6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 8’de “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5’inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” denmektedir.
Birinci fıkrada temel kural düzenlenmiştir. Açık rıza olmaksızın kişisel verinin aktarılamayacağı hükme bağlanmıştır. 2. fıkrada ise rıza aranmaksızın veri aktarımının yapılabileceği haller 2 başlıkta toplanmıştır. Burada ilki; madde 5 fıkra 2’de düzenlenen aslında yine bir istisna hükmüdür. Madde 5 fıkra 1’de kişisel verinin rıza olmaksızın işlenmesini yasaklayan temel düzenlemeye yer verilmişken, 2. fıkrasında sayılan hallerde rıza aranmaksızın da bunun yapılabileceği düzenlenmiştir (Bakınız ilgili yazımız). Veri aktarımı da bu işleme maddesiyle aslında kurgu olarak aynıdır. Dolayısıyla 2. fıkraya atıf isabetlidir. Öyleyse; “a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” hallerinden biri ortaya çıkmışsa, hem kişisel veri madde 5/II’ye göre rıza aranmaksızın işlenebilmekte, hem de 8/II’nin atfıyla yine rıza aranmaksızın aktarılabilmektedir (Bakınız ilgili yazımız).
Aktarımın temelde rızaya dayanması kuralına 2. fıkrada gelen ikinci istisna ise, yeterli önlemlerin alınması koşuluyla KVKK’nun 6. maddesi 3. fıkrasında sayılan hallerden birinin varlığıdır. Bu halleri de bir başka yazımızda irdelemiştik, lütfen bakınız (ilgili yazımız). “(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” İncelemekte olduğumuz maddede aktarımın rızaya bağlanmadığı istisnalardan birine 6. maddede özel nitelikli kişisel verilerin işlenmesine getirilen istisna atfı yapılmaktadır.
Kişisel verilerin aktarımına ilişkin diğer kanunlarda sayılı hallerin saklı tutulduğu son fıkra dışında prensipte; kişisel verinin rıza dışı aktarımının yasak olduğunu, buna getirilen istisnaların da kişisel verilerin rıza aranmaksızın işlenmesini mümkün kılan KVKK’da sayılı istisnai hallerle aynı olduğu şeklinde özetlemek ve anlamak hukuken mümkündür.
Kişisel verilerin yurt dışına aktarılması konusuna değinmek gerekirse; bahsi geçen Kanun’un 9. maddesi:“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenleme yaparak kişisel verilerin yurt dışına aktarılmasına yönelik koşulları açık şekilde belirlemiştir.
Buna göre; temel kural, kişisel veri sahibinin açık rızası olmadan kişisel verisinin yurt dışına hiçbir şekilde aktarılamayacağıdır. Ancak bu ana kuralın istisnası ise ikinci fıkrada düzenlenmiştir. Burada önemle belirtmek isteriz ki; açık rızanın aranmadığı durumlarda birkaç unsurun birlikte yerine getirilmesi gerekmektedir. 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ile kişisel verinin aktarılacağı yabancı ülkede ya yeterli korumanın bulunması ya da yeterli korumanın bulunmadığı bir yabancı ülkeye aktarım olacaksa; Türkiye’deki ve yeterli korumanın olmadığı yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması şartları mutlaka birlikte gerçekleşmelidir. Bir başka anlatımla; yeterli korumanın bulunmadığı yabancı ülkeye aktarımın yapılabilmesi için, hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli şekilde koruma yapacaklarını yazılı olarak üstlenmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması şartlarının sağlanması gerekmektedir.
Yeterli korumanın bulunduğu, farklı bir deyişle “güvenli bölge” olarak nitelendirilen ülkeler Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilecektir. Ancak halihazırda Kurul, bunca zaman geçmiş olmasına rağmen hala yeterli korumanın bulunduğu ülkeleri ilan etmediğinden hangi ülkelerin güvenli ülke olduğu resmi olarak bilinmemektedir. Elbette uygulamada özellikle Almanya gibi bazı Avrupa ülkeleri güvenli ülke olarak kabul edilse de bunun bir listesi henüz yayımlanmamıştır. Türkiye’nin veya kişisel verileri yurt dışına aktarılacak kişinin menfaatinin ciddi şekilde zarar göreceği durumlarda, kişisel veriler ancak ilgili kamu kurum veya kuruluşunun görüşünün alınması suretiyle ve Kişisel Verileri Koruma Kurulu’nun açık izniyle yurt dışına aktarılabilecek olup; bu hususta uluslararası sözleşme hükümleri saklıdır.
Yazımızı tamamlamadan eklemek isteriz ki; kişisel verilerin yurt dışına aktarılmasına ilişkin olarak söz konusu Kanun genel bir düzenleme yapmıştır. Bu bakımdan Kanun, kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunu, daha özel bir düzenlemenin varlığı halinde, ilgili kanunlarda belirlenen kuralların öncelikle geçerli olacağını hükme bağlamıştır.
Hukuk Desteği