• Kişisel Verilerin Yurt Dışına Aktarılması

    Kişisel verilerin yurt dışındaki kişi ve kurumlara aktarılması ticari hayatın bir gerekliliği olarak sıklıkla karşılaşılan bir durumdur. Özelikle yur...

Kişisel verilerin yurt dışındaki kişi ve kurumlara aktarılması ticari hayatın bir gerekliliği olarak sıklıkla karşılaşılan bir durumdur. Özelikle yurt dışında yerleşik bir holding şirketin Türkiye’deki iştiraki olan şirketler denetim ve raporlama amacıyla kişisel veri içeren belgeleri yurt dışına aktarabilmektedir.

Kişisel Verilerin Korunması Kanunu yurt dışına veri aktarımını özel olarak düzenlemiş; kişisel verilerin yurt dışında aktarılmasını birtakım özel şartlara tabi tutmaktadır.

 

 

Esasında kişisel verilerin aktarılması, bir veri sorumlusu/veri işleyen tarafından başka bir veri sorumlusuna / veri işleyene aktarılmasını ifade etmektedir. Kişisel Verilerin yurt dışına aktarılması ise Türkiye’deki ortamlarda bulunan kişisel verilerin yurt dışındaki ortamlara aktarılmasını ifade eder.

Bu kapsamda yurt dışındaki bir sunucuya veya sunucuları yurtdışında olan bulut platformlarına veri aktarmak 6698 sayılı Kanun kapsamında “yurt dışına aktarım” sayılacağı gibi bir şirketin, elde ettiği kişisel verileri Türkiye dışında bulunan kendi organlarına aktarması da “yurt dışına aktarım” olarak değerlendirilecektir.

 

Yaptırımlar

Türk Ceza Kanunu’nun (“TCK”) 135. maddesi kişisel verileri hukuka aykırı olarak kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verileceğini öngörür; eğer kaydedilen bu veri özel nitelikli bir kişisel veri ise bu ceza yarı oranında artırılır. Bununla birlikte, 136. maddeye göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi de iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Ayrıca, TCK’nın 137.maddesinde 135 ve 136. maddede belirtilen suçların nitelikli halleri belirtilerek, bu suçların bir kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi halinde, verilecek ceza yine yarı oranında artırılacaktır.

İdari para cezaları bakımında KVKK’da yurtdışına aktarım ile ilgili doğrudan bir ceza yer almasa da KVKK’nın 12. maddesi kapsamında veri sorumlusunun veri güvenliğine ilişkin tedbirleri yerine getirmemesi halinde 15.000.- Türk Lirası’ndan 1.000.000.- Türk Lirası’na kadar idari para cezasının söz konusu olabileceği açıktır.

 

 

 

İzlenmesi Gereken Yol

Öncelikle, veri aktarımının yapılacağı ülke ile Türkiye’nin taraf olduğu herhangi bir uluslararası sözleşmenin olmaması halinde, verilerin yurtdışına aktarımına ilişkin veri sahibinin açık rızasının olup olmadığına bakılacaktır.

Açık rıza mevcut değilse; verilerin normal veya özel nitelikli olmasına bağlı olarak KVKK madde 5/2 veya madde 6/3de sayılan şartların sağlanıp sağlanmadığına bakılacaktır. Bu şartlar sağlanıyor ise aktarımın yapılacağı ülkenin Kurul tarafında belirlenen “güvenli ülkeler” listesinde olup olmadığı kontrol edilecektir.

Şayet aktarım yapılan ülke “güvenli ülke” değil ise, veri aktarımına ilişkin yazılı bir taahhüdünün olup olmadığına bakılacaktır. Eğer böyle bir taahhüt mevcutsa Kurul’dan izin alınması gereklidir.  Kurul da  izin vermiş ise, kişisel veri yurt dışına ayrıca veri sahibinin rızası aranmaksızın aktarılabilecektir.

Hali hazırda güvenli ülkeler listesi ilan edilmediği için, yukarıda açıklanan yol izlenerek yurtdışına veri aktarımı gerçekleştirilmeli ve Kurul tarafından ilan edilen asgari unsurları içeren sözleşmeler imzalanmış ve Kurul’dan izin alınmış olmalıdır. Bunun dışından her zaman veri sahibinin açık rızasının alınması şartıyla veri aktarımı yapılabilir. Ancak rızanın veri sahibi tarafından herhangi bir zaman geri alınabileceği ve geri alınması halinde aktarımın yapılamayacağı unutulmamalıdır.

YORUMLAR