Ara
Close this search box.

Aralık 21, 2023

Veri Sorumlusunun Hukuki Yükümlülüğü Kapsamında Veri Aktarması

Kişisel veri kavramı, birçoğumuzun günlük hayatta sıklıkla karşısına çıkmakta olup uygulama alanı genişledikçe veri sorumlusu sıfatını haiz kişilerce hukuka uygun olarak kişisel verinin işlenip işlenmediği, aktarılıp aktarılmadığı hususu da önem arz etmektedir. Kişisel veriden kısaca bahsetmek gerekir ise; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 3. maddesinin 1. fıkrasının (d) bendinde kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu kapsamda, kanun koyucu kişisel verilerin işlenmesinde belirli ilkelere uyulması gerektiğini KVKK’da düzenlemiştir. Keza, KVKK’nın 4. maddesinde kişisel verilerin işlenmesinde; kişisel verilerin hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği hüküm altına alınmıştır. 

Nitekim, KVKK’nın devamı maddelerinde kişisel verilerin işlenme şartları düzenlenerek öncelikli olarak kişisel verilerin korunması kapsamında önem arz eden açık rıza kavramına değinilmiştir. Açık rıza, kişisel verisi işlenen gerçek kişinin hangi konuda kişisel verisinin işleneceğine ilişkin olan bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. Bu bağlamda, kişisel verilerin işlenmesi ancak ve ancak ilgili kişinin açık rızası alınarak yapılabilecektir. Aynı şekilde kişisel verilerin aktarılması da ilgili kişinin açık rızasının alınmasına dayanmaktadır. 

Fakat, KVKK’nın 5. maddesinin 2. fıkrasında; kişisel verilerin ilgili kişinin rızası alınmaksızın da işlenebileceği ve aktarılabileceği istisnai haller düzenlenmiştir. Bunlar; (i) Kanunlarda açıkça öngörülmesi (ii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (iii) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (iv) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (v) İlgili kişinin kendisi tarafından alenileştirilmiş olması (vi) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (vii) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şeklinde kanun koyucu tarafından belirtilmiştir. 

Bu yazımızda ilgili kişinin açık rızasının alınmaksızın veri sorumlusu tarafından hukuki bir yükümlülüğün yerine getirebilmesi için zorunlu olmasına dayanan kişisel verinin aktarılmasına ilişkin düzenlenen istisnai hal incelenecektir. Şöyle ki; daha önce de bahsi geçtiği üzere kişisel veriler ancak ilgili kişinin açık rızası var ise işlenebilmekte ve üçüncü bir kişiye aktarılabilmektedir. Ancak KVKK’da tanımlandığı hali ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olan veri sorumlusu, belirli hallerde ilgili kişinin açık rızasını almaksızın kişisel verileri üçüncü kişilere aktarabilmektedir. 

Bu hususa örnek vermek gerekirse; mahkemeler tarafından gerçek ve özel hukuk tüzel kişilerinden, derdest bir davanın yargılamasının yapılabilmesi adına personelleri, personel adayları, müşterileri, ziyaretçileri gibi birçok gerçek kişiye ait bilgi ve belgelerin mahkemeye sunulması talep edilmektedir. Mahkeme tarafından talep edilen bilgi ve belgelerin sunulması hususu ise veri sorumlusunun hukuki bir yükümlülüğü olarak değerlendirilebilecektir. Hukuki yükümlülükten kasıt ise mevzuat hükümleri çerçevesinde ilgili talep ve düzenlemeye uyulmasını taraflara zorunlu tutan bir durum olarak belirtilebilmektedir. Bu halde, müzekkere vasıtası ile talep edilen bilgi ve belgenin mahkemeye sunulmasında veri sorumlusunun ilgili kişiden herhangi bir şekilde açık rıza alması aranmamaktadır. Fakat, mahkemece talep edilen bilgi ve belge dışında herhangi bir kişisel veriyi haiz bilgi ve belgenin mahkemeye sunulması halinde bu husus, hukuka aykırı olarak kişisel verinin aktarılmasına sebebiyet verecektir. Keza böyle bir durumda veri sorumlusunun veri güvenliğine ilişkin yükümlülüğü yerine getirmemesi dolayısıyla idari para cezasına çarptırılma riski ortaya çıkacaktır. 

Veri sorumlusunun hukuki yükümlülüğünün tabi olduğu ülke mevzuatı ile sınırlı olup olmadığına ilişkin de doktrinde farklı görüşler bulunmaktadır. Bu kapsamda, doktrinde özel hukuk tüzel kişisinin faaliyetlerini sürdürdüğü ve hatta veri sorumluları siciline de kayıt olduğu ülkedeki yasal mevzuat çerçevesinde doğan yükümlülükleri uyarınca yalnızca kişisel veri aktarımının açık rıza alınmaksızın yapılabileceğine ilişkin görüşler bulunmaktadır. 

Bu minvalde, yabancı bir ülkenin yürürlükteki mevzuatı çerçevesinde ilgili kişiye ait kişisel verinin aktarılmasının talep edildiği durumlarda bu talebin, KVKK kapsamında veri sorumlusunun hukuki yükümlülüğü yerine getirmesinden ziyade kişisel verilerin yurtdışına aktarımı olarak değerlendirilebileceği görüşündeyiz. Kaldı ki, KVKK’nın 9. maddesinde düzenlenen kişisel verilerin yurtdışına aktarımında da KVKK’nın 5. maddesinin 2. fıkrasında düzenlenen istisnai hallere atıf yapılmaktadır. Böylelikle, yabancı ülkenin ilgili makamları tarafından talep edilen kişisel veriyi haiz bilgi ve belgenin aktarımında, KVKK’nın kişisel verilerin yurtdışına aktarılmasına ilişkin esaslarının düzenlendiği 9. madde hükmü uygulama alanı bulacaktır. 

Bu bağlamda, kanun koyucu ilgili kişinin açık rızası aranmaksızın yurtdışına veri aktarımında kişisel verinin aktarılacağı ülkenin yeterli korumaya sahip olup olmadığı kapsamında ikili bir ayrıma gitmiştir. Yeterli korunmanın bulunmadığı ülkelere veri aktarımı yapabilmek için Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verilerin Korunması Kurulun izninin bulunması aranmaktadır. Fakat belirtmek isteriz ki, Kişisel Verilerin Korunması Kurulu tarafından yeterli korumaya sahip olan ülkeler henüz açıklanmamıştır. Dolayısıyla halihazırda kişisel verilerin yurtdışına aktarımına ilişkin olarak uygulamada belirli bir hukuksal zemin bulunmamaktadır. 

Sonuç olarak, yasal mevzuat gereği ilgili kişiye ait kişisel verinin aktarılması veri sorumlusunun hukuki yükümlülüğü çerçevesinde değerlendirildiği takdirde ilgili kişiden açık rıza almaksızın kişisel veri aktarımı yapılabilmektedir. Bunun sınırı elbette ki kişisel verilerin hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasıdır. 

Yazarlar

Eren Can Ersoy

Eren Can Ersoy

Kıdemli Avukat

Melis Çolakoğlu

Melis Çolakoğlu

Avukat