Kişisel verilerin aktarılması; her ne kadar kişisel verilerin işlenmesi tanımının[1] içine dahil edilmiş olsa da bu tanımda yer alan diğer veri işleme türlerinden ayrı maddeler altında düzenlenmiştir. (8-9. madde) Bunun sebebi kişisel verilerin; veri sorumlusu tarafından başka bir veri sorumlusu ya da veri işleyene aktarımının, bu verilerin akıbeti hakkında büyük sakıncalara yol açabilecek olmasıdır. Bu sebeple kanun koyucu kişisel verilerin işlenmesi için aradığı şartları kişisel verilerin aktarımı için de aramaktadır. Ayrıca bu konuda veri sorumlusundan bir takım ek tedbirleri almasını da beklemektedir.
YURT İÇİ AKTARIM
Kişisel verilerin yurt içinde aktarımı Kişisel Verilerin Korunması Kanunu’nun Kişisel Verilerin Aktarılması başlıklı 8. maddesinde düzenlenmiştir. Kanundan belirtilen ilkeler çerçevesinde işlenmek amacı ile elde edilen kişisel veriler ilgili kişinin açık rızası alınmak sureti ile Türkiye'de üçüncü kişilere aktarılabilir. Veri sahibinin açık rızası olmaması halinde ise kişisel verilerin işlenmesi şartlarından birinin varlığı aranmaktadır. Bu anlamda Kişisel veriler Kanunun 5. maddesinin 2. Fıkrasında[2] veya yeterli önlemler alınmak kaydı ile Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın yurt içinde üçüncü kişilere aktarılabilir.
Ayrıca kanun koyucu; niteliği itibariyle daha fazla önem atfettiği hassas veriler yani özel nitelikteki kişisel verilerin aktarımı için ayrıca bir takım kurallar düzenlemiştir. Bunlardan sağlık ve cinsel hayata ilişkin kişisel verilerin aktarılması halinde farklı diğer özel nitelikteki kişisel verilerin aktarılması halindeyse farklı haller öngörülmüştür. Veri sahibinin açık rızasının bulunmadığını varsayarsak özel nitelikteki kişisel veriler:
· Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
· Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.
YURT DIŞI AKTARIM
Kanunun 9.maddesinde düzenlenen yurt dışına veri aktarımı;
§ İlgili kişinin açık rızasının bulunması,
§ Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Yukarıda bahsi geçen Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
§ Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması hallerinde söz konusu olabilecektir.
Yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler Kurul tarafından belirlenmiştir.[3] Ancak ne yazık ki Kurul tarafından ilan edilmesi gereken Güvenli Kabul Edilen Ülkeler hali hazırda ilan olunmamış, bu sebeple Kurul tarafından her ülkenin güvensiz olduğu kabul edilmiştir. Bu nedenle yurt dışına veri aktarımı için geriye tek bir yol kalmaktadır. O da yeterli korumanın bulunmadığı güvensiz ülkelere kişisel veri aktarımı yapılırken izlenmesi gereken yol olacaktır.
An itibariyle kişisel verilerin yurt dışına aktarımı için;
1. Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin gerçekleşmesi,
2. İlgili yabancı ülkedeki veri aktarılacak veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
3. Bu taahhütle başvuru yapılmasının akabinde Kurulun yurt dışına veri aktarımı için yazılı izninin bulunması gerekmektedir.
[1] 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında; kişisel verilerin işlenmesi “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
[2] Kişisel verilerin işlenme şartları
MADDE 5-
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
[3] Kişisel Verileri Koruma Kurulu'nun 02/05/2019 tarih ve sayılı 2019/125 sayılı Kararı
Comments