Kişisel Verilerin Korunması Kanunu Kapsamında Yurt Dışına Veri Aktarımlarında Çözümler

Özet

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kişisel verilerin yurt dışına aktarılmasıyla ilgili vermiş olduğu son kararlar çerçevesinde, kişisel verilerin yurt dışına aktarılmasında mevzuata uyum sağlamak her zamankinden daha önemli hale geldi. Bu yazımızda yurt dışı veri aktarımında mevcut durumu ve riskleri inceledik.

Kişisel Verilerin Yurt Dışına Aktarılmasında Mevzuattaki Son Durum Nedir?

Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 9 uyarınca kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma bulunuyorsa, kişisel veriler yurt dışına ilgili kişinin açık rızası aranmaksızın aktarılabilir. Fakat henüz güvenli ülkeler listesi ilan edilmediği için tüm yurt dışına kişisel veri aktarım faaliyetlerinde (i) açık rıza alınması ya da (ii) tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi gerekmektedir.

Kişisel Verilerin Yurt Dışına Aktarılmasında Açık Rıza Alınması

Kişisel verilerin yurt dışına aktarılmasında ilgili kişilerden açık rıza alınması uygulamada en pratik yöntem gibi görünse de açık rıza bütün sorunları çözmemektedir. Bir şirketin yurt dışına kişisel veri aktardığı süreçlerde, kişisel verisi yurt dışına aktarılan bütün ilgili kişilere ulaşıp onaylarını alabilmesi pratikte her zaman mümkün olmamaktadır (örn. kişisel verinin hizmet sağlayıcı Bilgi Teknoloji firmalarının alt yapısı kullanılarak otomatik sistemler vasıtasıyla yurt dışına aktarıldığı durumlarda). Eğer açık rıza fiziksel ortamda alınacaksa, fazla sayıdaki açık rıza metinlerinin saklanması da ayrı bir sorun olacaktır. Bunun yanında şirketlerin yurt dışına veri aktarılacak tüm süreçlerinde açık rıza almak için başlattığı çalışmalar, eğer veri sahipleri açık rızalarını vermezler veya verdikleri rızayı sonradan geri alırlarsa boşa gidecektir. Şirketlerin özellikle son tüketiciye dokunan süreçleri bakımından yurt dışına veri aktarımı için açık rıza almalarının, Kurul tarafından “hizmetin şarta bağlanması” olarak yorumlanma riski de mevcuttur. Bu sebeple yurt dışına kişisel veri aktarımlarında açık rıza bazı süreçler için bir çözüm olsa da tüm süreçler için uygulanabilir olmamaktadır.

Kişisel Verilerin Yurt Dışına Aktarılmasında Taahhütname İmzalanması

Kişisel verilerin hukuka uygun bir şekilde yurt dışına aktarılabilmesinin ikinci seçeneği, Türkiye’deki veri aktaran ile yurt dışındaki veri alıcısı arasında Kurul’un ilan ettiği taahhütnamenin imzalanması ve bu taahhütname ile Kurul’dan yurt dışına aktarım için onay alınmasıdır. Şirketler, yurt dışına veri aktardıkları her bir taraf için ayrı bir taahhütname ile Kurul’a başvurmalıdır. Kurul yakın zamanda grup şirketleri için Bağlayıcı Şirket Kuralları’nın (“BŞK”) hazırlanmasında mevcut olması gereken noktalara ilişkin kriterleri yayınlamıştır. Dolayısıyla grup şirketleri açısından taahhütnamenin yanı sıra BŞK da bir opsiyon olacaktır.

Taahhütnamenin imzalanması tek başına yeterli olmayıp, taahhütnamenin eki veri aktarım faaliyetleri detaylandırılarak ayrıntılı bir şekilde doldurulmalıdır. Taahhütnamenin ekinin hazırlanabilmesi için gereken bilgi ve belgelerin yurt dışındaki veri alıcılarından eksiksiz bir şekilde elde edilmesi ve bu ekin Kurul’un öngördüğü şekilde hazırlanması gerekmektedir. Ancak bu ekin doldurulmasının oldukça detaylı bir çalışma gerektirdiğini ve farklı yurt dışına aktarım süreçleri olan şirketler için kısa bir zamanda tamamlanmasının mümkün olmayacağını belirtmek gerekir.

Kişisel Verilerin Yurt Dışına Aktarılmasında Açık Rıza ve Taahhütname Haricinde Başka Seçenek Var mıdır?

Halihazırda KVKK kapsamındaki riski tamamen ortadan kaldırmak isteyen şirketlerin kişisel verileri Türkiye’deki sunucularda saklaması en güvenli seçenek olarak görünmektedir. Ancak özellikle operasyonları tüm dünyaya yayılmış olan global şirketler için bu seçeneğin uygulanması kolay olmayacaktır. Bununla birlikte açık rıza veya taahhütname olmaksızın kişisel verilerin yurt dışına aktarılabilmesi için diğer bir seçenek, yurt dışına aktarılacak kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilerek, yani anonimleştirilerek aktarılmasıdır. Özellikle de yurt dışının sadece istatistiki ya da rakamsal veriye ihtiyaç duyduğu ve kişisel verinin kendisi ile ilgilenmediği durumlarda anonimleştirme iyi bir seçenek olacaktır. Ancak bu yöntemlerin mümkün olmadığı durumlarda yukarıdaki açıklamaların değerlendirilerek açık rıza ve taahhütname arasından en uygun yöntemin tercih edilmesi gerekecektir. Taahhütname ya da BŞK hazırlanması gerekecekse bu çalışma oldukça detaylı olacağından vakit kaybetmeden başlatılması önem taşımaktadır.

Yurt dışındaki veri sorumlularına aktarılacak kişisel verilerin öncelikle Türkiye’deki veri sorumluları tarafından elde edildiği ve sonrasında yurt dışına aktarıldığı görülmektedir. Eğer veri aktarılacak yurt dışındaki veri sorumlusu, kişisel verileri Türkiye’de bizzat kendisi toplar ve Türkiye’deki veri sorumlusunu sürece dahil etmezse, bu durumda teknik anlamda bir veri aktarımı yapılmamış olacağından açık rıza veya taahhütnameye ihtiyaç kalmayacaktır. Fakat bu durumda yurt dışındaki veri sorumlusu, KVKK kapsamındaki yükümlülüklerini bizzat yerine getirmek ve Veri Sorumluları Siciline (“VERBİS”) kaydolmak durumunda kalacaktır.

Sonuç

Uygulamada şirketlerin yurt dışına veri aktarımını tamamen durdurması veya aktarılacak tüm kişisel veriler için açık rıza alması mümkün görünmemektedir. Yurt dışına veri aktarımlarında riskin kesin olarak ortadan kalkması ancak taahhütname imzalanıp Kurul’un izni alındığı zaman mümkün olacaktır. Taahhütname ve BŞK’nın Kurul’un istediği şekilde hazırlanabilmesi ve onay alınabilmesinin zor bir prosedür olduğu göz önüne alındığında, bu kapsamda en kısa sürede çalışmaya başlamak gerekir.

Yurt dışına kişisel veri aktarımlarındaki her türlü sorununuzla ilgili ekibimizle iletişime geçebilirsiniz.