Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Yeni Dönem
Doç. Dr. Hüseyin Can Aksoy
Bilkent Üniversitesi Hukuk Fakültesi Öğretim Üyesi – The Dickson Poon School of Law - King’s College London Misafir Araştırmacı; hcaksoy@bilkent.edu.tr
Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girdikten sonra, Avrupa Birliği veri koruma hukukunda başta Genel Veri Koruma Tüzüğü’nün kabul edilmesi olmak üzere önemli değişiklikler yaşandı. Ancak Kanun, bu değişiklikleri içermediği ve çağın gereksinimlerine ayak uyduramadığı gerekçesiyle eleştiriliyordu. Geçtiğimiz Mart ayında, Kanun’un uygulamada en çok eleştirilen ve sorun çıkaran bazı maddelerinde değişiklik yapıldı. Özellikle kişisel verilerin yurt dışına aktarımına ilişkin rejim, Avrupa Birliği düzenlemeleri dikkate alınarak yenilendi.
Kanun değişikliklerinin ardından, kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” de 10 Temmuz 2024 tarihli Resmi Gazete'de yayımlandı. Bununla eş zamanlı olarak Kişisel Verileri Koruma Kurulu, kişisel verilerin yurt dışına aktarımında kullanılacak standart sözleşme metinlerini, bağlayıcı şirket kuralları başvuru formlarını ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzları yayımladı. İlerleyen süreçte bu metinlerin İngilizce versiyonlarını da duyurdu.
Kişisel verilerin yurt dışına aktarımına ilişkin bu yeni düzenlemeler 1 Eylül 2024 tarihinde yürürlüğe girdi. Yeni düzenleme, şimdiye kadar alışkın olunan uygulamanın aksine, açık rızaya dayalı aktarıma istisnai bir nitelik kazandırdı ve yurtdışına aktarım süreçleri bakımından yeni mekanizmalar ile kademeli bir sistem getirdi: (1) yeterlilik kararına dayalı aktarım; (2) uygun güvencelere dayalı aktarım; ve (3) arızi aktarım.
Peki uygulamacıların aklındaki tüm sorular cevap buldu mu?
I. Ne değişmedi: Yeterlilik Kararı, Taahhütname, Bağlayıcı Şirket Kuralları
Kanun ile kişisel verilerin yurt dışına aktarımına ilişkin yeni bir rejim getirilmiş olsa da eski dönemdeki kimi usul ve esaslar korundu. Bu çerçevede,
· Yeni dönemde de tıpkı geçmişte olduğu gibi Kurul tarafından verilmiş bir yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına kişisel veri aktarımı yapılabilecek. Ancak bu konuda getirilen önemli bir yenilik, Kurul’un geçmişte olduğu gibi ülke bazında yapacağı değerlendirmeye ek olarak ülke içerisindeki sektörler veya uluslararası kuruluşlar bazında da yeterlilik kararı verebilecek olması. Örneğin, yeni dönemde Kurul Alman otomotiv sektörü hakkında bir yeterlilik kararı verebilecek.
· Yurt dışına aktarım bakımından korunan yöntemlerden bir diğeri ise taahhütnameler. Bu çerçevede, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı halinde, Kurul tarafından aktarıma izin verilmesi şartıyla kişisel veriler yurt dışına aktarılabilecek.
· Bağlayıcı şirket kuralları çerçevesinde veri aktarımı da geçmişte olduğu gibi hukuka uygun olmaya devam ediyor. Ancak yeni düzenlemeyle birlikte, yalnızca grup şirketleri arasında değil, Türkiye’de yerleşik; fakat grup üyesi olmayan bir veri sorumlusundan veri işleyen olarak hareket edecek bir şirketler grubuna da bağlayıcı şirket kuralları vasıtasıyla aktarım yapılabilecek.
Peki, yeni dönemde çok sayıda ülkesel yeterlilik kararı verilmesini veya taahhütname ya da bağlayıcı şirket kuralı onaylanmasını bekleyebilir miyiz? Kanımca, bu sorunun yanıtı hayır. Zira yapılan değişiklikler, yeterlilik kararı verilmesine ilişkin olarak Kurul tarafından gözetilen şartlara dair herhangi bir değişiklik getirmediği gibi, taahhütname veya bağlayıcı şirket kurallarının onaylanmasını kolaylaştıracak bir yenilik de sunmuyor. Ancak orta vadede bazı sektörler bazında yeterlilik kararı verilmesini bekleyebiliriz. Bunun için sektör temsilcilerinin uluslararası düzeyde yoğun bir işbirliği içine girmeleri ve Kurul’u ikna etmeleri gerekeceğini söyleyebiliriz.
II. En önemli değişiklik: Standart Sözleşmelere Dayalı Aktarım
Yeterlilik kararı bulunmayan hallerde yurt dışına aktarım yapılabilmesi için Kanunun 5. ve. 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, Kanun’da sayılan uygun güvencelerden birinin taraflarca sağlanması gerekiyor: uluslararası sözleşme niteliğinde olmayan anlaşma; bağlayıcı şirket kuralları; standart sözleşmeler ve taahhütname.
Uygun güvenceler arasında yurt dışına kişisel veri aktarımı için pratikte en çok kullanılacak olanı şüphesiz standart sözleşmeler olacak. Kurul, 10 Temmuz 2024 tarihinde veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri sorumlusuna ve veri işleyenden veri işleyene olmak üzere farklı aktarım türlerine uygun standart sözleşmeler ilan etti. Bu sözleşmeleri, doldurulması gereken ekleri hariç, içeriğinde herhangi bir değişiklik yapmaksızın imzalayan tarafların Kurul’dan ayrıca aktarım için izin almasına gerek bulunmuyor. Ancak standart sözleşmeler Kurul onayına tabi olmamakla birlikte, sözleşmelerin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurum’a bildirilmeli. Bu metinlerin değiştirilmeksizin kullanılıp kullanılmadığı ve yetkili kişilerce imzalanıp imzalanmadığı konusunda da Kurul’un denetim yetkisi bulunduğunun altını çizelim.
Aktarım tarafları, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini standart sözleşmede belirleyebileceği gibi, bu konuda bir belirleme yapılmamışsa standart sözleşmenin veri aktaran tarafından Kuruma bildirilmesi gerekli. Kanun’da, söz konusu bildirim yükümlülüğünü yerine getirmeyenler hakkında idari para cezası öngörülmüş olup, bu idari para cezasının veri sorumlusu veya veri işleyene uygulanacağı düzenlemesi de getirilen yeniliklerden bir tanesi.
III. Arızi Aktarımlar: Açık Rızaya Dayalı Aktarım
Kişisel verilerin yurt dışına aktarımına ilişkin bir yeterlilik kararının bulunmaması ve yukarıda anılan uygun güvencelerden herhangi birinin sağlanamaması durumunda, son seçenek arızi veri aktarımı olarak karşımıza çıkıyor. Yönetmelik m. 16, arızi aktarımı: “Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir.” şeklinde tanımlanmış olmakla birlikte arızi nitelikteki aktarımların tek veya birkaç seferlik olması mümkün. Yeter ki aktarıma konu faaliyet veri aktaranın olağan faaliyet akışı içerisinde düzenli olarak yaptığı bir faaliyet olmasın.
Kanun, kişisel verilerin arızi olarak yurt dışına aktarılabilmesinin mümkün olduğu durumları saymış ve olup ilgili kişinin açık rızası da bu hallerden birisi. Dolayısıyla, süreklilik arz eden veri aktarımlarının ilgili kişilerin açık rızası ile yapılması artık mümkün olmayacak. Ayrıca, arızi olarak açık rızaya dayalı aktarım yapılabilmesi için ilgili kişinin açık rızası alınmadan önce muhtemel riskler hakkında bilgilendirilmesi gerekiyor. Bu bilgilendirmenin, aktarımın riskleri hakkında olması gerektiğinin ve Kanun’da yer alan aydınlatma yükümlülüğünden farklı olduğunun altını çizelim.
Sonuç ve Değerlendirme
Kişisel Verilerin Korunması Kanunu’nda yapılan ve kişisel verilerin yurt dışına aktarılmasına ilişkin yeni bir rejim getiren değişiklikler 1 Eylül 2024 tarihi itibariyle yürürlüğe girdi. Her ne kadar Yönetmelik birçok konuya açıklık getirse de uygulamacıların aklında hala birçok soru bulunuyor. Özellikle bulut bilişim teknolojilerinin kullanıldığı durumlar ile sonraki aktarımların hukuka uygunluğunun pratikte nasıl sağlanacağı önemli sorular arasında yer alıyor. Bu soruların yanıtlarını Kurul’un yaklaşımı şekillendirecek.