KİŞİSEL VERİLERİN KORUMA KURUMU KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINA İLİŞKİN 26.10.2020 TARİHLİ KAMUOYU DUYURUSU YAYINLADI
Kişisel Verileri Koruma Kurumu (“Kurum”) 26/10/2020 tarihinde yayınladığı kamuoyu duyurusu ile kişiler verilerin yurt dışına aktarımı hususunda yayınlanacak güvenli ülke listesine ilişkin çalışmaların devam ettiğini ve yeterli koruma bulunmayan ülkelere aktarım yapılabilmesi için sunulan veri aktarım taahhütnamesi başvurularının incelendiğini duyurmuştur. Kurum duyuruda, Kişisel Verilerin Korunması Kanununa (“Kanun”), ilgili ikincil mevzuatın uygulanmasına ve Kurumun yürüttüğü faaliyetlere ilişkin özel sektör temsilcileri ve akademik kuruluşlar tarafından yapılan eleştirilere cevaben kişisel verilerin yurtdışına aktarımına ilişkin açıklamalarda bulunmuştur.
Kurum kamuoyu duyurusunda Kanun’un yurt dışı aktarımını düzenleyen ilgili 9. Maddesine değinmiş ve gerekçesiyle ilgili açıklamalar yapmıştır. Yurt dışına aktarımın Kanun’da da öngörüldüğü gibi değiştirme, düzenleme, depolama vb. işlemlerden farklı bir faaliyet olmadığını, yurt dışına aktarımın da bir işleme faaliyeti olduğunu belirtmiştir. Yurt dışına aktarım hususunda getirilen ek önlemleri ise başlıca
(i) ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesi,
(ii) ilgili kişinin sahip olduğu hakları etkin bir şekilde kullanabilmesi ve
(iii) aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvenceleri sağlamakla yükümlü kılınması gerekçeleri ile açıklamıştır.
Yeterli koruma bulunan ülkeler (“Güvenli Ülkeler”) listesinin oluşturulması yönünde uluslararası sözleşmelerin, verilerin aktarılacağı ülke ve Türkiye arasında karşılıklılık durumunun ve farklı ülke mevzuatlarının incelendiğini ve bu yöndeki değerlendirmelerin devam ettiğini belirtmiştir. Kurum söz konusu duyuruda, bir ülkenin Güvenli Ülkeler listesinde yer alabilmesi için 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireysel Korunması Sözleşmesi’ne taraf olmasının bir değerlendirme kriteri olduğunu, ancak tek başına yeterli olmayacağını ifade etmiştir. Kanun’un ilgili 9. Maddesi uyarınca yeterli koruma bulunmayan ülkelere aktarım gerçekleştirilmesi için aktarım taraflarının yeterli koruma sağlanacağına ilişkin yazılı taahhütname vermeleri ve Kurulun taahhütname başvurularını inceleyerek aktarıma izin vermesi gerekmektedir. Kurul daha önce verdiği 22.07.2020 tarihli ve 2020/559 sayılı karara atıf yapmış ve 108 sayılı Sözleşmeyi dayanak göstererek sözleşmeye taraf olan ülkelerden birine aktarım tarafları arasında yazılı taahhütname ve Kurul izni bulunmaksızın aktarım yapılması halinde idari para cezası hükmettiğini vurgulamıştır.
Ancak belirtmek gerekir ki, Kanunun ilgili 9. Maddesi uyarınca kişisel veriler ilgili kişinin açık rızası ile yurt dışına aktarılabilmektedir. Yeterli koruma sağlanacağına ilişkin yazılı taahhütname ve Kurul izni olmaksızın ilgili kişinin açık rızası ile gerçekleştirilen yurt dışına aktarım hukuka aykırılık teşkil etmeyecektir. Açık rıza alınması diğer işleme faaliyetlerinde olduğu gibi yurt dışına aktarım sürecinde de büyük önem arz etmekte, açık rıza alınmadığı takdirde temel hak ve özgürlüklerin korunması adına Kurul tarafından idari para cezalarına hükmedilmektedir.
CANAZ YILMAZ HUKUK BÜROSU
Bu makalede yer alan açıklamalar, yazarının konu hakkındaki kişisel görüşünü yansıtmaktadır. Makaledeki bilgi ve açıklamalardan dolayı Canaz Yılmaz’a sorumluluk iddiasında bulunulamaz. Verilen bilgiler yalnızca genel amaçlıdır; kopyalanamaz ve çoğaltılamaz. Bilgilerin uygulanabilirliği, güncelliği ve güvenilirliği konusunda garanti verilmemektedir. Mevzuatın sık değiştirilen ve farklı anlayışlarla yorumlanabilen yapısı nedeniyle, herhangi bir konuda uygulama yapılmadan önce konunun uzmanlarından profesyonel yardım alınmasını tavsiye ederiz.