Kişisel Verilerin Yurtiçinde Aktarılması Kanunda Nasıl Düzenlenmiştir?
Veri sorumlularının uhdesinde bulunan kişisel verilerin aktarılmasıdır. Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.
Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir. Bununla birlikte, Kanunun 5. ve 6. maddesindeki şartların sağlanması halinde yeterli önlemler alınarak kişisel verilerin açık rıza aranmaksızın yurtiçinde aktarılmasına da imkan tanınmıştır. Bu kapsamda;
1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından
en az birinin bulunması,
2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun
6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması
halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkündür
Kişisel Verilerin Yurt Dışına Aktarılması Kanunda Nasıl Düzenlenmiştir?
Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmak şartıyla yurt dışına aktarılabileceği düzenlenmiştir. Bununla birlikte maddenin 2. fıkrasında, Kanunun 5. maddesinin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddesinin 3. fıkrasında belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân tanındığı belirtilmektedir.
Buna göre;
1. İlgili kişinin açık rızasının bulunması
2. Kanunun 5. maddesinin 2. fıkrasında ve Kanunun 6. maddesinin 3. fıkrasında belirtilen
şartlardan birinin bulunması ve verinin aktarılacağı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri
ve Kurulun izninin bulunması kaydıyla kişisel verilerin yurt dışına aktarılması mümkündür
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Bu kapsamda, yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı taahhüt etmeleri şartıyla söz konusu kişisel verilerin yurtdışına aktarılıp aktarılmayacağına Kurul tarafından karar verilecektir.
İlave olarak, Kanunun 9. maddesinin 5. fıkrasında kişisel verilerin, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabileceği hükme bağlanmıştır.
Yeterli Korumanın Bulunması
Kişisel verilerin aktarımı;
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde yurt dışına aktarılabilmektedir.
Özel nitelikli kişisel verilerin aktarımı;
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunda açıkça öngörülmesi halinde yurt dışına aktarılabilecektir.
Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
Yeterli Korumanın Bulunmaması
• Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin gerçekleşmesi,
• Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
• Kurulun izninin bulunması hallerinde yurt dışına aktarılabilmektedir.
Kişisel Verilerin Yurtdışına Aktarılması Rehberi
Yabancı Ülkede Yeterli Koruma Bulunup Bulunmadığının Belirlenmesinde ve Yeterli Korumanın Bulunmaması Halinde Verilerin Yurtdışına Aktarılmasına İzin Verirken Kurul Hangi Kriterleri Dikkate Alacaktır?
Kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunup bulunmadığına, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri kaydıyla kişisel verilerin yurtdışına aktarılmasına Kurul;
a. Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b. Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c. Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç. Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d. Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri
değerlendirmek ve ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü de
dikkate almak suretiyle karar verir.
6698 Sayılı Kişisel Verilerin Korunması Kanun’un Veri güvenliğine ilişkin yükümlülükler başlıklı 12.maddesine göre Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 6698 Sayılı Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18.maddesine göre veri güvenliğine ilişkin bu yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
Kişisel Verilerin Korunması Uyum Süreci
Kişisel Verilerin Korunması ile ilgili olarak şirketinizde veya kurumunuzda alınması gereken idari ve teknik tedbirler ile yaptırılması gereken denetimleri içeren Kişisel Verilerin Korunması Uyum Süreci Danışmanlık hizmetiyle ilgili daha detaylı bilgi almak için aşağıdaki bağlantıya tıklayabilirsiniz.
Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmetleri