Kişisel Verilerin Yurt Dışına Aktarılmasında Hukuki Şartlar

Dijitalleşen dünya düzeninde veriler, modern ekonominin ve pazarlamanın itici gücü haline gelmiştir. Bulut bilişim teknolojilerinin, küresel yazılımların ve uluslararası ticaret ağlarının son derece yaygınlaştığı günümüz ticari dünyasında verinin serbestçe dolaşımı kaçınılmaz bir gereklilik halini almıştır.

Ancak verinin bu küresel akışkanlığı, bireylerin temel hak ve özgürlüklerinin korunması ile devletlerin egemenlik sınırlarının muhafazası noktasında ciddi hukuki riskleri de beraberinde getirmektedir. Hukuk düzeni, bir yandan ticari hayatın küresel entegrasyonuna zemin hazırlarken, diğer yandan bireyin en mahrem uzantısı olan kişisel verilerin sınır ötesine taşınmasını sıkı güvenlik mekanizmalarına bağlamak zorundadır.

Türk hukukunda bu hassas denge, 6698 sayılı Kişisel Verilerin Korunması Kanunu bünyesinde şekillenmektedir.

Özellikle uluslararası şirketler, e-ticaret platformları ve yabancı menşeili yazılım altyapılarını kullanan yerli işletmeler için kişisel verilerin yurt dışına aktarılması uluslararası rekabete ayak uydurabilmek adına önemlidir. Geçmiş dönem uygulamalarında yaşanan tıkanıklıklar ve küresel standartlara uyum sağlama ihtiyacı yasal düzenlemelerde yeniliklerin yapılmasını mecburi hale getirmiştir.

Yapılan düzenlemelerle birlikte, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile tam uyumlu hale getirilen yeni aktarım rejimi, şirketlerin ve veri sorumlularının önünde yeni bir dönemi başlatmıştır. Bu doğrultuda KVKK yurt dışı veri aktarımı hususundaki hukuki temelleri, riskleri ve yasal mekanizmaları bilmek ticari itibarın ve finansal güvenliğin korunması açısından hayati bir basamaktır.

KVKK’daki Yenilikler ve Hukuki Zemin

Türk kişisel veri koruma hukukunun en çok tartışılan ve uygulamada en fazla hüsrana yol açan hükümlerinden biri, şüphesiz ki yurt dışı aktarımlarını düzenleyen eski kanun maddesiydi.

Eski düzenlemeye göre verinin sınır ötesine çıkarılabilmesi neredeyse tamamen veri sahibinin “açık rızasına” veya Kişisel Verileri Koruma Kurulu’nun (Kurul) onayına tabi kılınan taahhütnamelere dayanıyordu.

Ancak ticari hayatın olağan akışında, her bir veri işleme faaliyeti için sürekli ve geri alınabilir nitelikteki açık rızaya dayanmak küresel bulut sunucularında veri barındıran şirketler için sürdürülemez bir model oluşturmaktaydı.

Bu yapısal hantallık, hem yabancı yatırımların Türkiye’ye gelmesinde hukuki bir bariyer yaratmakta hem de yerli firmaların küresel rekabet gücünü azaltmaktaydı.

Bu yapısal sorunu ortadan kaldırmak amacıyla, KVKK Madde 9 hükmü köklü bir değişikliğe uğratılarak modern ticaretin ihtiyaçlarına cevap verecek, kademeli ve öngörülebilir bir sisteme kavuşturulmuştur.

Yeni düzenleme ile birlikte yurt dışına veri aktarımı; Yeterlilik Kararı, Uygun Güvenceler ve Arızi (İstisnai) Haller olmak üzere üç ayrı temel üzerine inşa edilmiştir. Kanunun yeni ruhu, açık rızayı birincil ve tek çare olmaktan çıkararak, kurumsal ve sistemsel güvencelerin tesis edilmesini ön plana koymuştur.

Böylelikle veri sorumluları, uluslararası standartlarda kabul görmüş enstrümanları kullanarak hukuki öngörülebilirlik içerisinde hareket etme imkanına kavuşmuştur.

Yeterlilik Kararı Nedir?

Yeni yasal sistematiğin ilk basamağı, Kişisel Verileri Koruma Kurulu tarafından verilecek olan yeterlilik kararı müessesesidir. Kurul; verilerin aktarılacağı yabancı ülkenin, ülke içerindeki belirli bir sektörün veya uluslararası bir örgütün, kişisel verileri koruma noktasında yeterli düzeyde koruma sağlayıp sağlamadığını hukuki, idari ve fiili kriterler çerçevesinde değerlendirir.

Eğer Kurul, ilgili yabancı sağlayıcının hakkında olumlu bir yeterlilik kararı verirse, o ülkeye yapılacak olan yurt dışı aktarım işlemleri, tıpkı yurt içindeki bir veri aktarımı gibi herhangi bir ek izin, taahhüt veya rıza mekanizmasına ihtiyaç duyulmaksızın serbestçe gerçekleştirilebilir.

Kurul, bir ülke veya sektör hakkında yeterlilik kararı verirken oldukça katı ve kapsamlı kriterleri gözetmekle yükümlüdür. Bu kapsamda; hedef ülkenin ilgili mevzuatı, kişisel veriler alanındaki uluslararası sözleşmelere taraf olup olmadığı, bağımsız bir veri koruma otoritesinin varlığı ve o ülkede bireylere tanınan idari ve adli başvuru yollarının etkinliği kümülatif olarak incelenir.

Bu kararın varlığı, şirketleri karmaşık sözleşme süreçlerinden kurtararak veri trafiğini en hızlı şekilde yönetmelerini sağlar.

Uygun Güvencelerin Tesis Edilmesi

Verinin aktarılacağı ülkede veya sektörde kurul tarafından verilmiş bir yeterlilik kararı bulunmuyorsa dahi süreç sona ermez. Bu durumda kanun koyucu, veri sorumlularına ve veri işleyenlere, kendi aralarında uygun güvenceler tesis etmek kaydıyla veriyi yurtdışına çıkarabilme hakkı tanımıştır.

Uygun güvencelerin sağlanmasında en çok öne çıkan ve ticari hayatta can simidi görevi üstlenen araç standart sözleşme modelidir. Standart sözleşme, muhtevası ve şartları tamamen Kişisel Verileri Koruma Kurulu tarafından belirlenmiş, tarafların üzerinde tek taraflı değişiklik yapamayacağı şablon bir veri aktarım sözleşmesidir.

Yeni sistemin en büyük devrimlerinden biri, bu standart sözleşmelerin imzalanmasının ardından kuruldan onay alınması zorunluluğunun kaldırılmış olmasıdır. Taraflar, kurulun ilan ettiği standart metni imzalayarak yürürlüğe koyduktan sonra, imza tarihinden itibaren 5 iş günü içerisinde bu sözleşmeyi kurula bildirmekle yükümlüdür.

Çok uluslu şirket toplulukları ve holdingler için getirilen bir diğer kurumsal güvence ise Bağlayıcı Şirket Kuralları (Binding Corporate Rules – BCR) kurumudur.

Farklı ülkelerde faaliyet gösteren aynı şirket topluluğuna bağlı iştiraklerin, kendi aralarında yapacakları veri transferlerinde uyacakları ortak politikaları içeren bu kurallar, kurulun onayına sunulur. Kurul tarafından onaylanan bağlayıcı şirket kuralları sayesinde, holding içi küresel veri akışları her defasında ayrı bir sözleşme yapılmaksızın hukuki bir zemine kavuşturulmuş olur.

Arızi Durumlar ve Açık Rıza İstisnaları

Yeterlilik kararının bulunmadığı ve standart sözleşme veya bağlayıcı şirket kuralları gibi uygun güvencelerin de teknik ya da zamansal nedenlerle tesis edilemediği hallerde kanun koyucu son çare olarak açık rıza istisnaları ve arızi (tek seferlik / süreklilik arz etmeyen) aktarım yollarını düzenlemiştir.

Burada dikkat edilmesi gereken en temel husus, arızi aktarımların hiçbir zaman bir şirketin genel, sürekli ve sistematik veri işleme operasyonlarının temel dayanağı olamayacağıdır.

Kanunun çizdiği sınırlar çerçevesinde, arızi nitelikteki yurt dışı aktarımları şu istisnai hallerde gerçekleştirilebilir:

• Veri sahibinin, aktarımın muhtemel riskleri hakkında bilgilendirilerek açıkça rıza göstermesi,
• Aktarımın, veri sahibi ile veri sorumlusu arasındaki bir sözleşmenin kurulması veya ifası için zorunlu olması (örneğin uluslararası bir uçak bileti veya otel rezervasyonu işlemi),
• Kamu yararının gerektirmesi veya bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması.

Bu istisnalar veri sorumlularına beklenmedik veya sürekliliği olmayan durumlarda hareket kabiliyeti kazandırır. Ancak bir veri sorumlusu, örneğin tüm müşteri veri tabanını her gün yurt dışındaki bir bulut sunucusuna yedekliyorsa, bu faaliyeti sözleşmenin ifası veya açık rıza kılıfı altında arızi olarak nitelendiremez; bu durumda mutlak surette standart sözleşme veya yeterlilik kararı zeminine dayanmak zorundadır.

Veri Sorumlusunun Yükümlülüğü

Yeni yurt dışı aktarım rejimi, şirketlere büyük bir esneklik ve hız kazandırmakla birlikte, veri sorumlusu yükümlülüğü ve hesap verilebilirlik prensiplerini de en üst seviyeye çıkarmıştır.

Kanunun getirdiği kolaylıklardan yararlanan işletmeler, aynı zamanda bu süreçlerin hukuki denetimini ve usul işlemlerini hatasız yürütmekle mükelleftir.

En büyük risk alanlarından biri, standart sözleşmelerin imzalanmasından sonra kurula yapılması gereken bildirim yükümlülüğünün ihlal edilmesidir. Kanun, standart sözleşmenin imza tarihinden itibaren 5 iş günü içinde kurula bildirilmemesini doğrudan bir idari kabahat olarak düzenlemiş ve bu ihlal için idari para cezaları öngörmüştür.

Bunun yanı sıra, hiçbir hukuki güvenceye (yeterlilik kararı, standart sözleşme veya geçerli bir istisna) dayanmaksızın hukuka aykırı şekilde yurt dışına veri aktaran veya veri işleyenlerin sunucularını yurt dışında barındıran şirketler, hem kurulun parasal cezai yaptırımlarıyla hem de Türk Ceza Kanunu kapsamında verileri hukuka aykırı olarak verme veya ele geçirme suçunun cezai sonuçlarıyla karşı karşıya kalabilirler.

Sinan Eroğlu Hukuk ve Danışmanlık Ofisi, veri koruma hukuku ve şirketlerin dijital uyum süreçlerindeki köklü uzmanlığıyla; şirketinizin yurt dışı veri transfer mekanizmalarını analiz etmekte, risk analiz raporları hazırlamakta ve standart sözleşme süreçleri başta olmak üzere Kurul nezdindeki tüm bildirim ve uyum süreçlerinizi en etkin hukuki araçlarla yöneterek kurumsal geleceğinizi güvence altına almaktadır.

Sonuç

Dijitalleşen ticaret ortamında kişisel verilerin yurt dışına aktarımı, işletmelerin küresel rekabette var olabilmesi için vazgeçilmez bir unsurdur. 6698 sayılı KVKK’da yapılan köklü değişiklikler, eski dönemin hantal yapısını geride bırakarak, Avrupa Birliği GDPR standartlarıyla uyumlu, esnek ve öngörülebilir bir veri aktarım rejimi sunmaktadır.

Yeterlilik kararları, standart sözleşmeler ve bağlayıcı şirket kuralları gibi yeni mekanizmalar şirketlerin elini güçlendirirken, 5 iş günü içindeki bildirim yükümlülükleri gibi sıkı denetim kurallarını da beraberinde getirmiştir.

Veri sorumlularının ağır idari para cezaları veya Türk Ceza Kanunu kapsamındaki yaptırımlarla karşılaşmamak adına bu geçiş ve uyum sürecini ticaret ve veri hukuku alanında uzman avukatlar rehberliğinde yönetmesi, şirketin hukuki ve finansal güvenliği için bir tercih değil, zorunluluktur.

Sıkça Sorulan Sorular (SSS)

1. Yeni düzenlemeye göre yurt dışına kişisel veri aktarımının yolları nelerdir?

Yeni sisteme göre verilerin sınır ötesine aktarılması üç temel esasa bağlanmıştır: Kurul tarafından verilecek Yeterlilik Kararı, taraflarca Uygun Güvencelerin (Örn: Standart Sözleşme) tesis edilmesi ve Arızi (İstisnai) Haller.

2. Yeterlilik Kararı nedir ve şirketlere nasıl bir kolaylık sağlar?

Kişisel Verileri Koruma Kurulu’nun, verinin aktarılacağı ülkenin veya sektörün yeterli düzeyde koruma sağladığına karar vermesidir. Bu karar bulunduğunda, şirketler ekstra bir izin, taahhütname veya rıza mekanizmasına ihtiyaç duymadan tıpkı yurt içine aktarım yapıyormuş gibi serbestçe veri transferi yapabilirler.

3. Standart Sözleşme imzaladıktan sonra Kurul onayı almak zorunda mıyım?

Hayır. Yeni sistemin en büyük yeniliklerinden biri Kurul onayı zorunluluğunun kaldırılmasıdır. Ancak, taraflarca imzalanan standart sözleşmenin, imza tarihinden itibaren 5 iş günü içerisinde Kurula bildirilmesi yasal bir zorunluluktur.

4. Açık rıza alarak tüm müşteri verilerimi sürekli olarak yurt dışı sunucularına yedekleyebilir miyim?

Hayır. Arızi (tek seferlik, istisnai) olmayan, şirketin genel ve sistematik faaliyetleri kapsamında yapılan sürekli veri aktarımlarında “açık rıza” birincil dayanak olamaz. Mutlak surette Yeterlilik Kararı veya Standart Sözleşme gibi uygun güvencelere dayanılması gerekmektedir.

5. Standart sözleşmeyi 5 iş günü içinde Kurula bildirmemenin yaptırımı nedir?

Kanun, standart sözleşmenin süresi içinde bildirilmemesini doğrudan bir idari kabahat olarak düzenlemiştir. Bu bildirim yükümlülüğünün ihlali halinde veri sorumluları ve veri işleyenler ciddi idari para cezaları ile karşı karşıya kalır.