YURT DIŞINA KİŞİSEL VERİ AKTARIMI KAPSAMINDAKİ TAAHHÜTLER
Kişisel verilerin yurt dışına aktarım şartları, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında düzenlenmiştir. Kişisel verinin yurt dışına aktarılabilmesi için Kanunun 9’uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekmektedir:
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere aktarımda işleme şartlarının mevcut olması,
- Yeterli korumanın bulunmadığı ülkelere aktarımda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması
Henüz “Güvenli Ülkeler Listesi” Kurul tarafından duyurulmadığı için, kişisel veri aktarım faaliyetlerinde açık rıza alınmaması durumunda, tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul'un aktarıma izin vermesi gereklidir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri için iki yöntem bulunmaktadır. Kullanılabilecek ilk yöntem Kurul tarafından kabul edilen ve ilan edilen “Taahhütnameler”dir.
Taahhütnameler, (i) veri sorumlusundan veri sorumlusuna aktarım ve (ii) veri sorumlusundan veri işleyene aktarım olmak üzere iki farklı şekilde düzenlenmiştir. Hangi taahhütnamenin kullanılacağının belirlenmesi için, öncelikle aktarımın veri sorumlusundan veri sorumlusuna mı, yoksa veri sorumlusundan veri işleyene mi yapılacağı doğru bir şekilde analiz edilmelidir. Bu analiz, Kurum'un web sitesinde yayımlanan taahhütnamelerden hangisinin seçileceğine karar vermede yardımcı olacaktır.
Taahhütnamenin kapsamında, açık rıza şartına dayalı yurt dışına kişisel veri aktarımları yer almamaktadır. Taahhütnamenin konusu Kanunun 5. maddesin 2. fıkrasında şartları sayılan açık rıza aranmaksızın işlenebilen kişisel veriler ve yine aynı Kanunun 6. maddesinin 3. fıkrası kapsamında yer alan sağlık ve cinsel hayata ilişkin kişisel verilerdir. Sağlık ve cinsel hayata ilişkin veriler açısından ilgili maddeye uygunluk koşullarının sağlandığından emin olunmalıdır.
Kurul tarafından, başvurulan taahhütnamelerin kabul edilip edilmeme ihtimalinin belirsiz olması, taahhüt mekanizmasının ticari hayata elverişliliğini tartışmalı kılabilmektedir. Güncel olarak onaylanan taahhütname başvurusu, Google Reklamcılık ve Pazarlama Limited Şirketi tarafından yapılan taahhütname başvurusunun 17.08.2023 tarihinde onaylanması ile birlikte 7 adettir.
Taahhüt etmede kullanılabilecek bir diğer yöntem ise “Bağlayıcı Şirket Kuralları”dır. Kurum tarafından yer verilen açıklamada Bağlayıcı Şirket Kuralları; “yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları” olarak tanımlanmaktadır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma,
Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Bağlayıcı Şirket Kuralları, tüm üyeler için aynı veri işleme ve koruma standartlarını belirleyerek, aynı zamanda küresel düzeyde şeffaflık sağlayarak ispat aracı olarak kullanılabilmektedir.
Sonuç
Uygulamada şirketlerin yurt dışına veri aktarımını tamamen durdurması veya aktarılacak tüm kişisel veriler için açık rıza alması mümkün görünmemektedir. Açık rızaya gerek olmaksızın yurt dışına veri aktarımına imkan veren mekanizmalardan biri olan yeterli korumanın taahhüt edilmesi ve Kurul’un iznine başvurulması veri aktarımlarında riskin kesin olarak ortadan kalkmasını sağlayarak bu süreci düzenlemektedir.
Taahhütnameler, genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımlarını kolaylaştırmakla birlikte çok uluslu şirket toplulukları arasındaki veri aktarımları bakımından yetersiz kalabilmektedir. Bu nedenle Bağlayıcı Şirket Kuralları gibi daha kapsamlı ve belirli bir topluluk için özelleştirilmiş yöntemler, uluslararası veri akışlarını düzenlemek ve daha etkin bir şekilde korumak için kullanılabilecektir. Bu iki mekanizma, veri koruma ve uyumluluk konularında önemli bir rol oynamaktadır.
Taahhütname ve Bağlayıcı Şirket Kurallarının Kurul'un gerekliliklerine uygun şekilde hazırlanabilmesi ve onay alınabilmesinin zor bir prosedür olduğu göz önünde bulundurulduğunda, yeterli korumaya sahip “güvenli ülkeler” listesinin Kurul tarafından yayınlanması yurt dışına veri aktarımı konusunda daha net bir yol sağlayacaktır.