Kişisel Verileri Koruma Kurumu’ndan Yurtdışına Veri Aktarımına İlişkin Kamuoyu Duyurusu

Yayınlanma Tarihi: 28 Ekim 2020



Kişisel Verileri Koruma Kurumu (“Kurum”), yurtdışına veri aktarımına ilişkin kamuoyu duyurusunu yayımladı.

Kurum, benimsediği yaklaşım ve yürüttüğü faaliyetler ile küreselleşme ve teknolojik gelişmeler sonucu her an daha da artan sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimini oluşturmayı hedeflediğini belirtmiştir. Bu kamuoyu duyurusu ile kişisel verilerin yurt dışına aktarılması özelinde Kurum’un çalışmalarını ve bakış açısını ortaya koyarak yanlış anlaşılmaların önüne geçilmesinin amaçlandığı ifade edilmiştir.

Duyuruda detaylı olarak üzerinde durulan konu başlıkları özetle aşağıdaki gibidir;

v  Kişisel verilerin yurt dışına aktarımına ilişkin 6698 Sayılı Kişisel verilerin Korunması Kanunu’nda (“Kanun”) öngörülen düzenleme,

v  Yeterli koruma bulunan ülkelerin (güvenli ülke) belirlenmesi konusu başlığı altında:

­   İlgili ülkede yeterli koruma bulunup bulunmadığına ilişkin değerlendirme,

­   Güvenli ülke statüsünün belirlenmesinde karşılıklılık esasının önemi,

­   Kurum tarafından yürütülen güvenli ülke statüsü tayini çalışmaları,

­   Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması sözleşmesi (108 sayılı sözleşme),

­   108 sayılı sözleşmenin 12. maddesinin ülkemizdeki uygulaması,

­   108 sayılı sözleşmenin 12. maddesinin AB’deki uygulaması. 

v  Yeterli koruma bulunmayan ülkelere kişisel veri aktarımında taahhütnameler ve bağlayıcı şirket kurallarının kullanımı.

v  Kişisel verilerin yurt dışına aktarımına ilişkin diğer kanunlarda öngörülen düzenlemeler.

Kurum özetle, Kanun’un 9. maddesini göz önünde bulundurarak, yabancı ülkede yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmelerde ilgili ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu dikkate alacağını belirtmiştir. Güvenli ülke statüsü tayinine ilişkin Dışişleri Bakanlığı ile yapılan yazışmalarda da mütekabiliyet hususunun ön plana çıktığı ve yürütülecek müzakerelerin karşılıklı yeterlilik kararı verilmesi üzerine olması gerektiği vurgulanmıştır. Duyuruda, tek taraflı bir tanımanın asimetri yaratabileceği ve bu durumun ülkemizde faaliyet gösteren veri sorumluları bakımından dezavantaj teşkil edeceği ifade edilmiş olup, bu kapsamda, güvenli ülke statüsü tayinine ilişkin çalışmaların Adalet Bakanlığı, Dışişleri Bakanlığı ve Ticaret Bakanlığı ile yakın iş birliği içerisinde yürütüldüğü belirtilmiştir.

Yeterli korumanın bulunmadığı ülkeler bakımından, yurt dışına veri aktarımında bulunacak veri sorumlularının hazırladığı taahhütnamelerin Kurul tarafından onaylanması ile aktarımın mümkün olduğu, bu taahhütnamelerde yer alacak asgari unsurların Kurul tarafından belirlendiği belirtilmiştir. Kurum’un bu başvuruları titizlik ve ivedilikle değerlendirmekte olduğu ve eksiklerin tamamlanması yönünde veri sorumlusuna yol gösterdiği ifade edilmiştir. Çok uluslu şirket topluluklarını oluşturan şirketler arasında gerçekleştirilecek topluluk içi aktarımlarda kullanılmak üzere Bağlayıcı Şirket Kuralları’nın alternatif bir yeterli koruma sağlama yolu olarak belirlendiği hatırlatılmıştır.

Sonuç olarak Kurum, kişisel verilerin korunmasını isteme hakkının Anayasal bir temel hak ve özgürlük olduğunu ve bu anlamda, Kurum’un bu temel hak ve özgürlüğü koruma amacına hizmet ettiğini belirtmiştir. Diğer ülkelerde faaliyet gösteren veri koruma otoriteleri gibi Kurum’un da kişisel veri işleme faaliyetinde bulunan aktörleri eğitici ve yönlendirici çalışmalarda bulunduğu ve gereken durumlarda bir kanun uygulayıcısı olarak bu aktörler hakkında idari yaptırım da tesis ettiği, Kurum’un sürdürdüğü faaliyetlerin bireyleri en üst düzeyde korumayı amaçladığı belirtilmiştir. Bununla birlikte, teknolojik gelişmeler sonucu ortaya çıkan olanaklardan Ülkemizin  de faydalanabilmesi  adına gelişmelerin takip edilerek kişisel verilerin korunması hukukuna uygun şekilde uygulamaların geliştirilmesine de katkı sağlanmaya çalışıldığı ifade edilmiştir. Bu kapsamda, kişisel verilerin yurt dışına aktarılmasına ilişkin olarak Kurum çatısı altında yürütülen güvenli ülke çalışmalarının devam ettiğinin ve kamuoyunda sorun olarak görülen yurt dışına veri aktarımında Kurum’un iznini öngören sürecin aslında, Kanun’un 9. maddesinde emredici bir şekilde hükme bağlanan düzenlemenin bir sonucu olduğunun altı çizilmiştir.

İlgili duyuruya bu linkten ulaşabilirsiniz.