Kişisel Verilerin Yurt Dışına Aktarımı İçin Merakla Beklenen Rehber Yayımlandı: İşte Dikkat Çeken Hususlar
Özet
Ülkemizde 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), kişisel verilerin toplanması, kullanılması, aktarılması gibi alanlarda önemli düzenlemeler getirmiş ve kişisel verilerin yurt dışına aktarımı konusunda birtakım özel kurallar öngörmüştür.
Kanun’un değişiklikten önceki halinde, “açık rıza” hariç olmak üzere Kanun’da belirtilen hukuki sebeplerden birine dayanılması şartıyla, kişisel verilerin aktarılacağı yabancı ülkenin, Kişisel Verileri Koruma Kurumu (Kurum) tarafından ilan edilecek güvenli ülkelerden biri olması, güvenli ülkelerden biri olmaması durumunda ise Türkiye’deki ve yabancı ülkedeki veri sorumlularının aktarılacak kişisel verilere ilişkin yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurum’un aktarıma izin vermesi gerekmekteydi. Güvenli ülke veya taahhütname olmaması durumunda ise yalnızca ilgili kişilerden açık rıza alınması halinde kişisel veriler yurt dışına aktarılabilmekteydi. Uygulamada, güvenli ülkeler listesinin yayınlanmaması ve yazılı taahhüt başvurularına ilişkin Kurum’dan onay alınmasının zor ve meşakkatli bir süreç olması sebebiyle, kişisel verilerin yurt dışına aktarılmasında ilgili kişilerden açık rıza alınması (belirli riskler barındırsa da) neredeyse tek seçenek haline gelmişti. Ancak “açık rızanın” da özgür irade ile verilmesi gerekliliği nedeniyle her durumda bu yönteme başvurulması mümkün olamıyordu. Örneğin bir hizmetin sunulmasının ön şartı olarak açık rıza alınamayacağı genellikle kabul edildiğinden, yurt dışına aktarımda açık rızaya başvurmak da veri sorumluları için zorluk arz ediyordu. İşte, yurt dışı aktarımına ilişkin uygulamada karşılaşılan bu zorlukları gidermek amacıyla Kanun’da değişiklik gerçekleştirilmiş ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GVKT) yer alan yurt dışı aktarım rejimi temel alınarak yeni yurt dışı aktarım rejimi öngörülmüş fakat bu değişiklikler de beraberinde birçok belirsizliği getirmiştir. Bu belirsizliklere ışık tutmak adına Kurum, kişisel verilerin yurt dışına aktarımına ilişkin sırasıyla önce Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’i (Yönetmelik) ve ardından da Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni (Rehber)[1]yayımlamıştır. Bu çalışmada, Rehber’in uygulamacılar arasında fikir ayrılığı olan konulara ne kadar ışık tutabildiğine değineceğiz.
Anahtar Kelimeler
Kişisel veri, doğrudan toplama, arızi aktarım, standart sözleşme, yurt dışına veri aktarımı.
1. Giriş
Geride bıraktığımız 2024 yılında, kişisel verilerin korunmasına yönelik mevzuat, GVKT’ye uyum sağlamak amacıyla gözden geçirilmiş ve özellikle yurt dışı veri aktarımına ilişkin düzenlemelerde reform niteliğinde görülebilecek köklü değişiklikler gerçekleştirilmiştir. Bu süreçte, Kurum, veri sorumluları ve veri işleyenler için, standart sözleşmeler, ayrıca bağlayıcı şirket kuralları başvuru formlarına ilişkin taslakları yayımlamış ve yeni düzenlemeleri ayrıntılı bir şekilde düzenleyen Yönetmelik’i yürürlüğe koymuştur. Bunlar uygulamada yeni düzenlemeye ilişkin ortaya çıkan belirsizliklerin giderilmesine yönelik Kurum’un attığı ilk önemli adımlardır.
Veri sorumluları ve veri işleyenler, 1 Eylül 2024 tarihine kadar yeni yurt dışı veri aktarım rejimine uyum sağlamak için yoğun çaba sarf etmiştir. Ancak, yeni Kanun ve Yönetmelik hükümleri yeknesak bir şekilde yorumlanmamış, bu durum uygulamada çeşitli belirsizliklere ve görüş ayrılıklarına yol açmıştır. Bu gelişmeler, uygulamacıların açıklığa duyduğu ihtiyacı ve mevzuatın daha net bir şekilde açıklanması gerekliliğini ortaya koymaktadır.
İşte, 2025 yılının ilk günlerinde, Kurum tarafından uzun süredir beklenen yurt dışı veri aktarımına ilişkin Rehber, belirsizlikleri gidermek ve özellikle standart sözleşmelerin hazırlanmasında yeknesaklık sağlamak amacıyla 2 Ocak’ta yayınlanmıştır.
2. Kanun’un Uygulama Alanı
2.1. Mülkilik ve Etki İlkesi: Kapsam veÇelişkiler
Rehber’in yayımlanmasına kadar, Kişisel Verileri Koruma Kurulu (Kurul), Kanun’un uygulama alanını hangi hukuki temele dayanarak belirlediğini kamuoyu ile paylaşmamıştı. Kanun’un uygulama alanının, Kabahatler Kanunu’nun atfıyla, Türk Ceza Kanunu’nun yer bakımından uygulama alanı kuralları ile belirlendiği değerlendirilmekteydi. Kurul’un, bu yaklaşımı esas aldığı bazı yayımlanmamış kararları da mevcuttu.
Kurum, Kanun’un yer bakımından uygulanmasına ilişkin yaklaşımını Rehber’de ilk kez açıklamıştır. Buna göre, 5237 sayılı Türk Ceza Kanunu’nun 8. maddesi kapsamında, fiilin kısmen veya tamamen Türkiye’de işlenmesi ya da neticenin Türkiye’de gerçekleşmesi durumunda suç Türkiye’de işlenmiş sayılmaktadır. Aynı şekilde, kabahatler de bu koşullar altında Türkiye’de gerçekleşmiş sayılacaktır (mülkilik ilkesi). Mülkilik ilkesi bakımından, davranış ve neticenin aynı ül- kede gerçekleşmesi gerekmez. Davranışın gerçekleştiği yer ile neticenin gerçekleştiği yer farklı olsa da bunlardan herhangi biri Türkiye’de gerçekleşmişse, Kanun uygulama alanı bulacaktır. Rehber’e göre Türkiye’de yerleşik kişilerin verilerinin yabancı veri sorumluları tarafından işlenmesi durumunda, fiil Tür- kiye’de işlenmiş ya da netice Türkiye’de gerçekleşmişse, bu veri sorumlularının Kanun’a tabi olması gerekecektir.
Kurum, Rehber’de bir yandan mülkilik ilkesinin ge- niş bir şekilde yorumlanması gerektiğine dair görüşünü belirtirken, daha önce Kurul kararlarında ve Kurum rehberlerinde yer verilmeyen etki ilkesine de de- ğinmiştir. Rehber’de etki ilkesinin tanımı doğrudan yapılmamış olmakla birlikte, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’na atıfta bulunularak, veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde gerçekleşmesi ve ihlalin sonuçlarının Türkiye’de yerleşik kişileri etkilemesi, bu kişilerin Türkiye’de sunulan ürün ve hizmetlerden faydalanmaları durumunda, söz konusu veri sorumlusunun aynı usullerle Kurul’a bildirimde bulunmasına karar verildiği ifade edilmiştir. Rehber’de bu kararda etki ilkesinin temel alındığı, mülkilik ilkesinin ise dikkate alın- madığı vurgulanmıştır.
Kanaatimize göre, bu ifadeler arasında bir çelişki bulunmaktadır. Eğer bir netice Türkiye’de yerleşik ilgili kişileri etkiliyorsa, bu durum neticenin Türkiye’de gerçekleşmesi olarak geniş bir şekilde yorumlanabilir. Dolayısıyla da Kanun’un uygulanması gerektiği kabul edilebilir. Bu durumda, etki ilkesine başvurulmasına gerek olmayacaktır. O halde, etki ilkesine başvurulmasının sebebi, Kurum’un neticenin Türkiye’de yerleşik kişileri etkilemesini, neticenin Türkiye’de gerçekleşmesi olarak değerlendirmemesi ve neticenin Türkiye’de gerçekleşmediği durumlarda bile Kanun’un etki ilkesi üzerinden uygulanacağını düşünmesinden kaynaklanıyor olabilir. Daha önce Kurum tarafından ifade edilmemiş olan “etki ilkesinin” kavramının uygulanma koşulları ve etkinin ne zaman doğacağı açık bir şekilde tanımlanmamıştır. Yeni bir kavram olması nedeniyle, bu ilke çeşitli tartışmalara zemin hazırlayabilecektir. Ayrıca, Kurum’un GVKT m. 3’te yer alan hedefleme ilkesine değinmemesi, GVKT’yi esas almayacağı yönünde bir tercih olarak yorumlanabilir. Bununla birlikte, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’ndaki ifadeler, hedefleme ilkesinde öngörülen kriterlere benzer unsurlar barındırmaktadır. Bize göre, uygulanma koşulları açık olmayan bir “etki ilkesinin” benimsenmesi yerine, mülkilik ilkesinin geniş yorumlanması daha sağlam ve hukuken tercih edilebilir bir yaklaşım olacaktır. Sonuç olarak, Rehber’deki açıklamalar, Kurum’un Kanun’u mümkün olduğunca geniş bir coğrafi alanda uygulanabilir kılma yönünde bir yaklaşım benimsediğini açıkça ortaya koymaktadır.
2.2. Veri Aktarımına Geniş Bakış
Rehber’de, veri aktarımı kavramına ilişkin çeşitli örneklerle bu terimin kapsamı netleştirilmiştir. Örneğin, bir hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, uzaktan erişim için etkili bir talebin onaylanması ya da kabul edilmesi, bir sabit sürücünün yerleştirilmesi veya bir dosyaya şifre gönderilmesi gibi faaliyetler, kişisel verilerin aktarımına örnek olarak verilmiştir. Rehber’de yer alan özellikle dikkat çekici bir örnek ise, sorun giderme veya yönetim amacıyla sunulan destek hizmetleridir. Eğer bu tür hizmetler kapsamında yurtdışından bir veri görüntülemesi gerçekleşirse, yurt dışına aktarımın diğer koşullarının da gerçekleşmesi şartıyla bu görüntülemenin bir yurt dışına veri aktarımı olarak kabul edileceği ifade edilmiştir. Bahsedilen diğer koşullar ise, veriyi aktaranın Kanun’a tabi olması ve veriyi alıcısının, Kanun’a tabi olup olmamasına bakılmaksızın, üçüncü bir ülkede yerleşik olmasıdır. Rehber’deki bu açıklamalar, yurtdışına aktarım kavramını uygulama açısından faydalı olacak şekilde detaylandırmıştır.
