Kişisel Verileri Koruma Kurumu (“Kurum”), yurtdışına
veri aktarımına ilişkin kamuoyu duyurusunu yayımladı.
Kurum,
benimsediği yaklaşım ve yürüttüğü faaliyetler ile küreselleşme ve teknolojik
gelişmeler sonucu her an daha da artan sınır ötesi aktarımları engellemeyi
değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf
bir aktarım rejimini oluşturmayı hedeflediğini belirtmiştir. Bu kamuoyu duyurusu
ile kişisel verilerin yurt dışına aktarılması özelinde Kurum’un çalışmalarını
ve bakış açısını ortaya koyarak yanlış anlaşılmaların önüne geçilmesinin amaçlandığı
ifade edilmiştir.
Duyuruda
detaylı olarak üzerinde durulan konu başlıkları özetle aşağıdaki gibidir;
v Kişisel verilerin yurt dışına aktarımına ilişkin 6698
Sayılı Kişisel verilerin Korunması Kanunu’nda (“Kanun”) öngörülen düzenleme,
v Yeterli koruma bulunan ülkelerin (güvenli ülke)
belirlenmesi konusu başlığı altında:
İlgili
ülkede yeterli koruma bulunup bulunmadığına ilişkin değerlendirme,
Güvenli
ülke statüsünün belirlenmesinde karşılıklılık esasının önemi,
Kurum tarafından yürütülen
güvenli ülke statüsü tayini çalışmaları,
Kişisel verilerin otomatik
işleme tabi tutulması karşısında bireylerin korunması sözleşmesi (108 sayılı
sözleşme),
108 sayılı sözleşmenin 12.
maddesinin ülkemizdeki uygulaması,
108 sayılı sözleşmenin 12. maddesinin AB’deki uygulaması.
v Yeterli koruma bulunmayan ülkelere kişisel veri aktarımında taahhütnameler
ve bağlayıcı şirket kurallarının kullanımı.
v Kişisel verilerin yurt dışına aktarımına ilişkin diğer kanunlarda öngörülen
düzenlemeler.
Kurum özetle, Kanun’un 9.
maddesini göz önünde bulundurarak, yabancı ülkede yeterli koruma bulunup bulunmadığına
ilişkin yapacağı değerlendirmelerde ilgili ülke ile Türkiye arasında veri
aktarımına ilişkin karşılıklılık durumunu dikkate alacağını belirtmiştir. Güvenli
ülke statüsü tayinine ilişkin Dışişleri Bakanlığı ile yapılan yazışmalarda da mütekabiliyet
hususunun ön plana çıktığı ve yürütülecek müzakerelerin karşılıklı yeterlilik
kararı verilmesi üzerine olması gerektiği vurgulanmıştır. Duyuruda, tek taraflı
bir tanımanın asimetri yaratabileceği ve bu durumun ülkemizde faaliyet gösteren
veri sorumluları bakımından dezavantaj teşkil edeceği ifade edilmiş olup, bu
kapsamda, güvenli ülke statüsü tayinine ilişkin çalışmaların Adalet Bakanlığı,
Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde
yürütüldüğü belirtilmiştir.
Yeterli korumanın
bulunmadığı ülkeler bakımından, yurt dışına veri aktarımında bulunacak veri
sorumlularının hazırladığı taahhütnamelerin Kurul tarafından onaylanması ile
aktarımın mümkün olduğu, bu taahhütnamelerde yer alacak asgari unsurların Kurul
tarafından belirlendiği belirtilmiştir. Kurum’un bu başvuruları titizlik ve
ivedilikle değerlendirmekte olduğu ve eksiklerin tamamlanması yönünde veri
sorumlusuna yol gösterdiği ifade edilmiştir. Çok uluslu şirket topluluklarını
oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda kullanılmak
üzere Bağlayıcı Şirket Kuralları’nın alternatif bir yeterli koruma sağlama yolu
olarak belirlendiği hatırlatılmıştır.
Sonuç olarak Kurum, kişisel
verilerin korunmasını isteme hakkının Anayasal bir temel hak ve özgürlük
olduğunu ve bu anlamda, Kurum’un bu temel hak ve özgürlüğü koruma amacına
hizmet ettiğini belirtmiştir. Diğer ülkelerde faaliyet gösteren veri koruma
otoriteleri gibi Kurum’un da kişisel veri işleme faaliyetinde bulunan aktörleri
eğitici ve yönlendirici çalışmalarda bulunduğu ve gereken durumlarda bir kanun
uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis ettiği,
Kurum’un sürdürdüğü faaliyetlerin bireyleri en üst düzeyde korumayı amaçladığı
belirtilmiştir. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan
olanaklardan Ülkemizin de faydalanabilmesi adına gelişmelerin takip
edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların
geliştirilmesine de katkı sağlanmaya çalışıldığı ifade edilmiştir. Bu kapsamda,
kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurum çatısı altında
yürütülen güvenli ülke çalışmalarının devam ettiğinin ve kamuoyunda sorun
olarak görülen yurt dışına veri aktarımında Kurum’un iznini öngören sürecin
aslında, Kanun’un 9. maddesinde emredici bir şekilde hükme bağlanan
düzenlemenin bir sonucu olduğunun altı çizilmiştir.
İlgili duyuruya bu linkten ulaşabilirsiniz.