Kişisel Verilerin Taahhütname Yolu İle Yurtdışına Aktarılması Hususundaki Son Gelişmeler
Kişisel verilerin korunması konusunda oldukça tartışmalı bir alan olan kişisel verilerin yurtdışına aktarımı konusunda Kişisel Verileri Koruma Kurulu (Kurul) ilk kez TEB Arval Araç Filo Kiralama Anonim Şirketi’nin taahhütname başvurusunun kabul edildiğini 9 Şubat 2021 tarihinde duyurdu. [1] Dün (4 Mart 2021) ise Kurul bu sefer Amazon Turkey Perakende Hizmetleri Limited Şirketi’nin (Amazon Türkiye) yurtdışına kişisel veri aktarımı yapılması hususundaki taahhütname başvurusunun kabul edildiğini duyurdu. [2]
Bilindiği üzere, Kişisel Verileri Koruma Kanunu (KVKK) uyarınca kişisel verilerin yurtdışına aktarımı kural olarak ilgili kişinin açık rızasına tabidir. Buna karşılık:
– Kurul tarafından yeterli korumanın bulunduğu tespit edilen yabancı ülkelere (“güvenli ülke”),
– Yeterli korumanın bulunmadığı yabancı ülkelerde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izin vermesi durumunda (“taahhütname”), veya
– Çok uluslu grup şirketleri arasında yapılacak kişisel veri aktarımı bakımından 10 Nisan 2020 tarihinde yayımlanan Şirket İçi Bağlayıcı Kurallarının (“Binding Corporate Rules – BCR”) belirlenmesi ve Kurul’un izin vermesi durumunda
ilgili kişinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilir. [3]
Kurul’un güvenli ülke tespitinde ana kriterlerden biri olarak mütekabiliyet esasını dikkate alması nedeniyle güvenli ülke listesi henüz yayımlanamamıştır. Güvenli ülke listesinin yayımlanmamasının yanı sıra Kurul’un yakın zaman kadar taahhütname başvurularına olumlu cevap vermemesi [4] ve BCR kurallarının yeni yayınlanması sebebiyle henüz uygulamasının bulunmaması nedeniyle kişisel verilerin yurt dışına aktarımı için tek seçenek veri sahiplerinden açık rıza alınması kalmıştı. Hatta, 27 Şubat 2020 tarihinde özeti yayımlanan Amazon Türkiye kararında Kurul, Amazon’un yurtdışına veri aktarımında ilgili kişilerin açık rızasının mevzuatına uygun olarak alınmaması sebebiyle, Amazon’un taahhütname başvurusu olduğu halde, idari para cezasına hükmetmişti. [5]
Yurtdışındaki serverlar vasıtasıyla bulut (cloud) hizmetinden artık neredeyse tüm şirketlerin faydalanıyor olması ve uluslararası şirketler bakımından server ve veri saklama hizmetlerinin tamamının yurtdışında bulunması gibi artık neredeyse tamamen dijitalleşen iş dünyasında kişisel verilerin yurtdışına aktarılması için her bir ilgili kişinin açık rızasının alınması zorunluluğu, üstesinden gelinmesi son derece zor olan bir uygulama sorunu doğurmuştu. Açık rızanın ilgili kişi tarafından herhangi bir zamanda geri alınması halinde veri sorumluları tarafından atılması gereken adımlar da yine hem veri sahibi hem de veri sorumlusu bakımından bir başka uygulama zorluğu yaratmaktaydı. Nitekim örnek alınan Avrupa mevzuatı açısından bakıldığından, yurtdışı transferi için açık rıza, son çare olarak düzenlenmiştir.
Bu doğrultuda, birçok meslek kuruluşunun Kurul ile gerçekleştirdiği görüşmelerde yapılan değerlendirmeler dikkate alan Kurul tarafından, Teb Arval ve Amazon Türkiye başvurularının kabul edilmesi önemli bir aşamadır. Bu sayede pratik zorluklar nedeniyle açık rıza alınamamasından ziyade kabul edilen taahhütnameler yoluyla hem yurtdışı aktarımı sağlayan şirketlerin mevzuat uyumlu hareket etmelerinin hem de yurtdışına aktarılan verilerin taahhütname şartlarına tabii olması sebebiyle daha etkin bir korumanın önü açılmıştır.
Dip not:
[1] https://www.kvkk.gov.tr/Icerik/6867/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU
[2] https://www.kvkk.gov.tr/Icerik/6898/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU
[3] KVKK/Madde 9
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
- a) Yeterli korumanın bulunması,
- b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
[4] Kurul, taahhütnamelerle ilgili dikkat edilmesi gereken hususlara ilişkin 7 Mayıs 2020 tarihinde bir duyuru yayımlamıştır. https://www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU
[5] Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/173 sayılı karar özeti: https://www.kvkk.gov.tr/Icerik/6739/2020-173
