Yurtdışına Veri Aktarımı

30 okunma Mayıs 2021

6698 sayılı Kişisel Verilerin Korunması Kanunu madde 9’da kişisel verilerin yurtdışına aktarılması açıklanmıştır. 

Kişisel Verilerin Korunması Kanunu, VERBİS’e kaydolma ile sınırlı değildir. Sadece VERBİS’e kimlerin kayıt olacağı netleştirilmiştir. Verbis’e kayıt yükümlülüğü olmayan veri sorumlularının da bu kanuna tabi oldukları bilinmektedir.

Birçok veri sorumlusu yurtdışına veri aktarmadıklarını iddia edebilir. İş süreçlerine göre bunların tespit edilmesi yerinde olacaktır. İnsan Kaynakları departmanları her şeyi eskiden olduğu gibi fiziken yerine getirmiyorlar, her bildirimler kurumların kendi internet siteleri üzerinden yerine getirilmektedir. Örneğin; merkezi Hatay’da olup da İstanbul, Ankara ve İzmir gibi illerde şubesi bulunan şirketlerin veri sorumluları, çalışanlarının özlük dosya taleplerini nasıl karşılayacakları ve bunu nasıl yönetecekleri önemli bir sorundur. Şube çalışanı maaşını ihtiyaç üzerine bankaya ispat etmesi ve belge vermesi gerektiğinde insan kaynakları ücret bordrosu (hesap pusulası) çalışana vermek zorundadır. Peki bunu gmail, hotmail, yahoo gibi ücretsiz e-posta hizmeti sunan ve herkese açık olan altyapıyı kullandığında ve buradan belge ihtiyacının karşılanmasını istediğinde yurtdışına aktarmış olur muyuz? Aynı şekilde WhatsApp üzerinden belge ister isek yurtdışı ile paylaşmış olur muyuz? Evet her iki şekilde de yurtdışına veri aktarmış ve paylaşmış oluruz. Bu durumda yurtdışına veri aktarılması 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 9’a aykırı hareket etmiş oluruz. 

Bu sitelerin hizmetleri ücretsiz olsa da verilerimizin dünyanın neresinde depolanmakta, ne için kullanılmakta ve nerede yedeklenmekte bilinmemektedir. Bundan dolayı veri paylaşımı esnasında uyulması gereken tüm kuralların yerine getirilmesi veri sorumlusu açısından çok önemli ve acil konular arasındadır. Çalışanımız, çalışan adaylarımız, müşterilerimiz, tedarikçilerimiz, hissedarlarımız, yöneticilerimiz ile bunlara dikkat etmemiz gerekmektedir. 

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz, 

 

Henüz yeterli korumanın bulunduğu ülkeler belirlenmemiştir. Belirlenmesi de uzun sürecektir. Ülkelerin güvenli olduklarını yayınlanması diğerlerinin güvensiz olduğu anlamına geleceğinden bu listenin belirlenmesi ve yayınlanması ülkelerin çıkarlarını da etkileyebilecektir.

 

Bundan dolayı da veri sorumluları güvenli paylaşım için gereken güvenlik tedbirleri almaları yerinde olacaktır.