İçindekiler
1. KİŞİSEL VERİLERİN İŞLENMESİ
Son zamanlarda, başta özel hayat gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerinin korunması amacıyla kişisel verilerin korunması konusu birçok ülkede önem taşıyan ve hassasiyetle yaklaşılan konulardan biridir. Bu alanda ilk çalışmalardan olan ve Avrupa Birliği tarafından 1995 yılında uygulamaya koyulan Kişisel Verilerin Korunması Direktifi (Direktif 95/46/EC) ardından, kişisel verilerin toplanması ve işlenmesini belli kurallara bağlayan, daha kapsamlı bir mevzuat olan Genel Veri Koruma Tüzüğü (“GDPR”) Avrupa Parlamentosu’nda onanarak 2018 yılında hayata geçirilmiştir. GDPR kapsamında; kişisel verileri işleyeceklerin sorumlulukları, hukuki tedbirler, cezalar, ülkeler arası veri transferlerindeki tedbirler, denetleyici otoriteler gibi geniş kapsamlı birçok konu hükme bağlanmıştır. Uluslararası alanda kişisel veri üzerine yapılan bu çalışmalar sonucunda, verilerin işlenmesi bakımından güvenilir ülkeler statüsünde yer alabilmek amacıyla yapılan ülke içi uygulamalar da oldukça önemli hale gelmiştir. Ülkemizde de Anayasa’nın 20. Maddesi ile güvence altına alınmış olan kişisel veri kavramı 2000’li yılların başından itibaren gündemde olmuş ve 2016 yılında Kişisel Verilerin Korunması Kanunu (“KVKK”) yürürlüğe girmiştir.
KVKK’nın 3. Maddesinde tanımlanan kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemden ibarettir.
KVKK’nın kişisel verilerin işlenme şartlarının sayıldığı 5. maddesine göre aşağıda sıralanan hallerden en az birinin bulunması hali kişisel verilerin işlenmesini mümkün kılacaktır. 1
İlgili kişinin açık rızasının varlığı,
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanunda sayılan kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, sayma yoluyla (tahdidi/sui generis) belirlenmiş olup, bu şartlar genişletilemez.
2. KİŞİSEL VERİLERİN AKTARILMASI
2.1 KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin yurtiçinde mevzuata uygun şekilde işlenmesi, verilerin doğrudan aktarılabileceği anlamına gelmemekle birlikte; aktarım için Kanunun 5. Ve 6. Maddesindeki şartların varlığı aranmaktadır. Kişisel Verilerin Korunması Kanunu’nun 8. Maddesinde kişisel verilerin yurtiçinde aktarılmasına ilişkin husus bu çerçevede düzenlenmiştir. Buna göre öncelikle maddenin birinci fıkrasında kişisel verilerin, kişinin açık rızası olmadan işlenemeyeceği hükme bağlanmıştır. O halde veri sorumlusunca, kişisel verilerin işlenmesi için öncelikle açık rıza bulunması gerekmektedir. Kanunun hükmü gereğince açık rıza bulunması halinde veri sorumlusu ayrıca bir onaya ihtiyaç duymadan ilgili veriyi yurt içinde aktarabilecektir. Buna göre, kanun koyucu gerek kişisel verilerin işlenmesi gerekse bu verilerin yurt içinde aktarılması bakımından aynı şartları düzenlemekle tarafların mükerrer işlemler yaparak süreci uzatmasının önüne geçmiştir. 8. Maddenin ikinci fıkrasında ise kişisel verilerin açık rıza aranmadan üçüncü kişilere aktarılabileceği haller düzenlenmiştir.
2.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Özel nitelikli kişisel verilerin yurt içinde aktarımı kanun koyucu tarafından birtakım özel şartlara bağlanmıştır. Öyle ki KVKK kapsamında özel nitelikli kişisel verilerin yurt içinde aktarılabilmesi için aşağıdaki hallerden birinin varlığı aranmaktadır;
İlgili kişinin açık rızasının alınması halinde,
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi mümkündür.
Kanun ayrıca, özel nitelikli kişisel verilerin işlenmesi konusunda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirmiştir.
3. 6698 SAYILI KANUN KAPSAMINDA KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMI
3.1 GENEL OLARAK
6698 Sayılı Kanun’un 9. Maddesi uyarınca, ilgili kişilerin açık rızasının varlığı yurt dışına kişisel veri aktarımında esas şart olarak belirlenmiştir. Ancak yine bu maddenin ikinci fıkrasında kanun koyucu tarafından sayılmış olan; 5. Madde kapsamında ilgilinin açık rızası aranmaksızın kişisel verilerin işlenebileceği ve 6. Madde kapsamında kamu yararı güdülen durumların varlığı ile verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde ilgilinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabileceği hüküm altına alınmıştır. Kurul tarafından güvenli kabul edilen, yeterli korumanın bulunduğu ülkelere yapılacak aktarımlarda Kanun’da belirtilen hallerin varlığı aranırken, yeterli korumanın bulunmadığı ülkelere yapılacak aktarımlarda ise Kanun’da belirtilen hallerin yanında iki ülke arasında imzaya alınmış başkaca koruma mekanizmalarının varlığı ve Kurul’un izni zorunlu tutulmuştur.
3.2 KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINDA KURUL İZNİ
Kişisel verilerin işlenmesinde, verinin aktarılacağı yabancı ülkede yeterli korumanın mevcut olup olmadığı kararı Kurul tarafından verilmekte olup; bu karar KVKK’nın 9. Maddesinin dördüncü fıkrasında yapılmış tasnife dayanarak verilmektedir. Ek olarak ilgili maddede Kurul’un yeterli korumanın bulunduğu ülkeleri belirlemek için kullanacağı veyahut Kurul’un iznine tabi olan koruma mekanizmaları özelinde onayı için belirleyici olacak kriterler de sayılmış ve yurtdışına veri aktarımı açısından bazı istisnalara yer verilmiştir. Buna göre Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına aşağıda sıralananları değerlendirmek ve ihtiyaç duyulması halinde, ilgili kurum ve kuruluşların da görüşünü almak suretiyle karar verir;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeler,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresi,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler.
Yine KVKK madde 9 uyarınca, yukarıda sıralananların yanında, kişisel verilerin yurtdışına aktarılması sürecinde uluslararası sözleşme hükümleri ve konuya ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Bu kapsamda Kurul tarafından 2019/157 Sayılı Karar’da, kişisel verilerin Google firmasına ait G-mail hesapları üzerinden uluslararası düzlemde birçok farklı ülkede bulunan veri merkezlerinde tutulmasının yurtdışına veri aktarımı sayıldığı, dolayısıyla bu gibi aktarımların KVKK madde 9’da düzenlenen şekilde gerçekleştirilmesi gerektiğine karar verilmiştir. Kurul’un bu kararı ile kişisel verilerin, yapılan işin gereği olarak, Türkiye sınırları dışına doğrudan veya dolaylı yollarla aktarıldığı her halde yurtdışına veri aktarımından söz edilebilecektir.
Görüldüğü üzere 6698 Sayılı Kanun çerçevesinde hukuka uygun biçimde yurtdışına veri aktarımının gerçekleştirilebilmesi için, ilgili kişinin aktarıma ilişkin açık rızasının varlığı veya başkaca işlenme şartlarının varlığı halinde ilgili kişinin açık rızasına gerek kalmaksızın aktarımın yapılabileceği düzenlenmiştir.
4. ULUSLARARASI ÇERÇEVEDE KİŞİSEL VERİLERİN KORUNMASI KANUNU
Avrupa Birliği’ndeki gelişmeler ve düzenlemelerle mukayese edildiğinde, Türkiye’de Kişisel Verileri Koruma Kanunu’nun Nisan 2016’da yürürlüğe girmiş olması ülkemizde daha evvel kişisel verilere ilişkin herhangi bir koruma sağlanmamış olduğu anlamına gelmemekle birlikte ülkemiz Anayasası, Ceza Kanunu ve Borçlar Kanunu çerçevesinde özel hayatın gizliliği ve kişisel verilerin korunmasına ilişkin sağlık, bankacılık, elektronik haberleşme gibi alanlarda KVKK’nın yürürlüğe girmesinden önce hayata geçirilmiş çeşitli düzenlemeler mevcuttur.
Anayasa’da 2010 yılında 5982 Sayılı Kanun’la yapılan değişiklik ile Anayasa’nın 20. Maddesine eklenen fıkra aşağıdaki gibidir;
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Türkiye’ye kıyasla daha etkin koruma sağladığı kabul edilmiş ülkelerin birçoğunda, kişisel verilerin korunması Anayasal bir hak olarak görülmekte ise de ayrıca ve özel olarak düzenlenmiş bir hak değildir. İlgili düzenlemelerde genellikle özel hayatın korunması, ifade özgürlüğü gibi diğer anayasal haklar ile kişisel verilerin korunması bağdaştırılarak bu çerçevede anayasal bir hak olarak yorumlanmaktadır.
Uluslararası çerçevede kişisel verileri koruma üzerine yasal düzenlemelere bakıldığında Türkiye’nin, en az korumanın sağlandığı ülkelere kıyasla daha iyi konumda, limitli koruma sağlanan ülkeler arasında yer aldığı görülmektedir. Genel olarak, mevzuatları liberal demokrasilere öncü örnek teşkil eden Avrupa Birliği’nin ve üyesi ülkelerin, Amerika Birleşik Devletleri’nin uyguladığı koruma standartları Türkiye’ye göre daha yüksek değerlendirilmektedir. Uluslararası standartların varlığı ve bunların daha fazla ülke tarafından benimsenmesi, kişisel verilerin yurt dışına aktarılmasının kaçınılamz olduğu bu dönemde oldukça önem kazanmıştır.
Stj. Av. Öykü AKYÜZ
Kaynakça
– Kişisel Verileri Koruma Kurumu, Kişisel Verilerin İşlenme Şartları, İçerik 4190
– ÇELİKEL, Serdar, Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi, 2021
– TÜRKMEN, Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, 2019
– 6698 Sayılı Kişisel Verileri Koruma Kanunu, 2016
– HOŞNUT, Yasime, Uluslararası Düzenlemelerde ve Türkiye’de ̇Kişisel Verilerin Korunması,2019
– Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler, İçerik 4183
– ANI, Nevzat Ali. Kişisel Verilerin İşlenmesi ve Açık Rıza. İstanbul Üniversites iSosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı Yüksek Lisans Tezi. İstanbul: s.n., 2018. s. 128.
– AKÇALI GÜR, Berna, Uluslararası Hukuk ve AB Hukuku Boyutuyla Kişisel Verilerin Yurt Dışına Aktarılması, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi • Cilt 25, Sayı 2, Prof. Dr. Ferit Hakan Baykal Armağanı, Aralık 2019
– DLA Piper, Data Protection Laws of the World, (Çevrimiçi) https://www.dlapiperdataprotection.com (Erişim Tarihi: Ocak 2018)
– Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Strasbourg, 28.I.1981
Comentários