8’inci Yargı Paketi’nin Türkiye Büyük Millet Meclisi’nde (TBMM) kabul edilmesi ile paket kapsamında yurt dışına kişisel veri aktarımına dair Kişisel Verilerin Korunması Kanunu’nda (KVKK) önemli değişiklikler yapılmıştır. Bu hallerden birisi de sürekli aktarıma ilişkin düzenlemelere ek olarak yurt dışına sürekli bir veri aktarımı içermeyen ve arızi olmak kaydıyla yapılan aktarımlara ilişkindir.
Yeni düzenleme ile 9’uncu maddenin 4’üncü fıkrasında anılan sürekli aktarıma ilişkin kabul edilen güvencelerden birinin sağlanamadığı ve aşağıda belirtilen işleme şartları yerine getirildiğinde bu yöntemle yurt dışına veri aktarımı mümkün olabilecektir.
Arızi aktarıma ilişkin madde bendinde sayılan hallere Genel Veri Koruma Tüzüğü (General Data Protection Regulation (GDPR)) 2016/679 sayılı “Tüzüğün 49’uncu maddesinde öngörülen istisnalara ilişkin 2/2018 sayılı Kılavuz” (yazının devamında “Kılavuz” olarak anılacaktır”) incelemesi ışık tutacaktır.
Öncelikle, yurt dışına veri aktarılmasında arızi hal sebebiyle veri aktarımı aktarılacak ülke hakkında yeterlilik kararı bulunmaması ve KVKK’nun 9’uncu maddesinin dördüncü fıkrasında sayılan güvencelerin sağlanmaması halinde değerlendirilebilecek bir durumdur ve istisnai bir veri işleme türü olduğu içinde oldukça dar yorumlanmalıdır. Yapılan değişiklik ile ilgili hükümde arızi haller şu şekilde sayılmıştır:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Yargı paketinde Türk Hukuku’nda uygulanması amaçlanan arızi haller GDPR baz alınarak hazırlandığından maddeler Türkiye’de uygulanacak (g) alt bendi hariç birebir olacak şekilde aynıdır. Değişen durum ise yukarıda numarası belirtilen Kılavuz ile aynı doğrultuda bir kılavuzun daha hukukumuzda yürürlüğe girmemiş olmasıdır.
İlgili kılavuz, GDPR kapsamında düzenlenen maddelerin nasıl uygulanacağını, tanımlarını, kapsamlarına ve örneklerini kamuoyuna sunarak daha kesin çizgiler ile düzenlemelerin altını çizmektedir. Bu hususta biz de bu tür bir kılavuzun incelenmesini yakında uygulamaya girecek arızi hallerin daha iyi anlaşılması adına önemli bulmaktayız.
Kılavuz Kapsamında Arızi Hallerin Detayları
Genel anlamda GDPR’nin açıklanması ve uygulanması adına düzenlenmiş Kılavuz’da yer alan bilgilere göre arızi transferler genel anlamda aşağıdaki özellikleri taşımalıdır:[1]
“Ara sıra” gerçekleşecek şekilde olmalı ve sürekliliğe bağlanmış ve tekrarlanan nitelikte olmamalıdır (örneğin; düzenli bir ilişki içindeki veri transfer eden ile veri transferi alan kişiler adına arızi bir durum oluştuğundan bahsedilemeyecektir).
İstisnanın kullanılması adına gereklilik doğmuş olması gerekir.
Transferin yapılacağı ülke otoritelerince verilen kararlar transfer adına gerekçe oluşturmaz.
Yeterlilik kararının olmadığı ve süreklilik arz eden veri aktarımı için aranan güvencelerden birinin sağlanmadığı bir durum oluşmalıdır.
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.[2]
Veri sorumlusu, önerilen transferi, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle bu tür transferlerin ilgili kişiyi riskleri hakkında bilgilendirildikten sonra açıkça onayladığı durumlarda transfer gerçekleştirilebilir. Kılavuz’da;
Rıza açık olmalıdır.
Rıza arızi transfer teşkil eden spesifik transfer adına verilmiş olmalıdır.
Örneğin, bir şirket teslimat amacıyla ilgili kişiden veri sahiplerinden onay alır ve bundan birkaç yıl sonra şirket satıldığında transferlerin ülke dışına aktarımı gerekli olduğunda bu açık rıza kullanılamayacaktır. Rızanın durum oluştuğu ana özel alınması gereklidir.
Veri sahibi olası riskler adına bilgilendirilmelidir.
Veri sahibinin transferin özel koşulları hakkında önceden uygun şekilde bilgilendirilmesi gerekir (veri sorumlusunun kimliği, transferin amacı, veri türü, onayı geri çekme hakkının varlığı, alıcıların kimliği veya kategorileri). Bu duruma ek olarak, yeterli güvencenin alınmamış olmasına dair, aktarılan ülkede yeterliliğin bulunmadığı ve onayın kanuni bir gereklilik olduğuna dair bilgilendirme yapılır.
Yapılan değişiklik ile KVKK reformunun dikkate değer düzenlemelerinden birisidir. 9’uncu maddede yer alan açık rıza kavramı yeniden düzenlenmiştir. Düzenleme ile birlikte açık rıza yanında yurt dışına veri aktarımına ilişkin aydınlatma beyanlarında veri sorumlularına verilen yükümlüklere ek bir yükümlülük olarak risklere karşı ilgili kişinin bilgilendirilmesi yükümlülüğü getirilmiştir. Bu özel ve müstakil bir aydınlatma yükümlülüğü halidir.[3]
Veri sorumlusu ilgili kişiyi veri işleme faaliyetine ilişkin aydınlatırken Kişisel Verileri Koruma Kurumu (Kurum) tarafından yayınlanan aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirleyen Tebliğ uyarınca yer alacak bilgiler yanında arızi olarak gerçekleşecek bu veri aktarımına dair riskler yönünden ilgili kişiyi bilgilendirecektir.[4] Bu yükümlülük olarak kanun metnine alınmış olup; bu yükümlüğe uymayanlar yönünden idari para cezası yaptırımı gündeme gelecektir.
Yurt dışına aktarımı düzenleyen 9. maddenin yeni hali ile açık rıza müessesi arızi aktarım ile sınırlanmıştır. Uygulayıcılar ve veri sorumluları tarafından dikkat edilmesi gereken bu sınırlama sonucu arızi aktarım tanımı içine giren yurt dışına aktarımlar yönünden yeniden aydınlatma beyanları hazırlanması gerekecektir.
Reformun geçiş hükümlerinde açık rızaya dayalı yurtdışına aktarım 01 Eylül 2024 tarihinde son bulacaktır. Bu vakte kadar yurt dışına aktarımlarda arızi ve sürekli aktarımın ayrıştırılarak belirlenmesi, açık rızaya dayalı arızi aktarımlar yönünden ise aydınlatma yükümlülüğünün yeni düzenlemeye uygun olarak yapılması gerekecektir.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.[5]
Buna hale örnek olarak; bir seyahat acentesi tarafından bir müşterisine ilişkin üçüncü bir ülkedeki otelde ön-rezervasyon yapması bu aktarıma örnek olarak verilebilir. Bu örnekte, söz konusu ülkedeki otel ile arızi bir ilişki kurulmaktadır. Sözleşme öncesi tedbirlerin uygulanabilmesi için de ilgili kişinin talebi aranmaktadır.[6]
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.[7]
Bu halde sözleşmenin tarafı ilgili kişi değil veri sorumlusu ile üçüncü gerçek veya tüzel kişi arasında olacak. İlgili kişi yararına yapılacak seyahat ve konaklama faaliyetleri esnasında iletilecek veriler bu kapsamda değerlendirilebilir.
Aktarımın üstün bir kamu yararı için zorunlu olması.[8]
Aktarımın sağlandığı ülkenin bir üstün kamu yararı olmalıdır. Genel kamu yararı tanımından ayrılarak üstün kamu yararı kavramı kabul edilmiştir. Rekabet, vergi, sosyal güvenlik kurumları, salgın hastalık, kara paranın aklanması, şike ile mücadele vs. gibi aktarımları bu hal altında değerlendirmek mümkündür.
Kılavuz veri aktaranın ya da aktarılanın bir kamu kuruluşu olması ya da gerçek bir kişi olması herhangi bir fark olmadığını belirtmektedir.
Yine bu noktada Kılavuz’da arızi durumlara kıyasla güvencelerin verilerek aktarımlara devam edilmesi özellikle kamu kurumlarına tavsiye edilmiştir.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.[9]
Kılavuz’a göre adli, idari ya da mahkeme dışı bir prosedüre ilişkin olsa dahi bu arızi hal uygulanabilecektir. Bu istisna aynı zamanda kamu otoritelerinin kamu güçlerini kullanarak gerçekleştirdikleri faaliyetlere de uygulanabilecektir. Üçüncü bir ülke kapsamındaki prosedürler de bu istisnanın kapsamına dahildir.
Ancak, aktarımın gerçek hayatta gerçekleşmesi bir şart olarak aranmaktadır ve aktarımın soyut olarak kalmış olması bu istisnaya hukuki temel sağlamayacaktır. Bu durumun oluşması halinde aktarım yapılabilecek üçüncü ülkenin içinde bazı engelleyici hukuki düzenlemeler olup olmaması hususuna dikkat edilmelidir. Kılavuz’da bu tür aktarımlarda veriyi aktaracak kişilerin GDPR kapsamında veri minimizasyonuna ilkesini dikkate alması gerektiği ifade edilmiştir.
Örneğin; Üçüncü bir ülkede yerleşik bir şirket grubunun ana şirketinin, grubun iştiraklerinden birinde geçici görevlendirilen bir çalışanı tarafından dava edilmesi durumunda ispat için veri aktarılmasının gerektiği durumda bu istisnaya dayanılması mümkündür.[10]
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.[11]
Kılavuz’da bu hale gerekçe olarak, “AB dışındayken bilincini kaybetmiş ve acil tıbbi bakıma ihtiyaç duyuyorsa, belirli kişisel veriler dahil verilerin (örneğin, onun alışılagelmiş doktoru gibi) bir AB üye devletinde kurulu bir ihracatçı tarafından sağlanabilmesi yasal olarak mümkün olmalıdır.” şeklinde açıklama getirilmiştir.
Bu bağlamda, bu istisna, ilgili kişinin belirli durumunu veya başka bir kişinin durumunu tedavi etmek amacı taşımadığı sürece, AB dışına kişisel tıbbi verilerin aktarılmasını haklı çıkarmak için kullanılamaz; örneğin, gelecekte sonuçlar verecek genel tıbbi araştırmalar yapılması adına kullanılamayacaktır. Yasal anlamda kısıtlı olmak da bu durumun içine girmektedir.
Kılavuz’da belirtildiği üzere doğal afet sonrası arama kurtarma operasyonları bu duruma en büyük örneklerdendir.
Bir hastanın tıbbi verilerinin tedavi amaçlı olarak üçüncü bir ülkeye acil bir durumda transfer edilmesi halinde bu arızi aktarım haline başvurmak mümkündür. Dikkat edilmesi gereken husus ise ilgili kişinin hayat ve beden bütünlüğü için ciddi bir tehdidin varlığı oluşmasıdır. Genel sağlık verilerini bu sebebe dayalı olarak aktarılması mümkün değildir.[12]
GDPR kapsamında Türkiye’de uygulanacak alt bentlerden değişiklik göstererek ayrı düzenlenen ilk maddedir. Türk Hukuku’nda uygulanacak düzenlemeden açık sicilden aktarım sağlanması meşru menfaat ve mevzuatta sicile erişilmesi adına şartların sağlanmasına bağlanmıştır.
Kayıt, ya genel olarak halka veya meşru bir ilgisi olduğunu gösterebilen herhangi bir kişiye danışma imkânı sunmalıdır. Özel kayıtlar bu istisnaya dahil edilemez. İstisnaya dahi örnekler verilmesi gerekirse; şirketler kaydı, dernekler kaydı, suç mahkumiyetleri kaydı, (arazi) tapu kaydı veya kamu araç kaydı olabilir.
Aktarım tüm kategorileri kapsayamaz ve ancak veri sahiplerinin menfaatleri gözetilerek talebi ileten ilgili kişiye yapılabilir.
Reform ile kamu kurum kuruluşlarının kamu hukukuna tâbi faaliyetlerinde arızi aktarıma ilişkin kısıtlama getirilmiştir. Bu kapsamda, arızi aktarıma ilişkin maddede yer alan (a) ilgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi (b) aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması (c) aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması arızi aktarım hallerinden birine dayanamayacaktır.
Arızi hallerin anlaşılması için kurum tarafından rehber ve kılavuz çıkarılması ihtiyacı mevcuttur.
Türk Hukuku’ndaki yeni düzenlemelerin özellikle belirli durumların olağanüstü şartlar altında ele alınarak düzenlenmesi gerektiği açıktır. Ayrıca kişisel verilerin yurt dışına aktarılmasını kaçınılmaz kılacak senaryoları beraberinde getirebileceği de açıktır.
Bu bağlamda, Genel Veri Koruma Yönetmeliği (GDPR) altında ele alınan ve yukarıda değerlendirilen Kılavuz gibi bir düzenlemenin varlığı KVKK açısından da kaçınılmaz bir ihtiyaçtır.
Bu ihtiyaç, KVKK has ihtiyaçlarına ve şartlarına uygun olarak kişisel verilerin korunması ve uluslararası transferlerinin düzenlenmesine yönelik ayrıntılı kurallar ve yönlendirmeler sağlanmasını gerektirir.
Özellikle veri sorumluları ve ilgili kişiye yön gösterecek nitelikte olmalı, arızi aktarıma dair hangi şartlar altında ve nasıl gerçekleştirilebileceğine dair netlik sağlamalıdır.
Kaynakça & Referanslar
[1] European Data Protection Board (EDPB) (2018) Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, <https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf>
