Şirketimizin kullandığı bulut tabanlı hizmet sağlayıcısının sunucuları yurt dışında bulunuyor. Ayrıca, bazı iş süreçlerimiz gereği müşteri verilerini yurt dışındaki iştiraklerimizle paylaşmamız gerekiyor. Bu durumda, Türkiye’deki kişisel verilerin korunması mevzuatına göre, müşterilerimizin kişisel verilerini bu şekilde yurt dışına aktarabilir miyiz? Bu aktarımlar için hangi şartları sağlamamız gerekiyor ve hangi izinleri almamız gerekebilir? Özellikle KVKK ve ilgili yönetmelikler çerçevesinde, bu konudaki yasal yükümlülüklerimiz nelerdir? Aktarımları yaparken dikkat etmemiz gereken güvenlikle ilgili hususlar nelerdir ve veri güvenliğini nasıl sağlamalıyız?
Cevap
Evet, kişisel verilerinizi yurt dışına aktarabilirsiniz. Ancak bu aktarım, Kişisel Verileri Koruma Kanunu (KVKK) ve ilgili mevzuat hükümlerine uygun olarak yapılmalıdır. Yurt dışına veri aktarımında dikkat edilmesi gereken temel hususlar şunlardır:
1. Açık Rıza:
- Genel kural olarak, kişisel verilerin yurt dışına aktarımı için ilgili kişiden açık rıza alınması gerekmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanan rızadır.
- Açık rızanın geçerli olabilmesi için ilgili kişiye aktarımın amacı, alıcı ülke, veri güvenliği önlemleri gibi konularda yeterli bilgilendirme yapılması önemlidir.
2. Açık Rıza Aranmayan Haller (KVKK Madde 9/2):
Aşağıdaki durumlarda açık rıza aranmaksızın kişisel veriler yurt dışına aktarılabilir:
- Kanunda Açıkça Öngörülmesi: Veri aktarımının bir kanun hükmü ile düzenlenmiş olması. Örneğin, uluslararası anlaşmalar veya bazı özel kanunlar veri aktarımına izin verebilir.
- Fiili İmkansızlık Nedeniyle Rızanın Alınamaması: İlgili kişinin fiziksel veya hukuki olarak rıza verme imkanının olmaması (örneğin, komada olması) ve verilerin korunmasının zorunlu olması.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması: Veri aktarımının, ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifası için zorunlu olması. Örneğin, yurt dışındaki bir otelde konaklama rezervasyonu yapılması durumunda kişisel verilerin otel ile paylaşılması.
- Hukuki Yükümlülüğün Yerine Getirilmesi: Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için veri aktarımının zorunlu olması. Örneğin, vergi yükümlülüklerinin yerine getirilmesi amacıyla verilerin yurt dışındaki bir vergi dairesine gönderilmesi.
- İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması: İlgili kişinin veriyi kendisi alenen paylaşmış olması ve aktarımın bu alenileştirme amacına uygun olması. Ancak bu durumda dahi, verilerin kötüye kullanılmaması için gerekli önlemlerin alınması gerekir.
- Hak Tesisi, Kullanımı veya Korunması İçin Zorunlu Olması: Veri aktarımının, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması. Örneğin, yurt dışında açılan bir davada delil olarak kullanılacak kişisel verilerin aktarılması.
- Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması. Bu durumda, veri sorumlusunun menfaati ile ilgili kişinin hakları arasında bir denge kurulması gereklidir.
3. Yeterli Koruma Olan Ülkeler (KVKK Madde 9/2):
KVKK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere veri aktarımında yukarıda belirtilen açık rıza aranmayan haller geçerlidir. Bu ülkeler, Avrupa Birliği üyesi ülkeler ve Kurul tarafından ilan edilen diğer ülkelerdir. Güncel liste Kişisel Verileri Koruma Kurumu’nun (KVKK) web sitesinde yayımlanmaktadır.
4. Yeterli Koruması Olmayan Ülkeler (KVKK Madde 9/2):
Yeterli koruması olmayan ülkelere veri aktarımı, aşağıdaki şartlardan birinin sağlanması halinde mümkündür:
- Yeterli Koruma Taahhüdü: Türkiye’deki veri sorumlusu ile yurt dışındaki veri alıcısı arasında, Kurul tarafından onaylanan standart sözleşme hükümleri (Standard Contractual Clauses – SCC) imzalanması veya bağlayıcı şirket kuralları (Binding Corporate Rules – BCR) oluşturulması gibi yeterli koruma taahhüdü veren mekanizmaların kullanılması.
- İzin: Kurul’dan izin alınması. Kurul, veri aktarımının şartlarını ve veri güvenliği önlemlerini değerlendirerek izin verebilir.
5. Veri Güvenliği Önlemleri:
Yurt dışına veri aktarımı sırasında, verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirlerin alınması zorunludur. Bu tedbirler, aktarılan verinin hassasiyetine ve aktarımın niteliğine uygun olmalıdır.
6. KVKK’ya Uyum:
Yurt dışına veri aktarımı yapmadan önce KVKK’ya uyumun sağlanması, veri işleme süreçlerinin gözden geçirilmesi ve gerekli dokümantasyonun hazırlanması önemlidir.
Özetle:
Kişisel verilerinizi yurt dışına aktarabilirsiniz, ancak KVKK ve ilgili mevzuat hükümlerine uymanız gerekmektedir. Açık rıza almak, açık rıza aranmayan hallerden birine girmek veya yeterli koruma taahhüdü veren mekanizmalar kullanmak gibi yollarla veri aktarımını gerçekleştirebilirsiniz. Veri güvenliğini sağlamak ve KVKK’ya uyum sağlamak da büyük önem taşımaktadır.
