Yurtdışı Aktarma İşlemleri
KVKK Yurtdışı Veri Aktarımı Nedir? Yurtdışına Veri Aktarımı Nasıl Yapılmalıdır?
Yurt dışına veri aktarma özellikli bir veri işleme faaliyetidir. Yurt dışına veri aktarmak halihazırda sadece açık rıza bulunması halinde mümkündür. Veri aktarma bakımından diğer halleri ve gereken diğer şartları aşağıdaki açıklamalardan öğrenebilir, uygulamalarınızın doğruluğunu test edebilirsiniz.
AÇIKLAMALAR
YURTDIŞINA AKTARIM ŞARTLARI NELERDİR?
Kanunun 9. maddesine göre yurtdışına veri aktarımı şu hallerde yapılabilir;
Öncelikle, İlgili kişinin açık rızasının bulunması şartıyla başka bir şart aranmaksızın veriler yurt dışına aktarılabilir.
Eğer açık rıza yok ise Kanundaki hallerin varlığı yanında; ilgili ülkede yasal koruma olup olmamasına göre işleme devam etmek gerekir.
- Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler listesi henüz yayınlanmamıştır) veri aktarımında, Kanunda belirtilen hallerin varlığı halinde (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar ile -aşağıda belirtilmektedir)
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında ise Kanunda belirtilen hallerin varlığına ek olarak (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar-aşağıda belirtilmektedir)
- Yeterli korumanın veri sorumlusu tarafından yazılı olarak taahhüt edilmesi ve
- Kurulun izninin bulunması,
durumlarında aktarma gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Bunun yanında, eğer açık rıza dışında bir aktarma var ise kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
Dolayısıyla, İlgili kişinin açık rızasının bulunması durumunda da kişisel verilerin yurtdışına aktarılması mümkündür, ancak bu kez ek tedbirlerin eksiksiz olup olmadığına bakmak gerekmektedir.
Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A) Yeterli korumanın bulunması halinde;
Kişisel veriler açık rıza olmadan da;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler bakımından aktarma yapılacak ise AÇIK RIZA İLE VEYA,
- Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
- Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
- Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
- Kurulun izninin bulunması
gerekmektedir.
YURT DIŞI AKTARIM İŞLEMLERİ NASIL YAPILIR?
1. Verisi aktarılacak ilgili kişi/kişilerin açık rızası olup olmadığını kontrol ediniz. Açık rıza yok ise alıp alamayacağınızı kontrol ediniz. Alabiliyorsanız YURT DIŞINA AKTARIM BAKIMINDAN AÇIK RIZA ALMA İŞLEMİNİ tamamlamak en risksiz ve az bürokrasili aktarma yöntemidir. Eğer açık rıza varsa yeterli koruma olup olmadığına da bakmanız gerekli değildir.
2. Açık rıza olmaması halinde aktarma işlemi kanunda öngörülen diğer aktarma hallerine girmek zorundadır. Aksi takdirde aktarma bir ihlal oluşturacaktır. Bu hallerden birinin varlığından emin olunuz.
3. Açık Rıza olmayan hallerde ; Kanunda belirlenen aktarma hallerinden biri mevcut olduğu ve ek tedbirler de mevcut olduğu için aktarma yapılıyor ise; halihazırda hiçbir ülke bakımından KVK nın “güvenlidir” kabulü yer almadığı (güvenli ülkeler listesi yayınlanmamıştır) için ; Veri sorumlusuna aktarım konusunda "Veri Sorumlusundan Veri Sorumlusuna Aktarım taahhüdü"nün şartlarını, veri işleyene aktarım konusunda "Veri Sorumlusundan Veri İşleyene Aktarım Taahhüdü"nün şartlarını mutlaka okuyarak bu şartları sağlayan ikili sözleşmeler yapmanız gerektiğini unutmayınız. Bu örnekler (taahhütler) Kurum tarafından yayınlanan örneklerdir, mutlaka uygun belgeler kullanmanızı tavsiye ederiz.
4. Ayrıca, 3. Maddenin bir tamamlayıcısı olarak, KVKK' nun yayımladığı örnek yurt dışına aktarma taahhüdüne uygun olarak hazırladığınız taahhüdün (veri sorumlusundan veri sorumlusuna aktarım, veri sorumlusundan veri işleyene aktarım) kişisel veri sahiplerine duyurulmasını sağlayınız. Bunun yolu kişisel veriler ile politikalarda aktarım bölümlerinde bu taahhüt içeriğinin yer alması ve de bu politikaların ilgililere bir şekilde tebliğ edilmiş olmasıdır; örneğin web sayfasında, çalışanlara mail yoluyla, müşterilere sözleşmelerin yapılması sırasında.
2., 3. Ve 4. adımlardaki işlemleri tekrar açıklayacak olur isek;
Veriyi rıza dışında aktarmanız halinde;
- Veriyi aktaracağınız kişilerin/kurumların BULUNDUKLARI ÜLKE BAKIMINDAN GDPR VEYA KVKK BENZERİ BİR MEVZUAT KAPSAMINDA uyumluluğunu kontrol ediniz. BU DURUM ESASEN KVKK TARAFINDAN YAYINLANACAK GÜVENLİ ÜLKE GÜVENCESİDİR. ANCAK KVKK HENÜZ BU LİSTEYİ YAYIMLAMAMIŞTIR. BU NEDENLE BU YÖNTEMLE VERİ AKTARMAK İÇİN KARŞILIKLI TAAHHÜTNAMELERİ KURUM'A SUNARAK AKTARMA İZNİ ALINIZ.
- Bu kişiler ile mutlaka gizlilik, işlemenin çerçevesi, koruma, izinsiz aktarma yasağı, yok etme ve imha konularını içeren bir sözleşme yapınız ve veri ihlalinin en azından maddi sonuçlarını bu kişilere yükleyiniz.
- Yaptığınız sözleşmelerde gerektiğinde denetleme yetkisi alınız ve denetleme yaparak cezai sorumluluklar bakımından en azından kasıtlı suç işlemek/iştirak etmek suçlamaları bakımından önlem alınız.
-Denetlemeleriniz sırasında bir uyum problemi, ihlal tespit etmeniz halinde derhal uyarınız, Kurum ve ilgili kişilere bildirim(ihbar) HATTA İLGİLİ SÖZLEŞMENİN FESHİ dahil gerekli önlemleri düşününüz, alınız.
5. Saklama süresi sona eren imha, yok etme, anonimleştirme işlemine tabi tuttuğunuz veriler bakımından gereken işlemi aktardığınız kişilerin de gerçekleştirmesini sağlayınız, takip ediniz ve bu konuda güvence alınız. (Raporlamalar, taahhütler gibi)
Mevzuat
1- 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel verilerin yurt dışına aktarılması
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
2- Kişisel Verileri Koruma Kurumu Yayınları
Kişisel Verilerin Yurt Dışına Aktarılması