusunda önemli sorumluluklar getirilmektedir.

Bu bağlamda, kişisel verinin yurt dışına aktarılabilmesi için KVKK’nın 9. maddesi uyarınca kural olarak ilgili kişinin açık rızasının bulunması gerekmektedir. Ancak, KVKK’nın özel nitelikli olmayan kişisel verilerin işlenme şartlarını düzenleyen 5. maddesinin 2. fıkrası veya özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 6. maddesinin 3. fıkrasında belirtilen işleme şartlarından birinin varlığı ve kişisel veririnin aktarılacağı yabancı ülkede;

  1. yeterli korumanın bulunması,
  2. yeterli korumanın bulunmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması,

kaydıyla kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılması mümkün olabilmektedir. 

KVKK’nın 9. maddesinin 3. fırkasında yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirleneceği düzenlenmiş olmakla birlikte henüz Kurul tarafından yeterli korumanın bulunduğu güvenli ülkeler listesi belirlenmediğinden, kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabilmesinin yolu, veri sorumlularınca yeterli korumanın taahhüt edilmesi ve Kurul’un iznine başvurulmasına bağlıdır.

Son olarak eklemek gerekir ki, KVKK’nın 4. maddesinde kişisel verilerinin ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara göre işlenebileceğine ilişkin düzenleme ile KVKK’nın 9. maddesinin 6. fıkrasında “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenleme göz önüne alındığında, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 26.10.2020 tarihli kamuoyu duyurusunda belirttiği üzere, Anayasa 90. maddesi kapsamında usulüne göre yürürlüğe konulan milletlerarası antlaşmalar kanun hükmünde olduğundan, iç hukukumuza dahil olan bir milletlerarası antlaşmada verilerin yurt dışına aktarılmasına ilişkin hüküm bulunması halinde bu düzenlemeye göre hareket edilmesi gerekecektir. 

C. Yurt Dışına Veri Aktarımında Taahhütname ve Kurul İzni Kavramı

Yukarıda da belirtildiği üzere, KVKK 9/2-b maddesi uyarınca kişisel verilerin aktarılması planlanan yabancı ülkede yeterli koruma bulunmaması halinde; Türkiye’deki veri sorumlularının ve ilgili yabancı ülkedeki veri sorumlularının/veri işleyenin yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin alması şartıyla ilgili kişinin açık rızasını almadan kişisel verilerin yurt dışına aktarması mümkün olup Türkiye’de yerleşik veri sorumlusu tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna ve/veya veri işleyene kişisel verilerin aktarımında, ilgili tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine imkân sağlayan yöntem ise “taahhütname” olarak belirlemiştir. 

Bu noktada belirtmek gerekir ki, açık rıza şartına dayalı olarak gerçekleştirilecek yurt dışına kişisel veri aktarımları taahhütnameye konu edilemeyecektir. Zira, yukarıda da belirtildiği üzere, KVKK’nın 9. maddesinin 1. fıkrası kapsamında açık rıza ile kişisel veri aktarımı gerçekleştiriliyorsa işbu durum taahhütnamenin konusu olmayacak olup KVKK’nın 9. maddesinin 2. fıkrasının (b) bendinde düzenlenen hususlar taahhütnamenin kapsamına girmektedir.

Bu kapsamda, Türkiye’deki veri sorumlusu tarafından hazırlanan taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün olabilmektedir. Bir diğer anlatımla, yalnızca taahhütname hazırlanması yurt dışına veri aktarımı için yeterli olmayıp Kurul’un işbu husustaki izninin beklenmesi gerekmektedir.

Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiş olup Kurum  resmi internet sitesinde taahhütname örnekleri yer almaktadır. Nitekim, taahhütname düzenlenmesine ilişkin usul ve esaslar da yine Kurum’un resmi internet sitesi üzerinden duyurulmuştur.

Bunun yanı sıra, kişisel verilerin yurt dışına aktarılması durumunda, veri sorumlularının ve veri işleyenlerin taahhütlerini belirleyen işbu taahhütnamelerde; veri sorumluları veri sahiplerine açık ve anlaşılır bir şekilde verilerin yurt dışına aktarılacağını bildirmek ve bu aktarımın yasal bir dayanağı olduğunu kanıtlamak zorundadır. Kurul, verilerin yurt dışına aktarılmasına ilişkin taahhütlere izin verip vermeyeceğine KVKK’nın 9. maddesinin 4. fıkrasında belirtilen kriterleri dikkate alarak karar vermektedir.

D. Kurul’un Yurt Dışına Veri Aktarımı Hususundaki Güncel Kararının KVKK Kapsamında Değerlendirilmesi 

Kurum’un resmi internet sitesinde yer alan duyuruya göre; Google Reklamcılık ve Pazarlama Limited Şirketi (“Google”) tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki taahhütname başvurusu, Kurul tarafından KVKK’nın 9/2-b maddesi kapsamında değerlendirilmiş ve 17.08.2023 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

Bilindiği üzere, Google global bir şirket olup Google’ın yurt dışına veri aktarımını tamamen durdurması veya aktarılacak tüm kişisel veriler için ilgili kişilerden açık rıza alması uygulamada pek mümkün görünmemektedir. Bu kapsamda, Google KVKK’nın 9/2-b maddesi uyarınca yurt dışına veri aktarımına ilişkin yeterli korumayı taahhüt etme yolunu tercih ederek hazırladığı taahhütname ile Kurul’a başvurmuştur. Kurul, Google tarafından yapılan başvuruya ilişkin değerlendirmeleri sonucunda, ilgili kişilerden açık rıza alınmaksızın yurt dışına kişisel veri aktarımına izin vermiştir. Böylece; Google, taahhütname başvurusu yoluyla Kurul’un iznini alarak, ilgililerin açık rızası olmaksızın yurt dışına veri aktarımı imkanını elde etmiştir.

Google’ın Kurul iznini alabilmesi için verdiği taahhütler, kişisel verilerin gizliliğini ve güvenliğini koruma amacını güçlendirmekte olup Kurul’dan aldığı izinden sonra Google işlediği kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı gibi verileri işleme amacı dışında da kullanamayacaktır. İlaveten, Google’ın KVKK’nın 4. maddesinin 2. fıkrasında (i) hukuka ve dürüstlük kurallarına uygun olma (ii) doğru ve gerektiğinde güncel olma (iii) belirli, açık ve meşru amaçlar için işlenme (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak düzenlenen ilkelere uyması gerekecektir.

Bu bağlamda, aktarılan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en kısa sürede Google tarafından Kurum’a bildirilmesi gerekecek olup taahhütnamede belirtilen taahhütlerin ihlal edilmesi halinde söz konusu veri aktarım izni askıya alınabilecektir.

Son olarak, Kurul tarafından verilen iznin veri sorumlusu sıfatı ile Google’a ait olduğunu ve Google’a ait sunucuları kullanan veri sorumlularının, yurt dışı veri aktarımı kapsamında KVKK’nın 9. maddesinde düzlenen hüküm uyarınca veri aktarımı sağlayabileceklerini vurgulamak isteriz.

E. Sonuç Olarak

KVKK, kişisel verilerin işlenmesi, saklanması ve aktarılması gibi süreçlerde bireylerin haklarını korumayı amaçlamakta olup kişisel verilerin yurt dışına aktarılması, bu hakların ihlal edilme riskini artırabilecek bir süreçtir. Nitekim, yurt dışına veri aktarımının önemi ve bu konunun detaylı şekilde düzenlenmesi gerekliliği her geçen gün artmaktadır. Bu nedenle KVKK ile kişisel verilerin yurt dışına aktarılması sıkı bir düzenlemeye tabi tutulması gerekmekte olup Kişisel Verileri Koruma Kurumu’nun yurt dışına veri aktarımı prosedürünün mevzuata uygun şekilde gerçekleşmesi için denetimlerini sıklaştırması ve Google’a yönelik verdiği karar gibi, yurt dışına veri aktarımı hususundaki başvuruları hızlıca sonuca bağlaması bu noktada büyük önem taşımaktadır. Bu bağlamda, Google’ın yurtdışına kişisel veri aktarımı başvurusunun Kurul tarafından onaylanması, kişisel veri işlenecek şirketlerin ve/veya bireylerin haklarını koruma açısından büyük bir öneme sahiptir. Zira, Google’ın kişisel verilerin güvenliği ve gizliliği konusundaki taahhütlerine bağlı kalarak hizmetlerini sunmaya devam edecektir.

Yazarlar

Aleyna Kekeva

Aleyna Kekeva

Avukat

Eren Can Ersoy

Eren Can Ersoy

Kıdemli Avukat