Açık rızanın aranmadığı durumlarda KVKK m. 9/2 ikili bir ayrım yapmıştır.
Kişisel verilerin yurt dışına aktarımı kuralları veri aktarılacak ülkede “yeterli koruma”nın bulunup bulunmamasına göre farklı şekilde düzenlenmiştir.
2. Yeterli Korumanın Bulunması
Yeterli korumanın bulunduğu ülkeler, kişisel verilerin korunması konusunda bilinçli olarak değerlendirilen ve kişisel verilerin korunması hakkına saygılı olan ülkelerdir. Bu nedenle bu ülkelere veri aktarımında ek şartlar aranmamaktadır. Kurul bu ülkeleri güvenli ülkeler olarak kabul etmektedir.
KVKK m. 9/2 uyarınca “Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.” Aynı kişisel verilerin yurt içinde aktarımında olduğu gibi burada da kişisel verilerin işleme şartlarının düzenlendiği KVKK m. 5 ve m. 6’ya atıf yapılmıştır. Yeterli korumanın bulunduğu yabancı ülkeye kişisel verilerin aktarılabilmesi için KVKK m. 5 ve KVKK m. 6’da düzenlenen veri işleme şartlarından birinin gerçekleşmesi yeterlidir. Başka bir ifadeyle, eğer atıf yapılan iki hükümdeki şartlardan herhangi biri varsa, kişisel veri, yeterli koruma bulunan ülkeye aktarılabilecek, açık rıza veya başka bir şart aranmayacaktır.
Yeterli korumanın bulunduğu ülkelerin tespitini KVKK Kurul’a bırakmıştır.
KVKK m. 9/3’e göre “Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” Ancak halihazırda Kurul tarafından herhangi bir ilan yapılmamıştır. Başka bir ifadeyle, Kurul tarafından ilan edilmesi gereken güvenli ülkeler henüz ilan edilmemiştir.
Bu nedenle Kurul tarafından herhangi bir ilan ya da duyuru yapılana kadar bütün ülkeler güvenli olmayan ülke olarak değerlendirilerek aktarım yapılmalıdır. Zira hangi ülkede
yeterli korumanın bulunup bulunmadığı tespit edilmemiştir. Mevcut durumun veri sorumlularını yurt dışına veri aktarımı için açık rıza aramaya iteceği aşikardır.
Ayrıca Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına,
“Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut kişisel veri aktarımına ilişkin olarak kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç̧ duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de”
alarak karar verecektir468. Kurul kişisel verilerin yurt dışına aktarımında yeterli korumanın bulunduğu ülkelerin tespiti için KVKK m. 9/4’deki kriterleri genişleterek bir form yayımlamıştır469. Bu formda KVKK m. 9/4 hükmünde sayılan kriterlere ek olarak bazı kriterler daha eklenmiştir. Örneğin veri korumayla ilgili genel ilkeler, aktarım yapılacak ülkede bağımsız veri otoritesinin (Kurum gibi) bulunması, bu konuda uluslararası belgelere taraf olma gibi. Ayrıca “ilgili ülke ile yürütülen ticaret hacmi”ne formda yer verilmiştir. Bu hususa, güvenli ülke tespitinde bakılacak olması dikkat çekicidir.
3. Yeterli Korumanın Bulunmaması
Yeterli korumanın bulunmadığı ülkeler, kişisel verilerin korunması açısından yeterli bulunmayan ülkelerdir. Bir ülkede yeterli koruma bulunup bulunmadığına karar
468 KVKK m. 9/4.
469 Kurul Kararı, 02.05.2019 T., 2019/125 K. https://www.kvkk.gov.tr/Icerik/5469/- Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari (E.T.: 25.03.2020).
verecek olan makam Kuruldur. Yeterli koruma bulunmayan ve aktarım için ek koruma önlemleri getirilen ülkeler Kurul tarafından güvensiz bulunan ülkelerdir. Ancak bu değerlendirme (güvenli-güvensiz) şüphesiz salt kişisel veriler bakımından yapılan bir değerlendirmedir.
Daha önce de belirttiğimiz gibi, açık rızanın olması durumunda yeterli koruması olan ülke ayrımı yapmaya gerek yoktur. Zira veri aktarılacak ülke yeterli koruması olmayan bir ülke de olsa açık rıza varsa veri yurt dışına aktarılabilecektir. Açık rızanın olmadığı durumlarda ise yeterli korumanın bulunmadığı ülkelere veri aktarımı için ek şartlar aranmaktadır.
Veri aktarımı yapılacak ülke yeterli korumanın bulunmadığı ülkeyse öncelikle KVKK m. 9 gereği KVKK m. 5 ve m. 6’daki veri işleme şartlarından birinin bulunması gerekir. Bu gereklilik yeterli korumanın bulunduğu ülkeyle aynıdır. Ülkeler açısından yeterli-yetersiz korumanın olduğu ülke ayrımı ek şartlarda önem kazanacaktır. KVKK m.
9/2/b gereğince “Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.” Yani kişisel verilerin yeterli korumanın bulunmadığı ülkeye (güvenli olmayan) aktarımı için gerekli ek şartlar:
- Veri sorumlusu tarafından yeterli korumanın olduğuna dair yazılı taahhütname verilmesi ve
- Kurul’un izninin olmasıdır.
Yurt dışına veri aktarımının hukuka uygun gerçekleşmesi için bu iki şartın da sağlanması gerekir. Kurul tarafından izin verilirken, tıpkı bir ülkede yeterli koruma bulunup bulunmadığına karar vermesinde olduğu gibi, KVKK m. 9/4’deki kriterler göz önüne alınarak karar verilir.
Açık rızaya dayanılarak yurt dışına veri aktarımı yapılıyorsa veri sorumlusu tarafından taahhütname verilmesi gerekmemektedir470.
Kurul tarafından “yurt dışına veri aktarımında veri sorumlularınca hazırlanacak taahhütnamede yer alacak asgari unsurlar” yayımlanmıştır471. Kurul daha sonra yaptığı bir açıklamada bu taahhütnamelerin “çok uluslu şirket toplulukları” bakımından yetersiz olabileceğine dikkat çekmiştir. Kurul bu durumu göz önünde bulundurarak bu şirketlerce yapılacak yurt dışı veri aktarımında geçerli olmak üzere “Bağlayıcı Şirket Kuralları”
belirleyerek yayımlamıştır472. Kurul son olarak “yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususlara ilişkin duyuru”
yayımlamıştır473. Taahhütnameler hazırlanırken Kurul’un belirttiği hususlara riayet
470 Kurum, Doğru Bilinen Yanlışlar, s. 34.
471 Kurul, 16.05.2018 T., https://www.kvkk.gov.tr/Icerik/4236/Yurtdisina-Veri- Aktariminda-Veri-Sorumlularinca-Hazirlanacak-Taahhutnamede-Yer-Alacak-Asgari-Unsurlar (E.T.: 25.03.2020).
472 “Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.” Kurul, 10.04.2020 T. https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU (E.T.: 06.05.2020).
473 Kurul, 07.05.2020 T., https://www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-
KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-edilmesi Kurul’un yurt dışına aktarım izni vermesi açısından önem arz etmektedir.
Yeterli koruma bulunan ülke-bulunmayan ülke ayrımından bağımsız olarak KVKK m. 9/5’e göre “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.” Bu hüküm veri aktarılacak ülke de yeterli koruma bulunsa da bulunmasa da uygulanır. Kişisel verilerin aktarılacağı ülkede yeterli koruma bulunsa ve KVKK m.5-6 veri işleme şartları gerçekleşse bile “ciddi anlamda menfaat ihlali”nin474 olacağı durumlarda kişisel verilerin yurt dışına aktarımı için Kurul’un izni gerekmektedir.
§6. Tarafların Hak ve Yükümlülükleri
I. Veri Sorumlusunun Yükümlülükleri