Türkiye Dışına Veri Aktarımları ve Uygulamadaki Zorluklar – Veri Koruma
Bu makaleyi yazdırmak için ihtiyacınız olan tek şey Mondaq.com’a kaydolmak veya giriş yapmaktır.
Uluslararası ticaretin hızla büyümesi ve dünyanın farklı ülkelerine yapılan çeşitli yatırımların yanı sıra teknolojinin durdurulamayan büyümesi ile kişisel verilerin küresel ölçekte aktarımı karşı konulamaz bir şekilde kolaylaştı. Sonuç olarak bu durum ülkeleri, vatandaşlarının temel bir hakkı olarak kişisel verileri korumaya yönelik bazı yasal tedbirler almaya yöneltmektedir. Türkiye’de kişisel verilerin sınır ötesi aktarımları da 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKKKişisel verilerin Türkiye dışına aktarımı, Genel Veri Koruma Yönetmeliği’nden (“GDPR”) farklı olarak KVKK’nın 9. maddesi ile düzenlenmektedir.Genel Veri Koruma Yönetmeliği”), KVKK standart sözleşme maddelerine dayanmamaktadır (“SCC’ler”), sınır ötesi aktarımlara ilişkin kuralları Genel Veri Koruma Yönetmeliği’nden (GDPR) daha katı hale getiren veri aktarımları için bu, uygulamada birçok zorluğa neden olur.
KVKK’nın 9. maddesi, kişisel verilerin Türkiye dışına aktarım koşullarını belirlemektedir. Buna göre kişisel veriler ilke olarak ilgili kişinin açık rızası olmaksızın Türkiye dışına aktarılamaz. Kişisel veriler, (i) KVKK’da yer alan hukuk normlarından birinin dışına çıkılması (meşru menfaat, sözleşmenin ifası, hukuki bir yükümlülüğün ifası gibi) ve (ii) ) Türkiye Kişisel Verileri Koruma Kurulu tarafından Kişisel Verilerin aktarılacağı ülke (“yazı tahtası“) güvenli bir ülke olarak” (“güvenli ülkeVerilerin aktarılacağı ülkenin KVKK’da düzenlenen hukuki sebeplerden biri kapsamında güvenli ülke olarak değerlendirilmemesi halinde, tarafların aktarımın uygun bir koruma düzeyi kapsamında yapıldığını yazılı olarak taahhüt etmeleri, ve devir için Kurul onayının alınması gerekir.
Birincil zorluk, veri sahibinin aktarım için açık rızasına duyulan ihtiyaçtır. Açık rızanın özgür irade ile verilmesi gerektiğinden ve veri sahibi tarafından her zaman geri alınabileceğinden, bu durum uygulamada veri sahibinin açık rızasının alınmasıyla uzun vadede sonuç vermektedir. Ancak, Yönetim Konseyi güvenli ülke listesini henüz açıklamadı, şu anda tüm ülkelerin yeterli düzeyde koruma sağlamadığı düşünülüyor. Ancak güvenli bir ülkenin olmaması, kişisel verilerin Türkiye dışına aktarılması konusunda da bazı zorluklar getirmektedir. 9. maddeye göre, Türkiye dışına yapılacak aktarımlarda yasal bir dayanak bulunup da güvenli bir ülke bulunmaması halinde, tarafların aktarımı yeterli koruma altında tamamlayacaklarını yazılı olarak taahhüt etmeleri ve Yönetim Kurulu’nun bu aktarımı onaylaması gerekir. Bir devir için Kurul onayının alınmasına yönelik iki mekanizma vardır: (1) Yazılı bir taahhütname (“Rehin”) veya (ii) Şirketin bağlayıcı kuralları (“BCR“) (yani sadece grup içi şirket devirleri için). Gerek taahhütte gerekse BCR’deki zorluk, mevzuatta detaylı bir şekilde düzenlenmediği için yönetim kurulu onay sürecidir. Bu nedenle, bu onay süreçlerinden birini uygulamak isteyen şirketler geriye kalmaktadır. Ne kadar sürdüğünü bile bilmeden karanlıkta onay süreci biraz uzun sürebilir.
Yönetim Kurulu’nun resmi internet sitesinde yayınlanan Yönetim Kurulu Kararları’na göre, Yönetim Kurulu’nun Türkiye dışına yapılan transferlere verdiği onaylar çok azdır. Kurul’un bu konudaki kararlarının, Kurul’un onay kararını değerlendirirken dikkate aldığı unsurları ve sürecin ne kadar sürebileceğini analiz edecek detaylı bilgiler içermediğini de belirtmekte fayda var. Kişisel verilerin yukarıdaki kurallara uyulmaksızın Türkiye dışına aktarılması idari para cezası ile sonuçlanabilir.
Uygulama Alanı Haberleri
üzerine 03/2020Ve KomisyonKişisel verilerin Türkiye dışına aktarımına ilişkin olarak aktaran ile alan arasında akdedilecek taahhütname örneğini resmi internet sitesinde yayınlamıştır. Taahhüt formunun şekli, kişisel verilerin sınır ötesi aktarımları için yeterli korumayı sağlamaya yönelik önlemleri belirleyen GDPR’nin 46. Maddesinde belirtilen SSC’ler için çok benzerdir.
üzerine 04/2020Ve Komisyon Ayrıca, çok uluslu grup şirketlerinin yan kuruluşları arasında kişisel verilerin sınır ötesi aktarımı için BCR’yi tanıtmak üzere bir reklam yayınladı. Gruplararası şirketler taahhüdü yerine getirmek yerine, Kurul’un resmi internet sitesinde yer alan formu doldurup gerekli talimatları izleyerek Kurul onayına başvurabilirler. KomisyonAyrıca nasıl yapılır kılavuzu yayınladı 05/2020 Devir için Yönetim Kurulu onayının alınmasına ilişkin başvuru usullerini netleştirmek. Bu Kurul yayınları, prosedüre ilişkin basit bir genel bakış sağlasa da, Kurul onay süreci (örneğin, onay süresi) ile ilgili olarak hala birçok açıklamaya ihtiyaç duymaktadır.
Söz konusu gelişmeler yaşanırken, kişisel verilerin Türkiye dışına aktarımı, yönetim kurulu onay sürecinin henüz şeffaf olmaması ve kurulun takdirinde olması nedeniyle şirketler için zorlu bir konu olmaya devam ediyor. üzerine
03/2021Ve Türkiye Cumhuriyeti Cumhurbaşkanı Yeni bir ekonomik plan açıkladı. Bu ekonomik plan kapsamında Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin Türkiye dışına aktarılmasını düzenleyen 9. maddesinin Genel Verilerin Korunması Kanunu’na (GDPR) uygun olarak değiştirileceği belirtiliyor. Buna göre, beklenen değişikliklerden biri de Yönetim Kurulu onayının iptal edilmesidir. Böyle bir değişikliğin, şirketlerin KVKK’nın sınır ötesi kişisel veri aktarımı kurallarına uyumdan kaynaklanan sorunları azaltmasına yardımcı olacağına inanıyoruz. Beklenti 2023 yılı içerisinde KVKK’da değişiklik olacağı yönünde olsa da bu değişikliğin ne zaman gerçekleşeceğine dair resmi bir açıklama yapılmadı. O zamana kadar veya onay süreci daha hızlı ve daha şeffaf hale gelene kadar, kişisel verilerin Türkiye dışına aktarılması çok uluslu şirketler için özel bir zorluk olmaya devam edecek.
İlk olarak gönderen Hukuk Sektörü İncelemesi.
© Kolcuoğlu Demirkan Koçaklı Avukatlık Bürosu 2020
Bu makalenin içeriği, konuyla ilgili genel bir rehber sağlamayı amaçlamaktadır. Bu gibi durumlarda uzmanlardan tavsiye alınması tavsiye edilir.
Popüler makaleler: Türkiye’den gizlilik
