Kişisel verilerin yurtdışına aktarılması, KVKK konusunda veri sorumlularının ve uygulamacıların aklının en çok karıştığı alanlardan birisi ve tarafların bu konuda haklı olduğunu söylemeliyim. Sosyal medya kullanımından e-posta kullanımına kadar birçok alanı etkileyen şu sorunun cevabını net bir şekilde verelim: Kişisel verilerin yurtdışına aktarılması nasıl olur?
Kişisel veri kavramı
Kişisel veri teknik olarak; kimliği belirli ya da belirlenebilir gerçek kişiye ait her türlü veriyi ifade eder. Bu kavram hakkında daha çok bilgi almak için şu yazıma göz atabilirsiniz: https://mustafabaysal.com/kisisel-veri-nedir/
Yurtdışına veri aktarımı
Kişisel verilerin işlenmesini kurallar bütününe bağlayan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) bu verilerin elde edilmesi kadar aktarılmasını ya da muhafaza edilmesini de kişisel verinin işlenmesi olarak kabul etmiştir. Böyle olunca kişisel verilerin aktarılmasını birtakım kurallara bağlamıştır. Yurtdışına veri aktarımı ise çok ağır şartlara tabi tutulmuştur.
Kişisel verilerin yurtdışına aktarılması ne demek?
Kişisel verilerin yurtdışına aktarılması; veri sorumlusunun işlediği kişisel veriyi yurtdışındaki bir başka veri sorumlusu ile paylaşması anlamına gelir.
Bu çeşitli şekillerde olabilir. Aşağıda kişisel verilerin yurtdışına aktarılmasına ilişkin belli başlı örnekleri bulabilirsiniz:
- Kişisel veri kargo ya da posta yoluyla yurtdışına fiilen gönderilebilir
- Kişisel veri, yurtdışına çıkan kişi tarafından bizzat götürülebilir
- İnternet üzerinden veri paylaşıldığında kişisel veri otomatik olarak yurtdışına çıkabilir
- Veri sorumlusu ile yurtdışındaki veri sorumlusu arasındaki anlaşmaya istinaden düzenli olarak online veri paylaşımı yapılabilir
E-posta servislerinin kullanılması
Yurtdışına veri aktarımı, ilk bakışta birçok veri sorumlusunun yapmadığı bir şey gibi görünse bile, en küçüğünden devasa holdinglere kadar neredeyse tüm veri sorumluları bilinçli ya da bilinçsiz şekilde yurtdışına veri aktarır. Bunun en bariz örneklerinden birisi elektronik posta servisleridir. Bir veri sorumlusu; sunucuları yurtdışında olan bir e-posta servisi kullandığı anda ne olur? Önce alttaki resme bakalım:
Bu resimden de göreceğiniz üzere; sunucuları (server) yurtdışında olan bir e-posta sağlayıcıyı kullandığınızda, gönderdiğiniz e-posta önce yurtdışına çıkacak, oradaki sunucuya uğrayacak ve sonra gideceği yere ulaşacaktır.
Hotmail, Gmail, Yahoo ya da Yandex mail kullandığınızda, kiminle yazıştığınız önemli olmaksızın yurtdışına veri transferi yapmış olursunuz.
Whatsapp ile yurtdışına kişisel veri transferi
Whatsapp da sunucularını yurtdışında tuttuğu için, bu iletişim uygulamasını kullanarak bir başka kullanıcı ile kişisel veri paylaştığınızda, paylaştığınız veri yine önce yurtdışı sunucuya gidecek ve ardından karşı alıcıya ulaşacaktır. Böylece whatsapp kullanmak, verileri otomatik olarak yurtdışına aktarmak anlamına gelecektir.
Samsung note ya da Google takvim
Kişisel veri işleyen bir veri sorumlusu örneğin ilgili kişilerle randevularını Google takvim ile takip ederse ya da kişisel verileri not almak için Samsung Note uygulamasını kullanırsa, bu uygulamalara girdiği her veriyi anında yurtdışına çıkarmış olacaktır.
Instagram ve Facebook gibi sosyal medya uygulamaları
Yaygın sosyal medya uygulamalarından olan Instagram, Facebook, Twitter ya da Lınkedin ve benzerleri sunucularını Türkiye’de tutmaz ve bunların sunucuları da yurtdışında yer alır.
Bir veri sorumlusu işlediği bir kişisel veriyi Instagram’da paylaşsa ya da Facebook’ta bir gönderiye konu etse, artık bu kişisel verileri yurtdışına çıkarmış olur.
Yurtdışına kişisel veri çıkarmamak mümkün mü?
Yukarıda anlattığım bütün bu hususlar aklınıza şöyle bir soruyu getirecektir: Veri sorumlusu yurtdışına kişisel veri aktaramaz mı? Sosyal medya kullanamaz mı? Mobil uygulamalardan yararlanamaz mı?
Veri sorumlusu bütün bunları elbette yapabilir; ama 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yurtdışına kişisel veri aktarımı için öngördüğü şartları yerine getirmelidir.
6698’e göre yurtdışına kişisel veri aktarımı
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9’uncu maddesi, kişisel verilerin yurtdışına aktarımını düzenler ve ilgili kısmı tam olarak şöyledir:
“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.”.
Yukarıdaki madde incelendiğinde görülecektir ki; yurtdışına kişisel veri aktarımı ancak üç halde mümkündür:
- Açık rıza ile aktarım
- Yeterli korumanın bulunduğu ülkelere aktarım
- Kuruldan izin alarak aktarım
Gelin, bu üç aktarım yolunu tek tek inceleyelim.
1. YOL: Kişisel verilerin yurtdışına açık rıza ile aktarımı
Açık rıza kavramını ayrıntılı bir şekilde şu yazımda izah etmiştim: https://mustafabaysal.com/acik-riza-kvkk/
Açık rıza ile ilgili bilinmesi gereken ilk kural şudur: Kişisel verinin işlenmesi söz konusu olduğunda, öncelikle 6698 sayılı Kanun’un 5/2 ve 6/3 maddelerine bakılır ve bu maddelerdeki şartlar varsa açık rıza ALINMAZ. Bu şartlar yoksa, artık açık rıza alınarak kişisel veri işlenebilir.
9’uncu maddeye göre kişisel veriyi yurtdışına aktarabilmek için ilk yol, ilgili kişinin bu konuda açık rızasını almaktır. Kanun bu konuda veri sorumlusuna bir takdir hakkı tanımış ve açık rıza alması halinde kişisel veriyi yurtdışına aktarma hakkını ona vermiştir.
O halde sorun çözüldü mü? Hayır, çünkü bazı veri sorumluları yüzbinlerce kişisel veriyi neredeyse anlık olarak yurtdışına aktarmak zoruna olabilir. İşte 6698 sayılı Kanun’un 9’uncu maddesinin 2’nci fıkrasına göre, 5 ila 6’ncı maddede yazılı şartlar varsa işler değişecektir.
2. YOL: Yeterli korumanın bulunduğu ülkeye veri aktarımı
6698 sayılı Kanun’un 5 ve 6’ıncı maddesinde şartlar varsa, artık ilgili kişiden açık rıza alınmaz ve yeterli korumanın bulunduğu ilan edilen ülkelere direkt aktarma yapılabilir.
Peki, ama nedir bu 5 ve 6’ncı maddeler? Hemen bir örnekle açıklayalım. Bir özel hastane veri sorumlusu olsun. Bu hastane, sağlık verisi işlesin ve bunun hukuki dayanağı da 6/3’de yazılı “tıbbi teşhis, tedavi” olsun.
Aynı hastane, tıbbi teşhis ve tedaviyi devam ettirmek için yurtdışında başka bir hastane ile anlaşmalı olsa ve doktorlar gerek duyduklarında, yabancı ülkedeki bu hastanede çalışan doktorlardan bilgi ve görüş talep etse, bunun için hastaların açık rızası mı gerekecektir?
Hayır, 6698 sayılı Kanun’un 6/3 maddesindeki şart geçerli olduğundan, artık bu ülkeye sağlık verisi transferi otomatik olarak yapılabilecektir.
Ama, durun bir dakika! Bunun için ne gerekiyordu? Evet, veri transferi “yeterli koruma bulunan” bir ülkeye yapılmalıydı. Ancak, sorun şu ki; Kişisel Verileri Koruma Kurumu “yeterli koruma bulunan ülkeleri” halen ilan etmedi. O halde, geriye üçüncü yol kaldı.
3. YOL: KVK Kurumu’ndan izin alarak yurtdışına veri aktarımı
Yukarıdaki örnekte hastane sağlık verisini yurtdışında bir ülkeye transfer etmek istemişti; ama bu ülke “yeterli koruma bulunan” ülkelerden değildi ya da Kurum henüz bu ülkeleri ilan etmemişti.
İşte bu durumda; veri sorumlusu ve kişisel veriyi aktaracağı ülkedeki veri sorumlusu, kişisel veriyi koruyacaklarına dair taahhütte bulunmalı ve buna ilişkin belgelerle Kişisel Verileri Koruma Kurumu’na başvurmalıdır.
Kurum bu başvuruyu uygun görürse, veri sorumlusuna başvurusu çerçevesinde yurtdışına “açık rıza aramaksızın” kişisel veri aktarımı hakkı tanıyacaktır.
Buna ilişkin onaylanmış bir yurtdışı veri aktarımı için şu karara bakabilirsiniz: https://kvkk.gov.tr/Icerik/6985/TAAHHUTNAME-BASVURUSU-HAKKINDA-DUYURU
Yurtdışına kişisel veri aktarmak için ne yapmalı?
O halde; yurtdışına kişisel veri aktarmak isteyen bir veri sorumlusu, her şeyden önce bunun için ilgili kişinin açık rızasını alabilir.
Fakat bu, özellikle yüzlerce ve hatta binlerce ilgili kişiyle muhatap olan bir veri sorumlusu için bazen fiilen imkânsız olabilir. Bu durumda devreye ikinci seçenek girer.
Eğer Kişisel Verileri Koruma Kurumu “yeterli koruma bulunan” ülkeleri ilan etmişse ve 6698 sayılı Kanun’un 5 ve 6’ncı maddelerinde belirtilen şartlar varsa, bu ülkelere kişisel veriler başkaca bir işleme gerek olmaksızın aktarılabilir.
Son olarak; Kurum yeterli koruma bulunan ülkeleri ilan etmemişse ya da kişisel verilerin gönderileceği ülke açıklanan güvenli ülke listesinde yoksa, Kanun’un 5 ve 6’ncı maddesi kapsamında yurtdışına veri aktarımı yapmak isteyen veri sorumlusu Kurum’a başvurarak bunun için izin isteyecektir.
Aşağıdaki resimde bu durumu özetledim:
SONUÇ
Yurtdışına kişisel verinin aktarılması için ilk yol, ilgili kişiden açık rıza alınmasıdır. Bu seçenek kolay gibi görünse de ilgili kişi sayısının çok olduğu veri sorumluları için tek tek herkesten açık rıza almak çok zor olacaktır.
Tam bu noktada devreye, açık rıza almadan kişisel verileri yurtdışına aktarmak seçeneği girer ki; bunun için kişisel veri işleme şartları bakımından aranan 5/2 ve 6/3 şartlarının aktarım için de var olması gerekir.
Detaylarını yukarıda anlattığım bu 3 yol dışında, yurtdışına kişisel veri aktarmanın başka bir yasal yolu yoktur. Yurtdışına kişisel veri aktarımının yasal risklerini almak istemeyen özellikle küçük veri sorumluları; yurtdışı sunucusu olan uygulamalar yerine yerli uygulamaları tercih edebilir.
Bir başka deyişle örneğin Gmail yerine Türkiye’de sunucusu olan bir yerel e-posta sağlayıcısı ya da whatsapp yerine yine Türkiye’de sunucuları olan bir iletişim uygulaması kullanılabilir.
Her şeye rağmen Drive’dan Instagram’a kadar kişisel veri paylaşımı yapmakta ısrar eden veri sorumlularının ise yazıda izah ettiğim “kişisel verilerin yurtdışına aktarılmasının 3 yolu”ndan birini seçmeleri ve buna uygun işlemleri yapması gerekecektir.
Sık sorulan sorular:
KVKK güvenli ülkeler listesi yayımlandı mı?
Hayır, güvenli ülkeler ya da yeterli koruma bulunan ülkeler listesi Kişisel Verileri Koruma Kurulu tarafından henüz yayımlanmamıştır.
