Ana içeriğe atla

Loading...

KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMI VE ÇEREZ KULLANIMI POLİTİKALARI

Türkiye Barolar Birliği tarafından yürütülen eğitimler kapsamında Doç. Dr. Murat Volkan Dülger kişisel verilerin Yurt Dışına Aktarılması ve Çerez Kullanımı Politikaları hakkında verdiği eğitim çerçevesinde aşağıdaki hususlar önem taşımaktadır.

 

İlgili Maddeler:

 

Kişisel Verilerin Korunması Kanunu Madde 8 – Kişisel verilerin aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

 

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

 

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 

Kişisel Verilerin Korunması Kanunu Madde 9 -Kişisel verilerin Yurt dışına aktarılması

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

 

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

 

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. 

Madde 5/2 — (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Madde 6/3 — (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

Kişisel verilerin aktarımına ilişkin olarak Kanun 8.maddesinde yurt içindeki aktarım düzenlenirken 9.maddesinde ise yurt dışına aktarımının nasıl olacağını düzenlenmektedir.

 

Kişisel verilerin yurt dışına aktarılması için KVKK m.9 uyarınca ilgilinin açık rızası alınmalıdır. Ancak Madde ikinci fıkrasında, beşinci maddenin ikinci fıkrası ile altıncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve aktarılacak ülkede yeterli korumanın olması durumunda veya aktarılacak ülkede yeterli koruma olamasa dahi Türkiye’deki ve aktarılacak ülkedeki veri sorumlularının, yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izni olması durumunda ilgilinin açık rızası olmadan da aktarım yapılabileceği düzenlenmiştir. Yurt dışına aktarımın yapılıp yapılmayacağı ve yapılmasının şartları ülkelerin takdirinde olup buna ilişkin düzenlemeler ülkeden ülkeye farklılık göstermektedir. Yeterli korumanın olduğu ülkeler Kurul tarafından henüz açıklanmamıştır. Bu sebeple şu anda yurt dışına veri aktarımı yapılmasını mümkün kılan yöntemler açık rıza alınması ve veri sorumluları tarafından taahhütname verilmesi ile bu taahhütnamenin Kurul tarafından onaylanması olarak karşımıza çıkmaktadır. 

 

Doç. Dr. Murat Volkan Dülger verdiği eğitimde, 2 Mayıs 2019 tarihinde 2019/125 sayılı karar numarası ile yayımlanan “Yeterli Korumanın Bulunduğu Ülkelerin Tayininde Kullanılmak Üzere Oluşturulan Form Hakkındaki Kurul Kararı”nda belirtilen kriterler arasında karşılıklılık ve ilgili ülke ile yürütülen ticaretin hacminin sayılmasının sorunlara sebebiyet verebileceğini belirtmiştir.

 

Taahhütnamelerin usul ve esaslarına ilişkin duyuru ise 7 Mayıs 2020 tarihinde Kurum’un sayfasında yayımlanmıştır. Yayımlanan bu duyuruda taahhütlerin usul ve esaslarının yanında veri sorumlusu ve veri işleyen gibi kavramlar da örneklerle açıklanmış, taahhütname sunulurken istenen belgeler vb. hususlar iç hukuk sistemine uygun şekilde belirtilmiştir. Açıklanan esas ve usullerin incelenmesi sonucunda taahhütnameler için onay alınmasının önemli bir iş yükü ve süreç olduğu görülmektedir. Esasa ilişkin olarak ise verilerin veri sorumlusundan veri sorumlusuna mı yoksa veri sorumlusundan veri işleyene mi gönderileceğinin açık olarak belirtilmesi gerektiği belirtilmiştir. Bu noktada veri sorumlusunun ve veri işleyenin kim olduğunun tespiti büyük önem taşımaktadır. Taahhütnamede kullanılan terminolojilerin Kanunlar ve diğer düzenlemelerle uyumlu olması, veri aktarımının hangi amaç ve hukuki sebebe dayanılarak yapıldığının  açık olması, tek tek belirtilmesi, taahhütnamelerde ve ek belgelerde KVKK m.4’te belirtilen genel ilkelere uyulması, verinin KVKK m.5/2 ile m.6/3’te yer alan sebeplerden biri ile işlenmesi durumunda bu sebebin açıkça belirtilmesi ve veri ile bağ kurulması gerekmektedir. Açık rıza ile veri aktarımı yapılacaksa bu durumlar taahhütnameye konu edilemez. Yapılacak aktarımlarda ilgili kişinin temel hak ve özgürlüklerine zarar verilmeden, 2019/78 Karar numaralı ve 25.03.2019 tarihli karar ile belirtilen denge testine bakılmalı, bu test uygulanmalı ve sonuçları da taahhütnameye konulmalıdır. Doç. Dr. Murat Volkan Dülger, verdiği eğitimde taahhütnamede bunların yanında alıcı ve alıcı gruplarının, veri alıcısı tarafından alınacak önlemlerin, özel nitelikli veriler için alınacak önlemlerin, VERBİS bilgilerinin belirtilmesi gerektiğini; saklama süreleri ve ilgili diğer bilgilere ise ek faydalı bilgiler başlığı altında yer verilmesi gerektiğini belirtmiştir. Bunun yanında Dülger, saklama sürelerinden bahsedilirken aktarılan ülkelerdeki mi, Türkiye’deki mi sürelerden bahsedildiği net olarak belirtilmediğini ancak yapılan atıf ile kendisinin bu süreyi Türk mevzuatındaki süreler olarak yorumladığını belirtmiştir. Mevzuatta düzenlenmemiş ise; veri sorumlularının amacı ile bağlantılı aktarım yapılması durumunda, veri sorumlusundan veri işleyene yapılan aktarımlarda saklama sürelerini, Türkiye’deki veri sorumlusunun belirleyeceğini, veri sorumlusundan veri sorumlusuna aktarım hallerinde ise taraflar arasındaki mutabakat ile makul sürenin belirlenmesi gerektiğini söylemektedir.

 

Kurum yayımladığı bir diğer duyuru ile “söz konusu taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlamakta yetersiz kalabilmektedir. Bu nedenle Kurul tarafından, söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere diğer bir yöntem olarak da ‘Bağlayıcı Şirket Kuralları’ belirlenmiştir.” diyerek yeterli korunmanın bulunmadığı ülkelerdeki çok uluslu grup şirketler için veri aktarımı konusunda, bu bağlayıcı şirket kuralları başvurusunun Kurul tarafından kabul edilmesi durumunda, uygulama kolaylığı sağlamayı amaçlamıştır. Dülger, Bağlayıcı şirket kurallarının AB Genel Veri Koruma Tüzüğü’nde de düzenlendiğini belirtmiştir. Avrupa Birliği ülkeleri arasında sürekli bir veri dolaşımının olduğu göz önünde tutulduğunda, uygulamada pratiklik sağlanması bakımından bağlayıcı şirket kurallarının oluşturularak veri koruma otoritesinden onay alınması ve onay sonucu kullanılması mümkün kılınmıştır. Ancak bağlayıcı şirket kurallarının oluşturulması ciddi bir yatırım gerektirmektedir ve bu bakımdan küçük çaplı şirketlerin bu maliyete katlanması oldukça zordur. Nitekim Dülger de 20 yıldır AB kapsamında uygulanmasına rağmen bağlayıcı şirket kurallarını uygulayabilen şirket sayısının kırktan fazla olmadığını belirtmektedir. Dülger, Türkiye’de de Kurum tarafından duyurulmasına rağmen, bu kuralların hangi veri otoritesine onay için sunulacağı, TTK kapsamında kurulan ve aynı ürünü üreten yan kuruluşların sayısının ne kadar olduğu gibi hususlara dikkat çekerek bunların Türkiye’de uygulanmasının oldukça zor olduğu belirtmektedir.

 

Çerez (Cookies), kişilerin kullandıkları araç ile ziyaret ettikleri her siteden, bu siteye tekrar girilmek istendiğinde hızlı bir şekilde girişin sağlanması amacıyla toplanan izlerdir. Bu bilgiler kişilerin kullandığı araçta saklanmaktadır. Çerezler sonucu ziyaret edilen siteler ile özünde kişilerin çeşitli konulardaki tercihlerinin, dünya görüşlerini belirlenebileceği düşünüldüğünde bu verilerin kişisel veri olduğu açıkça görülecektir. Bu sebeple bu verilerin işlenmesi için de açık rıza alınması gerekmektedir. Dülger, Amerika’da kişisel verilerin mülkiyet hakkına konu olabilecek eşya olarak kabul edildiğini, kural olarak veri toplama ve işlemenin belirli alanlar dışında serbest olduğunu; ancak AB’nin bakış açısının çok farklı olduğunu belirtmektedir. Ayrıca çerezlerin bilgisayarda tutuluyor olmasına rağmen, bilişim kapsamında bir veriye erişme imkanı olmasının aktarım olarak kabul edildiğine değinmektedir.

 

Amazon Kararı’na ve verilen idari para cezasına da değinen Dülger, GDPR kapsamında verilen cezaların şirketlerin yıllık cirosuna göre oransal olarak verildiğini, Türkiye’de miktar bakımından verilen ceza yüksek olsa da Amazon gibi şirketler için verilen miktarın çok yüksek olarak değerlendirilemeyeceğini belirtmiştir. Ayrıca karar kapsamında birçok sorunun da ortaya çıktığını belirtmiştir.

 

Sorulan sorular kapsamında ise; sitede dolaşım için çerezlerin kabul edilmesinin zorunlu olduğu durumlarda bunun sebeplerinin makul olarak açıklandığı ve siteye giriş ile birlikte aydınlatma yapılarak devam edilmesi için onay alınması durumunda bu durumun hukuka aykırılık oluşturmadığı ancak hizmet vermenin onay şartına bağlanması durumunda ihlalin olacağını, çerezlerin hangi ifade ile kabul edildiğinin bir önemi olmadığını, önemli olanın reddetme imkanı verilmesi olduğunu, aydınlatmanın en başında yapılması gerektiğini, yurt dışına aktarım için ayrı rıza alınması gerekmediğini, rızaların açıkça bilgilendirilme, aktarım amacı vb. hususları belirttikten sonra tek bir belge ile alınabileceğini, açık rızanın geri alınmasının oldukça kolay olduğu düşünüldüğünde en son seçenek olarak kullanılmasının faydalı olacağını, kanunda açık rıza bakımından kolluk güçleri ve istihbarat teşkilatı dışında başka bir istisna bulunmadığı, istisnalara idari para cezaları kapsamında yer verildiği, ancak bunların disiplin soruşturması yapılmasını engellemeyeceğini, yurt dışındaki bir veri işleyene veri aktarılması durumunda veri sorumlusuna aktarılıyormuş gibi KVKK m.9’un uygulandığını belirtmiştir. 

0 Yorumlar

Yorum Yap

Kısıtlı HTML

  • İzin verilen HTML etiketleri: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Satır ve paragraflar otomatik olarak bölünür.
  • Web sayfası adresleri ve e-posta adresleri otomatik olarak bağlantılara dönüşür.