Giriş
Makalenin PDF formatına ulaşmak için tıklayınız. Kişisel verilerin aktarılması, 6698 sayılı KVKK'da kişisel verilerin işlenme hallerinden sayılıp, bir tür kişisel veri işleme faaliyeti olarak kabul edilmekle birlikte Kanun koyucu tarafından ayrı bir maddede düzenlenmiştir. Kişisel verilerin aktarılması yurtiçi aktarım ve yurtdışı aktarım olmak üzere iki farklı sınıfta değerlendirilebilir. Kanunda kişisel verilerin yurtiçi ve yurtdışı aktarımları konusunda farklı koşullar sunulmuştur.
Kişisel Verilerin Aktarılması Ne Demektir?
6698 sayılı KVKK'ya göre “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” kişisel verilerin işlenmesi kabul edilmiştir.
En genel tanımıyla kişisel verilerin üçüncü kişilere ulaştırılması için yapılan işleme aktarım işlemi denilebilir. Yukarıda bahsettiğimiz üzere kişisel veri aktarımı bir tür veri işleme faaliyetidir. KVKK'da kişisel verilerin işlenme şartları 4 ile 7 inci maddeler arasında düzenlenmişken, kişisel verilerin aktarılması hususu ise 8 ile 9 uncu maddelerde düzenlenmiştir. Kişisel verilerin işlenmesi ve kişisel verilerin aktarılması konusunda değerlendirmemiz gereken ilk ortak nokta ise; her iki işlem için de veri sahibinden açık rıza alınması gerektiğidir.
Yurtiçi Aktarım İçin Gereken Şartlar Nelerdir?
Kişisel verilerin yurtiçinde aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
- İlgili kişinin açık rızasının alınması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartları gerekmektedir.
Özel Nitelikli Kişisel Verilerin Aktarılması İçin Hangi Şartlar Öngörülmüştür?
KVKK'ya göre özel nitelikli kişisel veri “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmıştır.
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için; aşağıdaki hallerden birinin bulunması gerekmektedir.
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılabilir.
Yurtdışına Aktarım İçin Gerekli Şartlar Nelerdir?
Kanunun 9. maddesine göre yurtdışına veri aktarımı yapılabilmesi için;
Yeterli korumanın bulunmadığı ülkelere veri aktarımı yapılabilmesi için; Kanunda belirtilen hallerin varlığı aranır. (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) Ayrıca yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması da gerekmektedir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
- İlgili kişinin açık rızasının bulunması gerekir.
- Ayrıca yurtdışına veri aktarımı yeterli korumanın bulunduğu ülkelere yapılabilir. Yeterli korumanın olduğu ülkeler KVKK tarafından kabul edilir. Ayrıca veri aktarımında Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar aranmaktadır.
Yeterli korumanın bulunmadığı ülkelere veri aktarımı yapılabilmesi için; Kanunda belirtilen hallerin varlığı aranır. (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) Ayrıca yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması da gerekmektedir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
Kişisel Verisi Aktarılacak Kişiden Açık Rızası Nasıl Alınır?
6698 sayılı KVKK'da açık rızanın veri sahiplerinden nasıl alınacağı konusunda herhangi bir açıklama bulunmamaktadır. Açık rıza herhangi bir şekle tabi değildir. Fakat mevcut KVKK yayınlarına göre açık rıza;
- Belirli bir konuya ilişkin olmalıdır. Genel nitelikte olmamalıdır.
- Elde edilen kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmelidir.
- Veri sahibinden alınan açık rıza, kişinin hür iradesine dayanmalıdır. Veri sahibi mutlaka bilgilendirilmelidir.
Sonuç
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel veriler ancak ilgili kişinin açık rızasının alınması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi şartların varlığı halinde aktarılabilir. Yurtdışı veri aktarımında ise aktarım yapılacak ülkede yeterli korumanın bulunması şartı aranmaktadır.
YASAL UYARI Bu çalışma Kamutech Yazılım A.Ş. mevzuat grubu uzmanları tarafından hazırlanmıştır. Makalenin her türlü yayın hakkı Kamutech Yazılım A.Ş.'ye aittir. Kaynak göstermek ve link vermek kaydıyla alıntı yapılabilir.
Editör: TE Bilişim
