ÖZET
Dijital dünyanın gelişmesiyle birlikte küresel olarak faaliyet gösteren birçok alanda kişisel verilerin işlenmesi ve çok uluslu kurum ile kuruluşlar da dahil olmak üzere farklı aktörler tarafından yurt dışına aktarılması gerekebilmektedir. Bu kapsamda, yurt dışına veri aktarımı 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde çeşitli ön şartlara tabi tutulmaktadır. Söz konusu ön şartların düzenlenmesinin temel amacı, kişisel verilerin aktarıldığı ülkede de veri aktaranın tabi olduğu ülke mevzuatı koruması ile eş değer bir koruma düzeyinin sağlanabilmesidir. Söz konusu koşulların mevcudiyetinin tespit edilebilmesi adına kanuni bir yükümlülük olmamakla birlikte TIA yapılması önerilmektedir. İşbu makalede TIA'nın amacı, kapsamı, metodolojisi, uygulanması bakımından izlenebilecek adımlar incelenerek Türk hukuku bakımından gerçekleşmesi beklenen gelişmeler mercek altına alınmıştır.
Anahtar Kelimeler: Kişisel Veri, TIA, Schrems II Kararı, SCC, ABAD.
GİRİŞ
Genel Veri Koruma Tüzüğü ("GVKT") uyarınca kişisel verilerin Avrupa Birliği ("AB") dışındaki üçüncü ülkelere mevzuata uygun şekilde aktarılabilmesi belirli yöntemlerin takip edilmesi ve gerekli aktarım şartlarının sağlanması ile mümkündür. Bu kapsamda, Avrupa Komisyonunun 2010/87 sayılı Standard Contractual Clause ("SCC") olarak anılan standart sözleşme hükümleri AB dışına veri aktarımına olanak sağlamaktadır. SCC'nin geçerliliği konusunda İrlanda Yüksek Mahkemesi ("Yüksek Mahkeme")'nin Avrupa Birliği Adalet Divanı ("ABAD")'ndan görüş talep etmesi üzerine verilen Schrems II kararı AB hukukunun yorumlanmasını içeren bir ön karar (ing. preliminary ruling) niteliğindedir1 . Schrems II kararı 16 Temmuz 2020 tarihinde yayınlanarak Yüksek Mahkeme tarafından yöneltilen (i) veri koruma seviyesi kriterleri, (ii) veri koruma otoritesinin yetkileri ve (iii) standart sözleşme maddeleri ile SCC kararına ilişkin sorulara yanıt vermiştir2 . İlgili karar uyarınca aktarımın gerçekleştirilmesi için aktarım yapılacak ülkede AB'de sağlanan koruma ile eş değer korumanın sağlanması, gerekli idari, teknik ve organizasyonel tedbirlerin alınması öngörülmüş olup bu çerçevede TIA yapılması ön plana çıkmaktadır. Buna göre, Avrupa Komisyonu tarafından yeterlilik kararı verilmemiş üçüncü ülkelere veri aktarımı, eş değer koruma düzeyinin sağlanması, ilgili kişilerin haklarının korunması ve varsa etkili yasal çözümlerle desteklenmesi suretiyle gerçekleştirilmelidir. Türk hukuku bakımından ise, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") hükümleri, 12/03/2024 tarihli ve 32487 sayılı Resmi Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ("Kanun Değişikliği") ile genişletilmiştir. Kanun Değişikliği kapsamında bir zorunluluk olmamakla birlikte, TIA'nın KVKK kapsamında gerçekleştirilmesi planlanan yurt dışı veri aktarımları çerçevesinde iyi uygulama örneği oluşturacağı öngörülmektedir. İşbu makalede öncelikle TIA'nın amacına, kapsamına, Schrems II kararı ile ilişkisine, takiben TIA metodolojisine, uygulanması bakımından izlenebilecek adımlara, ek/tamamlayıcı tedbirlere ve son olarak ise kanun değişikliği ile KVKK kapsamında gerçekleşmesi beklenen TIA gelişmelerine yer verilmiştir.
I. TIA'NIN AMACI, KAPSAMI VE SCHREMS II KARARI İLE İLİŞKİSİ
TIA esasen GVKT kapsamında düzenlenmemiş olup Schrems II kararı sonrasında hukuki bir dayanak kazanmıştır3 . TIA'nın üçüncü ülkelere veri aktarımı öncesinde veri aktarımına ilişkin hukuki risklerin belirlenebilmesi ve veri aktaranın tabi olduğu ülke mevzuatı koruması ile eş değer bir koruma düzeyinin sağlanabilmesi adına muhtelif güvenlik standartları göz önünde bulundurularak potansiyel risklerin değerlendirilmesine ve mevcut ise risklerin ortadan kaldırılmasına/minimize edilmesine (gerekli ise ek/tamamlayıcı güvenlik tedbirlerinin alınmasına) yönelik bir ön çalışma olduğu söylenebilecektir.
Schrems II kararı, özellikle Avrupa Komisyonunun yeterlilik kararının bulunmadığı yargı bölgelerine kişisel verilerin aktarılması durumunda ek/tamamlayıcı bir inceleme gerektirdiğini vurgulamaktadır. Bu çerçevede, TIA'nın temel amacı, üçüncü ülkelere yapılan veri aktarımlarının hukuki olarak uygunluğunu değerlendirmektir4. Değerlendirme süreci, veri aktarımı öncesinde hukuki riskleri belirleyerek ve gerekli güvenlik önlemlerini alarak veri aktaranın tabi olduğu ülkedeki veri koruma standartlarına uyum sağlanmasına imkân tanımaktadır. Örneğin, kişisel verilerin Avrupa Ekonomik Alanı dışındaki ülkelere aktarılması ve ilgili ülkeler hakkında verilmiş bir yeterlilik kararının bulunmaması durumunda, GVKT'nin 46'ncı maddesinde belirtilen aktarım araçlarına dayanan veri aktarımlarında, veri aktaran tarafından TIA yapılması gerekmektedir. Aktarımın gerçekleştirileceği ülkedeki veri koruma standartları, mahremiyetin korunması, kişisel verilerin güvenliği ve diğer faktörler göz önüne alınarak potansiyel riskler bakımından eksiklikler belirlenmektedir5 . TIA, veri aktarım süreçlerinin şeffaf bir şekilde yönetilmesine yardımcı olmakta ve AB dışındaki ülkelere veri aktarımı yapılması halinde veri koruma mevzuatına uyumlu bir şekilde faaliyet gösterilmesini sağlamaktadır. Öte yandan, aktarım yapılan ülkeye dair Avrupa Komisyonu tarafından bir yeterlilik kararı verilmiş olması veya aktarımın GVKT'nin 49'uncu maddesinde belirtilen istisnalardan birine dayanılarak yapılması halinde veri aktaran tarafın TIA yapma yükümlülüğünün ortadan kalkması söz konusu olmaktadır6 .
II. TIA METODOLOJİSİ VE UYGULANMASI BAKIMINDAN İZLENEBİLECEK ADIMLAR
a.Avrupa Veri Koruma Kurulu'nun 01/2020 Sayılı Tavsiye Kararı
Avrupa Veri Koruma Kurulu ("EDPB") AB kişisel veri koruma düzeyine uyumu sağlamaya yönelik önlemleri belirlemek amacıyla Schrems II kararını takiben veri aktarım mekanizmalarını destekler tedbirlere ilişkin 01/2020 sayılı tavsiye kararında TIA ile ilgili adımları tanımlamış olup Fransız Veri Koruma Otoritesi ("CNIL") tarafından yayımlanan Taslak Uygulama Rehberi ise TIA'nın oluşturulması için izlenmesi gereken metodoloji ve süreçlere ilişkin tavsiye açıklamalar sunmaktadır. Benzer adımlar uygun düştüğü ölçüde KVKK bakımından da uygulama alanı bulabilecektir7 :.
i) Veri aktarım haritasının oluşturulması:
Sonraki aktarımlar da dahil olmak üzere kişisel verilerin işlendiği her yerde eş değer bir koruma seviyesinin sağlanmasına yardımcı olmak amacıyla tüm işleme faaliyetlerinin kayıt altına alınması, ilgili kişilerin bilgilendirilmesi ve aktarımın veri minimizasyonu ilkesine uygun olduğundan emin olunması suretiyle hangi verilerin nereden nereye aktarıldığının tespitinin sağlandığı bir yol haritası oluşturulmalıdır.
ii)Güvenilir aktarım araçlarının belirlenmesi: Kanun değişikliği ile yurt dışına kişisel veri aktarımına ilişkin yöntemler GVKT'ye daha fazla uyum sağlanması amacıyla genişletilmiştir. Bu kapsamda, açık rıza alınması yurt dışına veri aktarımı bakımından tek başına veri işleme şartı olmaktan çıkarılarak üç alternatifli ve kademeli bir aktarım rejimi tesis edilmiştir: (i) yeterlilik kararına dayalı aktarım, (ii) uygun güvencelere dayalı aktarım ve (iii) istisnai durumlara dayalı aktarım. Buna göre "uygun güvenceler" içeren aktarım araçlarından Kişisel Verileri Koruma Kurulu ("Kurul") tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı ile ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı aktarım araçlarına örnek teşkil edebilecektir.
iii)Üçüncü ülkenin veri koruma mevzuatı ve uygulamaları: Seçilen aktarım aracının kişisel verilerin korunmasına yönelik yeterli koruma sağlayıp sağlamadığının belirlenmesine yardımcı olmak amacıyla veri aktaran, veri alıcı ile iş birliği içinde bir TIA yapmalıdır. Söz konusu değerlendirme yapılırken ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması unsurları dikkate alınmalıdır. EDPB, bu tür bir değerlendirmenin detaylı bir şekilde belgelenmesi gerektiğini ve işbu değerlendirmenin yetkili denetim ve/veya yargı makamları tarafından talep edilebileceğini belirtmiştir.
iv) Ek/tamamlayıcı tedbirlerin alınması: Seçilen aktarım aracının eş değer bir koruma düzeyi sağlamaması halinde genellikle teknik ve organizasyonel nitelikte olan ek/tamamlayıcı tedbirler alınmasını ve veri aktaran ile veri alıcılarının iş birliği içerisinde hangi ek/ tamamlayıcı tedbirlerin etkili olabileceğini her bir olay özelinde belirlemeleri gerekmektedir. Söz konusu tedbirler, mevcut korumalara ek olarak alınmalıdır ve aktarılan verilere veri aktaranın tabi olduğu ülke mevzuatında belirlenen standartlara eşit bir düzeyde koruma sağlamak amacıyla uygulanmalıdır.
v) Belirlenen ek önlemlerin uygulanması: Kullanılan veya kullanılması beklenen aktarım aracına bağlı olarak değişebilen ek/tamamlayıcı tedbirlerin belirlenmesinin akabinde veri aktarımına devam edilebilecektir.
vi) Uygun aralıklarla yeniden değerlendirme: EDPB tarafından önerilen son adım, aktarım yapılan üçüncü ülkelerdeki mevzuat ve uygulamalardaki değişikliklerin düzenli olarak kontrol edilmesidir. İlgili adımın temel amacı, aktarım yapılan üçüncü ülkede veri koruma düzeyini etkileyebilecek yeni gelişmeleri izlemek ve gözden geçirmektir. Bu yaklaşım aynı zamanda hesap verilebilirliğin sağlanması bakımından da önem arz etmekte olup başlangıçta yapılan değerlendirmelerin yanı sıra aktarım yapılan üçüncü ülkede meydana gelen değişikliklerin de göz önünde bulundurulmasını gerektirmektedir. Özellikle ek/tamamlayıcı tedbirlerin artık etkili olmaması, söz konusu tedbirlerin ihlâl edilmesi veya yerine getirilmesinin imkânsız hale gelmesi durumunda ilgili sürecin uygulanması, TIA'nın akıbeti açısından kritik bir adım olarak karşımıza çıkmaktadır.
b. Ek/Tamamlayıcı Tedbirler
Ek/tamamlayıcı tedbirler, Schrems II kararında anılmakla birlikte örnek olarak yer almamaktadır. EDPB tavsiyeleri Ek-2'de listelenen ek/ tamamlayıcı tedbirler kapsamında üçüncü ülkelere gerçekleştirilmesi planlanan veri aktarım süreçlerinde hangi tedbirin alınması gerektiği her bir olay özelinde ayrıca değerlendirilmelidir.
To read the full article click here
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.