Kişisel verilerin yurt dışına aktarılması konusu uzun yıllardır sürüncemede kalmış bir konu. En son geçtiğimiz ay Google’a kişisel verileri yurt dışına aktarması için özel izin belgesi verilmesinin ardından tekrar gündemimize şu konu geldi; kişisel verileri yurt dışına aktarılması için neler gerekli?
Bu yazımızda kişisel verileri Kişisel Verileri Koruma Kanununa göre nasıl yurt dışına aktarabileceğimizi detaylıca anlatacağız.
Kişisel Verilerin Yurt Dışına Aktarılması Hangi Mevzuata Tabii?
Kişisel verilerin yurt dışına aktarımı KVKK 9. maddesinde regüle edilmiştir. Bu maddeye göre kişisel veriler şu 3 yolla yurt dışına aktarılabilir:
Açık Rızanın Alınması
Kişisel verilerin yurt dışına aktarılması için açık rızanın alınması en önemli genel anlamıyla KVK hukukunda olduğu gibi bu noktada da ilk şarttır. Aşağıda diğer sayacağımız yolar ise açık rızanın alınmadığı durumlarda kullanılabilecek yollardır.
Yeterli Korunmanın Yazılı Taahhüt Edilmesi
Kişisel verileri yurt dışına aktarabilmek için de başvurulacak ikinci yol verinin gönderileceği ülkedeki veriyi alacak şirketin yeterli korumayı taahhüt etmesi. Ancak bu yola her koşulda başvurulamaz. Sadece Kanunun 5/2 ve 6/3 fıkrasında yer alan hallerin bulunması durumundan kişisel verilerin yurt dışına aktarılması için yeterli korumayı taahhüt ederek Kişisel Verileri Koruma Kurumuna başvurulabilir.
Bu yola başvurmak için ikinci şart ise verinin aktarılacağı ülkede yeterli korumanın bulunmamasıdır.
Bu yolun kullanım örneklerini neredeyse hiç görmüyorduk. Ta ki geçtiğimiz aya kadar. Geçtiğimiz ay yayımlanan karar ile KVKK Google’a kişisel verileri yurt dışına aktarılması için yeterli önlemi garanti etmesi sebebiyle başvurusunu olumlu değerlendirdi ve ilk iznini verdi.
Verinin Aktarılacağı Ülkenin Güvenli Ülke Olması
Girişte bahsettiğimiz yıllardır sürüncemede kalan kısım tam olarak da burası. Kurum KVKK’da bahsedilen verilerin aktarılması için kolaylık sağlayacağı güvenli ülkeleri Kanunun yürürlüğe girmesinin ardından yıllar geçmesine rağmen halen yayımlamadı. Hal böyle olunca kişisel verilerin yurt dışına aktarılması için bir yol tamamen kullanılamaz hale geldi.
Kişisel Verilerin Yurt Dışına Aktarılmasındaki Son Durum Nedir?
Kişisel verilerin yurt dışına aktarılmasındaki son durum Kurumun güvenli ülkeleri halen duyurmaması sebebiyle bir değişiklik bulunmamakta. Bu sebeple halen yurt dışına veri aktarılması için güvenli ülkeler olamadığı için KVKK madde 9’da belirtilen şartlardan diğerleri olan açık rıza ve yeterli korumanın yazılı olarak taahhüt edilmesi seçenekleri kullanılabilir senaryolar olarak dikkat çekmektedir.
Geçtiğimiz aylarda yeterli taahhütü sağlayarak Kurumdan ilk izni alan firma Google oldu. Google bu izinle beraber Türkiye’de topladığı kişisel verileri yurt dışına açık rıza almadan aktarabilecek.
Kişisel Verilerin Yurt Dışına Aktarılması İçin Açık Rıza Nasıl Alınır?
Kişisel verilerin yurt dışına aktarılması için başvurulabilecek yöntemlerden biri veri sahibinden açık rıza alınmasıdır. Bu yöntem pratik bir çözüm olarak göze çarpsa da uygulaması oldukça zahmetli olmasından dolayı pek tercih edilmemektedir. Bunun sebepleri ise şunlardır:
- Açık rıza için sonradan tüm veri sahiplerine ulaşmanın zahmetli olması
- İlk veri girişi yapılırken açık rızanın alınmasının bir zorunluluk olarak tutulması durumunda ise Kurumun “hizmet şartı” olarak değerlendirerek ayrıca ceza verme ihtimalinin olması.
Kişisel Verilerin Yurt Dışına Aktarılması Kararları
- Bir teknoloji şirketi tarafından ilgili kişinin kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılması hakkında
- Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında karar
- Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin karar
Kişisel Verile alanında rahatça karar araması yaparak bilgi birikiminizi güncel tutmak için KVKK Arar arama motorunu kullanabilirsiniz.