Kişisel verilerin[1] yurtdışında yerleşik üçüncü kişilere aktarımı, 07.04.2016 tarihli Resmi Gazete’de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesinde düzenlenmektedir. Kanun’un 9. maddesi uyarınca, kişisel veriler aşağıdaki şartlardan birinin varlığı halinde yurtdışındaki üçüncü kişilere aktarılabilmektedir (yurtdışındaki üçüncü kişi kavramına, yurtdışındaki sunucular/serverlar da dahildir):

  • Veri sahibinin açık rızasının alınması; veya
  • Kanun’un 5/2 veya 6/3 maddesinde yer alan kişisel verilerin ya da özel nitelikli kişisel verilerin veri sahibinin açık rızası olmaksızın işlenebileceği istisnai hallerin[2] mevcut olması ve kişisel verilerin aktarılacağı ülkenin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen yeterli korumaya sahip ülkelerden biri olması; veya
  • Kanun’un 5/2 veya 6/3 maddesinde yer alan kişisel verilerin ya da özel nitelikli kişisel verilerin veri sahibinin açık rızası olmaksızın işlenebileceği istisnai hallerin mevcut olması, kişisel verilerin aktarılacağı ülkenin Kurul tarafından belirlenen yeterli koruma sahip ülkelerden biri olmaması ancak Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının[3] ya da yabancı ülkedeki veri işleyenlerin  yeterli bir korumayı yazılı olarak taahhüt ederek (veya grup şirketleri arasında bağlayıcı şirket kuralları imzalanarak), Kurul’dan izin almış olmaları.

Halihazırda, Kurul kişisel veriler konusunda yeterli korumaya sahip ülkeleri belirlemiş durumda değildir (Kurul, yakın zamanda internet sitesinde yayınlamış olduğu bir açıklamada, yeterli korumaya sahip ülkelerin belirlenmesinde çalışmaların devam ettiğini ifade etmiş olsa da, bu belirlemenin ne zaman yapılacağı şu anda net değildir).

Bu nedenle, şu anda (b) bendinde belirtilen opsiyon kullanılamamaktadır ve kişisel verilerin hukuka uygun şekilde yurtdışına aktarılması için ya (a) bendi uyarınca veri sahiplerinden Kanun’a ve Kurul ilkelerine uygun şekilde açık rıza alınması gerekmektedir ya da (c) bendi uyarınca Türkiye’deki veri sorumlusu ile yurtdışındaki veri sorumlusu ya da veri işleyen arasında yeterli korumanın yazılı şekilde taahhüt edilmesi ile Kurul’dan genel bir aktarım izni alınması gerekmektedir. Belirtmek gerekir ki, yeterli korumanın yazılı şekilde taahhüdü için daha öncesinde yalnızca Kurul’un belirlediği formata uygun bir taahhütname imzalanması kabul edilmekte iken, Kurul’un 10.04.2020 tarihli duyurusu kapsamında, Avrupa Birliği mevzuatına benzer şekilde, grup şirketler arasında veri aktarımı açısından, taahhütname yerine bağlayıcı şirket kurallarının imzalanması yoluyla ilerlenebileceği belirtilmiştir. Bu kapsamda, eğer Türkiye’deki veri sorumlusu kişisel verileri yurtdışındaki bir grup şirketine aktarıyorsa, Kurul’a izin başvurusunda bulunmak amacıyla taahhütname yerine bağlayıcı şirket kuralları imzalayarak ilerleyebilmektedir.

Veri sahiplerinden açık rıza alınması opsiyonu örneğin çalışanlar bakımından uygulanabilir bir opsiyon olmakla birlikte, veri sorumlusunun tüzel kişi müşteri ve tedarikçilerinin çalışan ve yetkililerinin tamamından bu şekilde tek tek açık rıza temin etmesi genellikle mümkün olamamaktadır ve bu nedenle birçok tüm veri gruplarından açık rıza temini konusunda zorluk yaşamaktadır.

Diğer yandan, Kurul’dan temin edilecek izne ilişkin süreç oldukça uzun sürebilmektedir ve Kurul’un başvuru sonucunda izin vereceği de elbette garanti edilememektedir. Kaldı ki, temin edilen izin hukuki açıdan ileriye dönük etki göstereceğinden, Kurul’dan alınan izin geçmişte veri sahiplerinin açık rızası olmaksızın gerçekleştirilen yurtdışına veri aktarımlarını hukuka uygun hale getirmeyecektir. Belirtmek gerekir ki, yakın zamana kadar Kurul’dan bu şekilde izin temin eden herhangi bir şirket bulunmuyordu ancak kamuya açıklanan bilgi ışığında Şubat 2021 ve Mart 2021’de Kurul iki adet şirkete bu izni temin etti.

Son olarak, şu hususu da eklemek gerekir; Cumhurbaşkanı tarafından 31.03.2021 tarihinde yapılan açıklamada Kanun’da yurtdışına aktarım konusunda İnsan Hakları Eylem Planı kapsamında Avrupa Birliği standartlarına uygun bir takım düzenleme ve değişikliklerin Mart 2022’ye dek yapılabileceği belirtilmiştir.  Böyle bir değişiklik ile Kanun kapsamında yurtdışına veri aktarımı daha kolay uygulanabilir hale gelebilecektir (örn. yeterli korumaya sahip ülkeler belirlenebilir ya da istisnai hallerde veri aktarımına izin verilebilir). 

[1] Kanun uyarınca kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi, kişisel veridir.

[2] Kanun’un 5/2 maddesinde belirtilen, kişisel verilerin veri sahibinin açık rızası olmaksızın işlenebileceği durumlar şunlardır: a) Kanunlarda açıkça öngörülmesi, b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden

bütünlüğünün korunması için zorunlu olması, c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, d) İlgili kişinin kendisi tarafından alenileştirilmiş olması, e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, f) İlgili kişinin temel hak ve özgürlüklerine zarar verilmemesi kaydıyla, veri sorumlusunun meşru menfaati için veri işlemenin gerekli olması.

Kanun’un 6/3 maddesi uyarınca ağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

[3] Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.