Uluslararası veri aktarımı günümüzde uluslararası ticaretin önemli bir bileşeni ve birçok dijital hizmet modelinin bel kemiği konumunda. Araştırmalara göre uluslararası veri transferinin 2014 yılında dünyadaki gayri safi yurtiçi hasılaya katkısı 2.9 trilyon Amerikan Doları’na ulaşmış.[1] Bunun bir sonucu olarak da, veri transferi tüm dünyada çeşitli mevzuat düzenlemeleri ile kontrol altına alınmaya çalışılıyor.
Türkiye’deki Durum Ne?
(A) Yasal düzenlemeler
Türkiye’de kişisel veri transferleri 7 Nisan 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) düzenlemelerine tabi. Kişisel verilerin KVKK’ya aykırı şekilde yurt dışına aktarımı halinde Kurum’un 27.037 TL’den 1.802.640 TL’ye kadar idari para cezası uygulaması söz konusu[2]. Bunun yanında, Türk Ceza Kanunu’nun 136. maddesinde, kişisel verinin hukuka aykırı olarak verilmesi, yayılması ve toplanması halinde 1 yıldan 4 yıla kadar hapis cezası uygulanacağı hüküm altına alınmış durumda[3]. Ayrıca, KVKK kapsamında kişisel verileri yurtdışına aktarma tanımının geniş yorumlandığını söylemek mümkün. Kurum’a göre, kişisel verilerin yurtdışındaki sunuculara depolama amacıyla aktarımı da kişisel verilerin yurt dışına aktarımı olarak görülüyor ve bu yönde bir aktarımın KVKK’nın 9. maddesine uygun olarak gerçekleştirilmesi gerekiyor[4].
KVKK’nın 9. maddesinde dört adet mekanizma bulunsa da, kısa vade çözümü olarak kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamıyor. 9. maddeye göre, kişisel verilerin ilgili kişinin açık rızası olmadan yurt dışına aktarılabilmesi için, KVKK’nın 5. maddesinin 2. fıkrasında yer alan diğer veri işleme şartlarından birinin mevcut olması ve;
(i) ilgili yabancı ülkede yeterli korumanın bulunması, ya da
(ii) yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurumu’nun (“Kurum“) izninin bulunması gerekiyor.
Ancak yeterli korumanın bulunduğu ülkelerin henüz Kurum tarafından belirlenmediğini eklemek isteriz. Kurum en son 26 Ekim 2020 tarihinde bir duyuru yayımlayarak, bu konudaki çalışmalarının sürdüğünü belirtti ve güvenli ülke statüsünün karşılıklı olarak tanınmasının öneminin altını çizdi. Dolayısıyla, bu konudaki çalışmalar sürse de henüz yeterli korumanın bulunduğu ülkeler duyurulmuş değil. Ayrıca, kamuya açık bilgiler dahilinde, Kurum’a izin başvurusu için iletilen taahhütnamelerden henüz onaylanan bulunmuyor. 26 Ekim 2020 tarihli duyurusunda Kurum bu hususa da değindi ve şimdiye kadar sunulan taahhütnamelerin beklenen bilgi düzeyini karşılamadığını belirtti[5].
(B) Bağlayıcı Şirket Kuralları
KVKK’da sayılan yurtdışına veri aktarımı metotları yukarıdakilerle sınırlı olmakla birlikte, Kurum’un zamanla yayımladığı bu konudaki ilave karar ve duyuruları bize farklı metotlar sunabiliyor. Zira Kurum 10 Nisan 2020 tarihinde, grup şirketleri arasında yapılacak veri aktarımı için şirketler arasında Bağlayıcı Şirket Kurallarının (Binding Corporate Rules) düzenlenmesi yoluna gidilebileceğini duyurdu[6]. Kurum böylece halihazırda Avrupa Birliği Genel Veri Koruma Tüzüğünde (General Data Protection Regulation) (“Tüzük“) yer alan bir düzenlemeyi Türkiye için uygulanabilir kılmış oldu. Bununla birlikte, Tüzük düzenlemelerinden farklı olarak, taahhütname metodunda olduğu gibi, Bağlayıcı Şirket Kurallarının düzenlendikten sonra Kurum’un onayına sunulması gerekmekte. Ayrıca Bağlayıcı Şirket Kuralları Kurum tarafından 1 yıllık inceleme süresine tabi. Bu süre 6 aylık sürelerle, anlaşıldığı kadarıyla sınırsız olarak, uzatılabiliyor.
Bu kapsamda, kişisel verilerin yurt dışına aktarılabilmesi için halihazırda başvurulabilecek en efektif yöntemin ilgili kişilerden açık rıza alınarak ilerlenmesi olduğu görülüyor. Bu metotla ilerlendiği senaryoda da, ilgili kişinin her daim açık rızayı geri alma hakkının bulunduğunu unutmamak lazım.
(C) 108 Sayılı Konvansiyon
Kurum’un yakın zamanda yayımladığı 22 Temmuz 2020 tarihli kararı, yurtdışına veri aktarımı konusunda muhafazakâr ilerlendiği düşüncelerini yanında getirdi. İlgili kararında Kurum, veri sorumlusunun 108 sayılı Konvansiyona dayanarak kişisel verileri yurtdışına aktarımını KVKK’nın 9. maddesinde belirtilen hususlara aykırı buldu ve ilgili veri sorumlusu aleyhine 900.000 TL para cezası uygulayarak, veri sorumlusuna hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin KVKK’ya uygun olarak silinmesi/yok edilmesi talimatı verdi[7]. Böylece KVKK’nın 9. maddesindeki mekanizmalardan birini kullanmaksızın yalnızca 108 sayılı Konvansiyon’a dayanarak yurtdışına veri aktarımı gerçekleştirilmesi mümkün olmayacak.
AB’de Güncel Gelişmeler
Son günlerde Avrupa Birliği, kişisel verilerin yurt dışına aktarımına dayanak oluşturan Avrupa Komisyonu’nun 2016/1250 sayılı “Gizlilik Kalkanı” (Privacy Shield) kararının Avrupa Adalet Divanı (“Adalet Divanı“) tarafından iptal edilmesi ile tartışmalı günler geçiriyor.
Tüzük’e göre, kişisel verilerin AB dışında ülkelere aktarımının birinci koşulu verilerin aktarıldığı ülkede yeterli korumanın bulunması (Adequacy Decision). “Gizlilik Kalkanı” (Privacy Shield) ile, Avrupa Birliği’nden Amerika Birleşik Devletleri’nde bulunan ve AB-ABD Gizlilik Kalkanı kapsamında olan organizasyonların yeterli seviyede koruma sağladığı kabul ediliyor ve bu organizasyonlara kişisel veri aktarımına izin veriliyordu. 2016/1250 sayılı “Gizlilik Kalkanı” (Privacy Shield) ve 2010/87 sayılı Standard Contractual Clauses (SCCs) kararları incelenmek üzere Adalet Divan’ının değerlendirilmesine sunulmuştu.
Adalet Divanı 16 Temmuz 2020 tarihli kararı ile, 2016 yılından beri yürürlükte olan “Gizlilik Kalkanı” (Privacy Shield) kararını iptal etti[8]. Adalet Divanı kararının gerekçesini “ABD iç hukukunun gereklilikleri ve özellikle belirli ABD kamu makamlarının AB’den ulusal güvenlik amacıyla aktarılan kişisel verilere erişimini sağlayan programları, kişisel verilerin korunmasında AB mevzuatı gerekliliklerini sağlamayacak şekilde sınırlamalara neden olmakta ve bu düzenlemeler ilgili kişilere ABD otoritelerine karşı yargı yolunda gerekli hakları sağlamamaktadır.” şeklinde açıkladı. Adalet Divanı’nın incelemesine sunulan Avrupa Komisyonu’nun 2010/87 sayılı Standard Contractual Clauses (SCCs) kararı ise geçerliliğini koruyor.
“Gizlilik Kalkanı” (Privacy Shield) kararının iptal edilmesinin ardından Adalet Divanı, 23 Temmuz 2020 tarihinde bir “Sıkça Sorulan Sorular” dokümanı yayımlayarak, bu organizasyonlara geçiş süreci sağlanmayacağını duyurdu[9]. Böylece Avrupa Birliği’nden Amerika Birleşik Devletleri’ne “Gizlilik Kalkanı” (Privacy Shield) kararına dayanarak kişisel veri aktaran organizasyonların aktarım faaliyetleri için yeni bir hukuki dayanak bulması gerekecek.
Bu gelişmelerin ardından, 12 Kasım 2020 tarihinde Avrupa Komisyonu, yeni Standard Contractual Clauses (SCCs) hükümleri ve karar taslağını yayımladı. Taslak 12 Kasım 2020 – 10 Aralık 2020 tarihleri arasında geri bildirime açık olacak[10]. Ayrıca, Avrupa Birliği Veri Koruma Kurumu, 10 Kasım 2020 tarihinde, kişisel verilerin Avrupa Birliği seviyesinde korunmasını temin etmeye yönelik transfer mekanizmalarına ek tedbirlere ilişin 01/2020 sayılı öneriler kılavuzunu (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) yayımladı[11]. Kılavuz, Adalet Divanı’nın “Gizlilik Kalkanı” (Privacy Shield) kararını iptali sonrası, Avrupa Birliği dışına veri aktaran kurumlara yol göstermek amacıyla yayımlandı.
Sonuç
2016/1250 sayılı “Gizlilik Kalkanı” (Privacy Shield) kararının Adalet Divanı tarafından iptal edilmesi Avrupa Birliği’nde yeni tartışmalara kapı açsa da, evvelce veri aktarımı imkanı sağlayan “Güvenli Liman” (Safe Harbour) kararının da benzer bir şekilde iptal edildiğini ve yerini “Gizlilik Kalkanı” (Privacy Shield) kararının aldığını unutmamak lazım. Kaldı ki, “Gizlilik Kalkanı” (Privacy Shield), “Güvenli Liman” (Safe Harbour) gibi yeterli korumanın bulunduğuna dair kararlar, Tüzük’te yer alan uluslararası aktarımın yasal dayanaklarından yalnızca biri. Tüzük’e göre, bir ülkeye, bölgeye veya sektöre dair alınmış bir yeterlilik kararı bulunmaması durumunda güvenlik tedbirlerine, güvenlik tedbirlerine dayanılamıyorsa, Tüzük’ün 49. maddesindeki istisnai şartlara dayanılarak, yurt dışına veri aktarımı gerçekleştirilebiliyor. Başka bir deyişle, Avrupa Birliği’nden yurt dışına veri aktarımı için başvurulabilecek birçok hukuki dayanak bulunuyor. Ayrıca Avrupa Birliği Veri Koruma Kurumu ve Avrupa Komisyonu mevzuatı düzenlemeye ve yeni yollar sunmaya yönelik çalışmalarını başlatmış durumda.
Türkiye’de ise yurt dışına veri aktarımı için hukuki dayanakların gerek yasal düzenlemeler gerekse Kurum kararları ışığında çok daha sınırlı olduğunu görüyoruz. Güvenli ülkeler listesinin açıklanmadığı ve Kurum’un sunulan taahhütnameleri onaylamadığı durumda, başvurulabilecek hukuki dayanaklar açık rıza ve Bağlayıcı Şirket Kuralları ile sınırlı kalmakta. Bağlayıcı Şirket Kuralları yalnızca grup şirketleri arasında gerçekleştirilen veri aktarımlarında başvurulabilecek ve uzun süre alacak bir metot. Dolayısıyla mevcut durumda uygulanabilir seçeneğin açık rıza alınması olduğunu söyleyebiliriz. Ancak açık rızaya başvurularak ilerlendiği senaryo da kendi içinde bazı çıkmazlar taşıyor. KVKK uyarınca açık rızanın her daim ilgili kişilerce geri alınabilir olması bunlardan biri. Açık rıza yönetimi ve geri alma sonrasında atılması gerekecek adımlar teknik ve bütçesel külfet doğurabilir. İlaveten, bildiği üzere Kurum açık rızanın, bir hizmetin ön koşulu olarak konumlandırılması halinde geçersiz sayılacağı görüşünde[12]. Sunucuları yurt dışında bulunan bir hizmet verenin ilgili kişinin açık rızası olmaksızın kişisel verileri yurt dışına aktarma imkanı ve yasal dayanağı olmayacaksa, açık rıza hizmet için kendiliğinden bir ön koşul haline gelmekte. Uygulamada bazı durumlarda da açık rızanın pratikte alınmasının mümkün olmadığı ya da mümkün olsa da açık rıza almak için ilgili kişiden daha fazla kişisel veri toplanmasının gerektiği durumlar olabiliyor. Bu nedenle yurt dışına veri aktarımı, Kurum’dan gelecek karar ve yaklaşımın uzun zamandır beklendiği ve kişisel verilerin korunması bakımından Türkiye’de en çok tartışılan konulardan biri olmayı sürdürüyor.
Yazarlar: Av. İlay Yılmaz, Av. Can Sözer ve Av. Ecem Elver
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
[1] Cross-Border Data Flows, the GDPR, and Data Governance,
Washington International Law Journal
https://digitalcommons.law.uw.edu/cgi/viewcontent.cgi?article=1844&context=wilj
[2] Belirtilen idari para cezaları 2020 yılı için uyarlama oranı olan
%23,7 oranında artırılarak hesaplanmış gayriresmi miktarlardır.
Bu miktarlar henüz Kişisel Verilerin Korunması Kurumu tarafından resmi olarak duyurulmamıştır.
[3] Türk Ceza Kanunu Madde 140 uyarınca bahsedilen suçun işlenmesi dolayısıyla
tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
[4] Kurum’un ilgili kararına buradan ulaşabilirsiniz.
[5] Kurum’un ilgili duyurusuna buradan ulaşabilirsiniz.
[6] Kurum’un ilgili kararına buradan ulaşabilirsiniz.
[7] Kurum’un ilgili kararına buradan ulaşabilirsiniz.
[8] Avrupa Adalet Divanı kararı için bkz.
[9] Avrupa Adalet Divanı duyurusu için bkz.
[10] Avrupa Komisyonu duyurusu için bkz.
Etik ve Uyum Programı Nasıl Hazırlanır?
Kurumsal Etik ve Uyum Programı Geliştirme Gereğinin Ardındaki İtici Güçler
Sorumlu İş Modelinin Şirkete Yararları
Sorumlu İş Modeli
Gençlerden Geleceğe: Sürdürülebilirlik ve Etik Zirvesi Manifestoları
ISO 37301 Uyum Yönetim Sistemi (Compliance Management Systems) Standardı Neden Önemlidir?
Legality of Pay or Consent Models
Kurumsal Diplomasinin 6 Unsuru