Kişisel verilerin yurt dışına çıkarılabilmesine ilişkin Kanunumuzun 9. Maddesini incelediğimizde kişisel verilerin yurt dışına çıkarılmasına ilişkin kurallar belirlenmiştir. Şimdi gelin bu hükmü birlikte inceleyelim;
Kanun öncelikle kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin AÇIK RIZASINI aramaktadır. Kanunda sayılan istisnai haller dışında ilgilinin açık rızasının olmaması halinde kişisel veriler yurt dışına hiçbir şekilde aktarılamaz.
Kişisel verilerin aktarılacağı yabancı ülkenin de bazı şartları sağlaması gerekmektedir. İşte bu şartlar şunlardır:
- Kişisel verileri yeterli derecede koruması gerekmektedir.
- Eğer yabancı ülkede yeterli düzeyde koruma bulunmuyor ise kişisel veriler için Kanunda belirtilen şartların olması halinde Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekmektedir ve bunun yanında Kurulun izninin olması gerekmektedir.
Bu şartları sağlaması durumunda yabancı ülkeye, açık rıza aranmayan istisnai hallerde, kişisel veriler aktarılabilecektir.
Yeterli korumanın bulunduğu ülkelerin Kurulca belirleneceği hüküm altına alınmış.
Peki, Kurul bu ülkeleri nasıl belirleyecektir? Kurul, değerlendirme yaparken şu hususları göz önünde bulunduracaktır:
- Türkiye’nin de taraf olduğu uluslararası sözleşmeleri,
Burada bir parantez açmamız gerekirse ‘Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması Sözleşmesi (108 sayılı Sözleşme) 12. Maddesi dikkate alındığında, bir tarafın özel hayatın korunması amacıyla kişisel verilerin diğer bir tarafa sınır ötesi akışını yasaklayamaz hükmü ve bu hükmün istisnalarına yer vermiştir. Bu hükmün gerekçesine baktığımızda Sözleşmenin taraf ülkelerin kişisel verilerin korunmasında yeterli düzeyde güvence sağladığını ön kabul ettiği ve bu sebeple aralarındaki veri akışının kolaylaştırılmasını amaç edindiğini belirtmektedir. Ancak taraf ülkelere kendi iç hukuklarında verilerin yurt dışına aktarım konusunda düzenleme yapma imkânını ortadan kaldırmadığını belirtmektedir.
Kurulun 22.07.2020 tarihinde vermiş olduğu 2020/559 sayılı kararda sadece 108 sayılı Sözleşme 12. Maddesine dayanarak kişisel verilerin taraflar arasında yurt dışına aktarımının doğru olmadığı, bunun yanında Kanunun 9. Maddesinde sayılan taraflar arasında yazılı bir taahhütnamenin ve Kurul izninin bulunması da gerektiğinden veri sorumlusu idari para cezasına çarptırmıştır.
- Kişisel verilerin aktarılacağı yabancı ülke ile veri aktarımına ilişkin karşılılık durumu,
Mütekabiliyet hususu veri aktarımlarında ülkeler açısından önemli bir husus olarak ortaya çıkmaktadır. Ülkemizde faaliyet alan veri sorumluları ve veri işleyenlerin güvenli, masrafsız ve hızlı şekilde veriye ulaşmaları ve ekonomik kazanç sağlamaları adına karşı taraf yabancı ülke ile aynı şartlara sahip olmaları, tek taraflı tanıma halinde dezavantajlı duruma düşmemeleri adına mütekabiliyet ilkesi önem arz etmekte.
- Her somut olay için aktarılması düşünülen kişisel verilerin işlenme amaç, süresi ve niteliği,
- Verinin aktarılacağı yabancı ülkenin ilgili mevzuatı ve uygulamaları,
- Aktarılacak ülkede yer alan veri sorumlusunun taahhüt ettiği önlemler,
Yukarıda sayılan hususlar Kurul tarafınca değerlendirilmektedir.
Kişisel verilerin korunmasının temel hak ve özgürlük kapsamında olduğu önemine haiz olan Kurul, hızla gelişen teknolojik gelişmelerden Ülkemizin de faydalanabilmesi adına, bu iki husus konusunda bir denge sağlamaktadır.
Yukarıda açıklamaya çalıştığımız gerekçelerle Kanunun 9. Maddesi hükmü emredici bir hükümdür ve kişisel verilerin yurt dışına aktarımının önemli bir konu olması sebebiyle ayrıca hüküm altına alınmıştır. Bu şartlar çerçevesinde kişisel veriler yurt dışına aktarılabilecektir.
İlgili 22.07.2020 tarihli 2020/559 sayılı Kurul Kararı:
‘Kişisel verilerin yurtdışına aktarılması ile ilgili veri sorumlusunca Kanunun 9. Maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü belirlenmesi açısından tek başına yeterli olmadığı Kurul tarafından yapılacak değerlendirme de olumlu bir unsur teşkil edeceği, bu gerekli şartlar sağlanmadığından hukuka aykırı kişisel verileri işleme faaliyeti gerçekleştiğine’ karar vermiştir.