1. GIRIS

Kisisel Verileri Koruma Kurumu tarafindan, kisisel verilerin veri güvenligi ve veri mahremiyetinin tesis edilmesi suretiyle, kanun ve mevzuatta yer alan düzenlenmelere uygunluk saglandigi takdirde yurt disina aktarimin mümkün oldugu ifade edilerek;

TEB Arval Araç Filo Kiralama Anonim Sirketi, Amazon Turkey Parakende Hizmetleri Limited Sirketi, Amazon Turkey Yönetim Destek Hizmetleri Limited Sirketlerinin yurt disina aktarim konusunda yeterli korumayi yazili olarak taahhüt ettigine kanaat getirilerek yurt disina aktarimina izni verilmesi Kisisel Verilerin Yurt Disina Aktarilmasi hususunun incelenerek sartlarinin degerlendirilmesi gerekliligini gözler önüne sermistir.

2. 6698 SAYILI KISISEL VERILERIN KORUNMASI KANUNU ("KVKK") KAPSAMINDA KISISEL VERILERIN YURT DISINA AKTARILMASI

Kisisel verilerin yurt disina aktarimi 6698 sayili KVKK'nin 9. Maddesi1 ile düzenleme altina alinarak Kisisel Verileri Koruma Kurumu tarafindan yayinlanan rehber ve duyurularla konuya iliskin detaylar açiklanmistir.

KVKK madde 9'da kisisel verilerin yurt disina aktarilmasi için düzenlenen ilk imkan, ilgili kisinin açik rizasinin alinmasidir.

Kurum tarafindan yayimlanan 22.07.2020 tarih ve 2020/559 sayili Karar uyarinca; birden çok kategoriye iliskin verilerin islenmesine yönelik açik riza beyaninda bulunulmasi durumunda, açik rizanin veri kullanimi sonrasi gerçeklesecek yurt disina aktarim gibi ikincil islemler için de alinmasi gerektigini ifade etmektedir.

Amazon Turkey Parakende Hizmetleri Limited Sirketi'nin taahhütname ile yurt disina veri aktarim degerlendirme süreci devam etmekteyken 27.02.2020 tarih ve 2020/173 sayili2 karar ile Amazon Türkiye'nin yurtdisina veri aktarimi konusunda henüz bir karar bulunmamasindan bahisle aktarimin ancak kisinin açik rizasinin bulunmasi durumunda olabilecegi ifade edilerek yurt disina aktarimda ilgili kisilerin açik rizasinin bulunmamasi nedeniyle Amazon Türkiye'ye idari para cezasi kesilmistir.

Ilgili kararin ayrintilarina deginmek gerekirse; ilgili sirketin web sitesinde yer alan "Gizlilik Bildirimi" bölümünde kisisel verilerin Avrupa Birligi'ne ve Avrupa Birligi'nden Amerika Birlesik Devletlerine aktarilabilecegi belirtilmis olmasina ragmen, hiçbir asamada kisisel verilerin yurt disina aktarilmasi için açik riza alinmadigi iddia edilmistir. Amazon tarafinda her ne kadar müsterilerin Gizlilik Bildirimi'ni onaylayarak bu aktarimi kabul etmis olduklarini ve yurt disina veri aktarim taahhütnameleri ile ilgili görüsmelerin yapilmakta oldugu savunmasinda bulunmus olsa dahi ilgili savunmalar Kurul tarafindan dikkate alinmamistir.

Taahhütname ile yurt disina veri aktariminin saglanmasi Kurul'un iznine bagli olup, izin verilmeden önce yurt disina aktarim saglanabilmesi için açik rizanin varligi gerekmektedir. Amazon kararinda bu açik riza da ele alinmis ve Gizlilik Bildiriminde "Amazon Kisisel Verilerinizi Paylasiyor mu?" basligi altindaki açiklamalarda "Yukarida belirtilenler haricinde, hakkinizdaki kisisel bilgiler üçüncü taraflarla paylasildiginda, bir bildirim alacaksiniz ve bu bilgileri paylasmamayi seçme sansiniz olacaktir."açiklamasinda hukuka aykirilik bulunmaktadir.

Kisisel verilerin yurt disina aktarilmasi için aktarim öncesinde açik riza alinmasi gerekmekteyken, Amazon'un sitesinde yer alan bildirimde aktarim yapildiktan sonra ilgili kisiye yapilan bildirim ile kisinin aktarim yapilmamasini seçme sansinin taninmasi, yurt disina aktarim için açik riza alindigi anlamina gelmeyerek varsayilan rizayi reddetme imkani saglanmaktadir.

Zimni irade beyani ile yurt disina aktarimda onay alinmasi mevzuata aykiri olup, verilerin islenmesi alaninda tüm fiiller için tek bir rizanin alinmasi 6698 sayili KVKK'ya aykirilik teskil etmektedir.

2.1. Kisisel Verilerin Otomatik Isleme Tabi Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi (108 Sayili Sözlesme)

108 sayili sözlesmenin "Kisisel Verilerin Sinir Ötesi Akisi ve Iç Hukuk" baslikli 12. Maddesine göre3; otomatik isleme konu olan veya otomatik isleme konu olmak üzere toplanmis kisisel verilerin her türlü yoldan ulusal sinirlarin ötesine transferinin bir tarafin özel yasaminin korunmasi amaciyla dahi, diger tarafla sinir ötesi akisi yasaklayamayacagi veya özel izne tabi tutamayacagini düzenlemektedir.

Düzenlemeye getirilecek istisnalar 3. Fikrada yer almaktadir. Kurul'un veri aktarimina izin verip vermeyecegine dair incelemesinde taraf oldugu uluslararasi sözlesmeleri de dikkate alacagindan 108 sayili sözlesme de Kurul'un degerlendirmesinde esas alinacaktir.

108 sayili sözlesmenin 2. Fikrasina göre düzenlemenin amaci; Sözlesmeye taraf ülkelerin kisisel verilerin korunmasi bakimindan yeterli düzeyde güvenceleri sagladigi yönündeki ön kabulden hareketle taraf ülkeler arasinda veri akisinin kolaylastirilmasi oldugu, bununla birlikte, bu hükmün taraf devletler arasindaki veri akisinin bildirime tabi kilinmasina veya taraflarin iç hukuklarinda belirli durumlarda yurt içinde veya sinir asan nitelikte aktarimlari yasaklamaya yönelik düzenlemeler yapabilme imkanini ortadan kaldirmadigi öngörülmekle birlikte 108 sayili Sözlesmeye taraf olan ülkelerin herhangi bir baska degerlendirmede bulunulmadan yeterli korumaya sahip ülke olarak nitelendirilmeyecegi ve Sözlesmeye taraf olmanin yalnizca yeterlilik degerlendirmesinde dikkate alinacagi bir kriter olarak kabul edilmektedir.

Bu nedenle Kurul'un 22.07.2020 tarih ve 2020/559 sayili4 Otomotiv sektöründe faaliyet gösteren veri sorumlusu sifatina haiz firma aleyhine olan kararda da belirtildigi üzere yalnizca 108 sayili sözlesmeye taraf olmamiz nedeniyle yurt disina aktarima imkan saglanmayacak olup, ilgili sözlesme basli basina kisisel verilerin yurt disina aktarimina cevaz vermemekle birlikte yurt disina veri aktarimi yaparken güvenli ülke statüsü tayininde kullanilacak bir kriter olduguna deginilmektedir.

KVKK 9/2'ye göre kisisel veriler; 5. maddenin ikinci fikrasi ile 6. maddenin üçüncü fikrasinda belirtilen sartlardan birinin varligi ve kisisel verinin aktarilacagi yabanci ülkede;

  1. Yeterli korumanin bulunmasi,
  2. Yeterli korumanin bulunmamasi durumunda Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli bir korumayi yazili olarak taahhüt etmeleri ve Kurulun izninin bulunmasi kaydiyla ilgili kisinin açik rizasi aranmaksizin yurt disina aktarim yapabilmektedir.

Yeterli korumanin bulundugu yabanci ülkeler Kurul tarafindan ilan edilecek olmasina ragmen Kurul halen yeterli korumanin saglandigi ülkeler listesini yayimlamamistir. Kurul'un 02.05.2019 tarih ve 2019/125 sayili kararinda5 yeterli korumanin bulundugu ülkelerinin belirlenmesinde kullanilmasi amaciyla olusturulan form sitede yayimlanmistir. Bu forma göre yeterli korumanin bulundugu ülkelerin belirlemesinde, karsiliklilik durumu, ilgili ülkenin kisisel verilerin islenmesine iliskin mevzuati ve uygulamasi, bagimsiz veri koruma otoritesinin bulunup bulunmadigi, kisisel verilerin korunmasi ile ilgili uluslararasi antlasmalara taraf olma ile uluslararasi kuruluslara üye olma durumu, Ülkemizin üye oldugu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi gibi kriterlerin dikkate alinacagi belirtilmistir. Kanunun yürürlüge girdigi andan itibaren güvenli ülke olarak ilan edilen bir ülkenin bulunmayisi yeterli korumanin bulunmasi nedeniyle verilerin yurt disina aktarilmasi yolunu uygulanamaz hale getirmistir.

Kisisel verilerin aktarilacagi ülke, yeterli korumanin bulunmadigi bir ülke ise bu durumda kisisel veri isleme sartlarinin mevcut olmasi ile Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli bir korumayi yazili olarak taahhüt etmeleri ve Kurulun izninin bulunmasi gerekmektedir.

Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli bir korumayi yazili olarak taahhüt etmelerinde kullanilabilecek ilk yöntem Kurul tarafindan kabul edilerek ilan edilen "Taahhütnameler"dir.

Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarim ve veri sorumlusundan veri isleyene aktarim olmak üzere iki sekilde düzenlenmistir.

Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli bir korumayi yazili olarak taahhüt etmelerinde kullanilabilecek bir diger yöntem "Baglayici Sirket Kurallari"dir.

Baglayici Sirket Kurallari, yeterli korumanin bulunmadigi ülkelerde faaliyet gösteren çok uluslu grup sirketleri için kisisel verilerin yurt disina aktariminda kullanilan ve yeterli bir korumanin yazili olarak taahhüt edilmesini saglayan veri koruma politikalaridir. Bu kapsama giren sirketlerin, bu formu doldurup gerekli talimatlari izleyerek Kisisel Verileri Koruma Kurumuna Baglayici Sirket Kurallari basvurusu yapmasi gerekmektedir.

6698 sayili Kanunun 9. maddesinin 2 bendi geregince, kisisel verilerin aktarilacagi ülkede yeterli korumanin bulunmamasi durumunda, Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli korumayi saglayacaklarina iliskin olarak hazirladiklari yazili taahhütler, Kurul'un iznine tabidir.

Taahhütname yoluyla kisisel verilerin yurt disina aktarilmasi hususunda ülkemizde Taahhütname yoluyla aktarim yapilabilme amaciyla 3 sirkete izin verilmis olup evvelinde Kurul tarafindan yayinlanan 07.05.2020 tarihli duyuruda6 kisisel veri aktariminda hazirlanacak taahhütnamelerde dikkat edilmesi gereken hususlara deginilmistir.7

Izin basvurusunda bulunacak veri sorumlularinin, basvuru sirasinda basvurmaya yetkili kisiye ait bilgiler ile birlikte kisinin imzaya yetkili oldugunu belli edici belgeleri de Kurum'a sunmasi gerekmektedir. Yabanci dildeki her belgenin noter onayli çevirisi bulunmali ve taahhütname hazirlanirken Kurum'un internet sitesinde yer alan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmelidir.

Taahhütname düzenlenirken dikkat edilmesi gereken esasa iliskin hususlar sunlardir:

  1. Aktarim yapilacak taraflar arasindaki hukuki iliski dogru bir sekilde belirlenerek, alici tarafin niteligine uygun taahhütname örnegi kullanilmalidir.
  2. Veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri isleyene yapilacak aktarimlarda taraflarin hukuki statülerine iliskin anlasilir detayda açiklamalara yer verilmesi ve aralarindaki iliskiyi belirten belgelerin bulunmasi durumunda Taahhütname ile gönderilmesi gerekmektedir.
  3. Taahhütname yer alan ifadeler terminolojide yer almali ve mevzuata uygun olmalidir.
  4. Birbiriyle iliskili basliklar arasinda bag kurulmasi suretiyle veri konusu kisi grubunun hangi verilerinin hangi amaca ve hukuki sebebe uygun olarak kurulacagi açikça ifade edilmelidir.
  5. Yurt disina aktarimin açik rizaya dayandigi durumlarda aktarimlar Taahhütname konusu edilmeyecektir.
  6. Kisisel verilerin islenmesinde Kanunun Genel ilkeler baslikli 4. Maddesinde yer alan ilkelere uyulmasi zorunludur.

Taahhütname Ekinde yer alan açiklamalar bakimindan, veri konusu ve kisi gruplari belirtilirken "gibi, ve benzeri, olasi, muhtemel." gibi muglak ifadelerden kaçinilmasi, veri konusu kisi gruplarinin net bir sekilde ortaya konmasi gerekmektedir.

2.2. Kisisel Verilerin Yurt Disina Aktarimina Iliskin Diger Kanunlarda Öngörülen Düzenlemeler

Kanunun 4. Maddesine göre kisisel veriler "ancak bu Kanunda ve diger kanunlarda öngörülen usul ve esaslara uygun olarak" islenebilmektedir. Yurt disina aktarim ile ilgili farkli alanlarda sürdürülen kisisel veri isleme faaliyetlerinin tabi olduklari kanuni düzenlemeler Kanun ile birlikte uygulanarak diger kanunlarin kendine özgü yapisindan kaynaklanan gereklilikler de yerine getirilmektedir.

Kanunun 9. Maddesine göre ise, "Kisisel verilerin yurt disina aktarilmasina iliskin diger kanunlarda yer alan hükümler saklidir." düzenlemesinden bahisle Anayasa'nin 90. Maddesinin 5. Fikrasi çerçevesinde kanunlarda ve usulüne göre yürürlüge konulmus milletlerarasi antlasmalarda kisisel verilerin yurt disina aktarimina iliskin bir düzenlemenin mevcut olmasi halinde, bu düzenlemeye göre hareket edilecektir.

3. SONUÇ

TEB Arval Araç Filo Kiralama Anonim Sirketi, Amazon Turkey Perakende Hizmetleri Ltd. Sti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Sirketlerine taahhütname yoluyla yurt disina aktarim izninin verilmesi, taahhütname basvurularinin hangi sebeplere dayanilarak kabul edildigi belirtilmemis olmasina ragmen, Kurum tarafindan yayimlanan Taahhütname basvuru esaslari dikkate alinarak yurt disina aktarim sartlari saglanmis olan sirketlere kisisel verilerin yurt disina aktarimi konusunda izin verilebilecegi görülerek, diger sirketler açisindan da sartlarin saglanmasi durumunda yurt disina aktarimin saglanabilecegi konusunda bir teskil etmektedir.

4. KAYNAKÇA

KORKMAZ, Ibrahim, (2016), "Kisisel Verilerin Korunmasi Kanunu Hakkinda Bir Degerlendirme", TBB Dergisi, Sayi: 124, ss.81-152.

Kisisel Verileri Koruma Kurumu, Kisisel Verilerin Yurt Disina Aktarilmasi Rehberi

AKÇALI GÜR, Berna, Uluslararasi Hukuk ve AB Hukuku Boyutuyla Kisisel Verilerin Yurt Disina Aktarilmasi, Marmara Üniversitesi Hukuk Fakültesi Hukuk Arastirmalari Dergisi . Cilt 25, Sayi 2, Prof. Dr. Ferit Hakan Baykal Armagani, Aralik 2019

Footnotes

1. Kisisel verilerin yurt disina aktarilmasi

Madde 9- (1) Kisisel veriler, ilgili kisinin açik rizasi olmaksizin yurt disina aktarilamaz.

(2) Kisisel veriler, 5 inci maddenin ikinci fikrasi ile 6 nci maddenin üçüncü fikrasinda belirtilen sartlardan birinin varligi ve kisisel verinin aktarilacagi yabanci ülkede;

a) Yeterli korumanin bulunmasi,

b) Yeterli korumanin bulunmamasi durumunda Türkiye'deki ve ilgili yabanci ülkedeki veri sorumlularinin yeterli bir korumayi yazili olarak taahhüt etmeleri ve Kurulun izninin bulunmasi, kaydiyla ilgili kisinin açik rizasi aranmaksizin yurt disina aktarilabilir.

(3) Yeterli korumanin bulundugu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabanci ülkede yeterli koruma bulunup bulunmadigina ve ikinci fikranin (b) bendi uyarinca izin verilip verilmeyecegine;

a) Türkiye'nin taraf oldugu uluslararasi sözlesmeleri,

b) Kisisel veri talep eden ülke ile Türkiye arasinda veri aktarimina iliskin karsiliklilik durumunu,

c) Her somut kisisel veri aktarimina iliskin olarak, kisisel verinin niteligi ile islenme amaç ve süresini,

ç) Kisisel verinin aktarilacagi ülkenin konuyla ilgili mevzuati ve uygulamasini,

d) Kisisel verinin aktarilacagi ülkede bulunan veri sorumlusu tarafindan taahhüt edilen önlemleri, degerlendirmek ve ihtiyaç duymasi hâlinde, ilgili kurum ve kuruluslarin görüsünü de almak suretiyle karar verir.

(5) Kisisel veriler, uluslararasi sözlesme hükümleri sakli kalmak üzere, Türkiye'nin veya ilgili kisinin menfaatinin ciddi bir sekilde zarar görecegi durumlarda, ancak ilgili kamu kurum veya kurulusunun görüsü alinarak Kurulun izniyle yurt disina aktarilabilir.

(6) Kisisel verilerin yurt disina aktarilmasina iliskin diger kanunlarda yer alan hükümler saklidir.

2. https://www.kvkk.gov.tr/Icerik/6739/2020-173

3. 1) Otomatik isleme konu olan veya otomatik isleme konu olmak üzere toplanmis kisisel verilerin her türlü yoldan ulusal sinirlarin ötesine transferinde asagidaki hükümler uygulanir.

2) Bir Taraf, münhasiran özel yasamin korunmasi amaciyla kisisel verilerin diger bir Tarafa sinir ötesi akisini yasaklayamaz veya özel müsaadeye tabi tutamaz.

3) Bununla birlikte her bir Taraf, 2 nci fikradaki hükümlere asagidaki durumlarda istisna getirebilir:

a) Kendi mevzuatinin, belli kisisel veri veya otomatik kisisel veri dosyasi kategorileri için, bu verilerin veya dosyalarin dogasindan kaynaklanan özel düzenlemeler içermesi, diger Tarafin düzenlemelerinin ise esdeger bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafin ülkesinden, bir diger taraf üzerinden Taraf olmayan bir devletin ülkesine yapilmasi durumunda, bu bendin basinda atifta bulunulan Tarafin mevzuatinin bosluklarindan yararlanmak üzere yapilacak bu tür transferleri engellemek amaciyla."

4. https://www.kvkk.gov.tr/Icerik/6790/2020-559

5. https://www.kvkk.gov.tr/Icerik/5469/-Yeterli-korumanin-bulundugu-ulkelerin-tayininde-kullanilmak-uzere-olusturulan-form-hakkindaki-02-05-2019-tarihli-ve-2019-125-sayili-Kurul-Karari

6. https://www.kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU

7. https://www.kvkk.gov.tr/Icerik/4236/Yurtdisina-Veri-Aktariminda-Veri-Sorumlularinca-Hazirlanacak-Taahhutnamede-Yer-Alacak-Asgari-Unsurlar

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.