Kişisel verilerin yurt dışına aktarılmasına ilişkin şartlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenmiştir. Daha önceki bir yazımızda kişisel verilen aktarılmasına yönelik olarak bilgiler vermiştik. (Bkz: İlgili yazımız…) Bu çalışmamızda ise kişisel verilerin daha spesifik şekilde aktarımından bir başka deyişle yurt dışına aktarımından bahsedeceğiz.
Bahsi geçen Kanun’un 9. maddesi:“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenleme yaparak kişisel verilerin yurt dışına aktarılmasına yönelik koşulları açık şekilde belirlemiştir.
Buna göre; temel kural, kişisel veri sahibinin açık rızası olmadan kişisel verisinin yurt dışına hiçbir şekilde aktarılamayacağıdır. Ancak bu ana kuralın istisnası ise ikinci fıkrada düzenlenmiştir. Burada önemle belirtmek isteriz ki; açık rızanın aranmadığı durumlarda birkaç unsurun birlikte yerine getirilmesi gerekmektedir. 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ile kişisel verinin aktarılacağı yabancı ülkede ya yeterli korumanın bulunması ya da yeterli korumanın bulunmadığı bir yabancı ülkeye aktarım olacaksa; Türkiye’deki ve yeterli korumanın olmadığı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması şartları mutlaka birlikte gerçekleşmelidir. Bir başka anlatımla; yeterli korumanın bulunmadığı yabancı ülkeye aktarımın yapılabilmesi için, hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli şekilde koruma yapacaklarını yazılı olarak üstlenmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması şartlarının sağlanması gerekmektedir. Yeterli korumanın bulunduğu bir başka deyişle güvenli bölge olarak nitelendirilen ülkeler Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilecektir. Ancak halihazırda Kurul, yeterli korumanın bulunduğu ülkeleri ilan etmediğinden hangi ülkelerin güvenli ülke olduğu bilinmemektedir. Türkiye’nin veya kişisel verileri yurt dışına aktarılacak kişinin menfaatinin ciddi şekilde zarar göreceği durumlarda, kişisel veriler ancak ilgili kamu kurum veya kuruluşunun görüşünün alınması suretiyle ve Kişisel Verileri Koruma Kurulu’nun açık izniyle yurt dışına aktarılabilecektir ancak bu hususta uluslararası sözleşme hükümleri saklıdır.
Belirtmek isteriz ki; kişisel verilerin yurt dışına aktarılmasına ilişkin olarak söz konusu Kanun genel bir düzenleme yapmıştır. Bu bakımdan Kanun, kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunu, daha özel bir düzenlemenin varlığı halinde, ilgili kanunlarda belirlenen kuralların öncelikle geçerli olacağını düzenlemiştir.
Hukuk Desteği