KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINDA KVKK UYGULAMASININ ELEŞTİRİSİ

Ar. Gör. Baran Kızılırmak

 

a. Kişisel Verilerin Yurt Dışına Aktarılması Ne Demektir?

Öncelikle belirtmek gerekir ki, kişisel verilerin yurt dışına aktarılması durumunda, veri korumaya ilişkin kuralların yanında, ayrıca verilerin yurt dışına aktarılmasına yönelik özel olarak öngörülmüş kurallar uygulama alanı bulmaktadır. Bu nedenle, hangi faaliyetlerin yurt dışına veri aktarımı olduğunun tespiti son derece önemlidir. Günümüzde verinin ekseriyetle fiziksel olarak aktarılmadığı ve her geçen gün dijital ortamda yeni olanakların doğduğu düşünüldüğünde yeni soru ve sorunların da gündeme gelmesi kaçınılmazdır. Hukukçulara düşen işin teknik boyutunu (disiplinler arası çalışmalarla) kavrayarak yol göstermektir.

Veri aktarımının (transfer) ne olduğuna dair ne KVKK ne de GDPR bir tanım getirmiştir. Ancak KVKK Tanımlar kenar başlıklı 3. maddesinde, kişisel verilerin aktarılmasının bir işleme faaliyeti olacağını belirtmiştir -ki bu durumun daima akılda tutulması gerekir. EDPS[i] veri aktarımını tespite yönelik belirli unsurlara işaret etmiştir: “Kişisel verilerin, alıcı(lar)ın erişebileceği  biçimde (…) bir göndericinin bilgisi dahilinde veya aktarım niyetiyle iletilmesi, açığa vurulması veya başka bir şekilde kullanıma sunulması[ii]. Bu tespit kişisel verilerin internet üzerinden üçüncü ülkelerde erişilebilecek şekilde yayımlanması kadar, bu ülkelerdeki alıcılara erişim yetkisi verilmesini ve benzeri pek çok faaliyeti kapsamaktadır.

Kişisel verilerin bir e-posta ile üçüncü ülkedeki alıcıya iletilmesi, internet üzerinden uçak bileti satın alınması gibi pek çok durum aktarım teşkil eder. Fakat dikkat edilmelidir ki, transit gönderimin sonucunda veri üçüncü bir ülkeye ulaşmıyorsa bu bir aktarım teşkil etmeyecek; dolayısıyla konuya ilişkin kurallar uygulanmayacaktır. Öğretide kimi durumlarda verilerin aktarılması için mutlaka açığa vurmanın aranmayacağı ileri sürülmektedir. Örneğin depolama veya başka bir amaçla verilerin şifrelenmiş (şifre paroladan farklıdır!) biçimde aktarıldığı durumlarda; veriler anlaşılır biçimde okunamıyorsa bunun açığa vurma sayılmayacağı belirtilmektedir[iii].

b. Kişisel Verilerin Yurt Dışına Aktarılması Neden Ayrıca ve Özel Olarak Düzenlenmiştir?

Kişisel verilerin yurt dışına aktarılmasına ilişkin (sınırlayıcı) düzenlemelerin temel amacı, verilerin aktarıldığı ülkede orijin ülkeyle denk bir korumanın sağlanmasıdır. Bir başka ifadeyle, verilerin aktarıldığı ülkedeki mevzuattan, uygulamadan veya yargı organlarının tutumlarından kaynaklanan nedenlerle; daha az bir korumaya maruz kalmaması, riske atılmaması amaçlanmaktadır. Nitekim, güncel bir örnek olarak AB’den Amerika Birleşik Devletleri’ne (ABD) kişisel veri aktarımına ilişkin gerek Privacy Shield Framework’ün gerekse ondan önceki Safe Harbor Principles’ın Avrupa Birliği Adalet Divanı (ABAD) tarafından Schrems I & II kararlarıyla[iv] geçersizliğine hükmedilmesinin temel nedeni ABD kolluk ve istihbarat mercilerinin geniş çaptaki gözetim yetkisi doğrultusunda AB yurttaşlarının verilerine erişebilmeleri, buna karşı etkili hukuki mekanizmaların sağlanmaması ve gerekli düzeltme ve silme hakkının ilgili kişilere tanınmamasıydı[v].

c. Türk Hukukundaki Düzenleme Nasıldır?

Türk hukukunda kişisel verilerin yurt dışına aktarılması -diğer kanunlardaki özel durumlara ilişkin hükümler saklı olmak üzere[vi] 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenmiştir.

Söz konusu hüküm, veri aktarımının yasal dayanağına ilişkin kademeli bir mekanizma öngörmektedir. KVKK’nin öngördüğü sistemde, kişisel verilerin yurt dışına aktarılmasına ilişkin asıl kural, ilgili kişinin açık rızası olarak belirlenmiştir. Rızanın olmaması durumunda aktarım için iki istisna öngörülmüştür. Bunlardan birincisi; kanunun ilgili maddelerinde belirtilen (m. 5/2 & 6/3) kişisel verilerin işlenmesine ilişkin hukuki dayanaklardan birinin varlığı (ör. ilgili kişinin kendisi tarafından alenileştirilmiş olması) VE verilerin aktarılacağı yabancı ülkede gerekli korumanın bulunmasıdır (m. 9/2-a). Bunlar kümülatif koşullardır. Hangi ülkelerin yeterli korumayı sağladığı, Kişisel Verileri Koruma Kurulu tarafından KVKK’nin 9. maddesinin 4. fıkrasında[vii] belirtilen ilgili ülkenin mevzuatı ve uygulaması gibi birtakım hususlar dikkate alınarak ilân edilecektir. Ne var ki, bugüne kadar (15.12.2020) ilân edilmiş bir güvenli ülke listesi mevcut değildir[viii].

İkinci istisna ise; hem rızanın yokluğu hem de verilerin aktarılacağı ülkenin gerekli korumayı sağlamaması durumunda uygulama alanı bulur (m. 9/2-b). Bu halde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması koşuluyla veriler yurt dışına aktarılabilir (yukarıda ifade edilen kişisel verilerin işlenmesine ilişkin hukuki dayanaklardan birinin varlığı burada da aranır). Burada bahsedilen veri sorumlularının taahhütlerini “Taahhütname” ve “Bağlayıcı Şirket Kuralları” şeklindeki gerçekleştirebilecekleri Kişisel Verileri Koruma Kurumu (ks. Kurum) tarafından açıklanmıştır[ix]. Söz konusu iki mekanizma da Kurum tarafından önceden hazırlanmış olup, standartlaştırılmış niteliğinden ötürü aşağıda bahsedilecek olan AB hukukundaki standart veri koruma hükümlerine benzemektedir. Kurum ayrıca bağlayıcı şirket kurallarına ilişkin bir rehber ve başvuru formu da hazırlamıştır. Yine, kanundaki ifadede bu taahhütlerin Kurum tarafından onaylanması gerektiği belirtilmiştir. Ne var ki, bugüne kadar bilgimiz dahilinde Kurum tarafından onaylanmış bir taahhüt bulunmamaktadır -ki aşağıda değinilecek olan Amazon Türkiye kararının bir ayağı da buradadır. Kanun onaya ilişkin herhangi bir süre ise öngörmemiştir[x].

Aşağıda değinileceği üzere, AB hukukunun aksine Türk hukukunda ilgili kişinin açık rızası veri aktarımı için istisnai bir hal değil; ana kural olarak düzenlenmiştir. Kurum’un elindeki yegâne araç olan açık rızaya verdiği önem aşağıda üzerinde durulan Amazon Türkiye kararında da görülmektedir. Kanun’un 3. maddesi açık rızayı, “[b]elirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlamaktadır. Rıza beyanı belirli bir hususa / içeriğe ilişkin olmalı, bilgilendirilmeye ve özgür iradeye dayanmalıdır. Kişi, kişisel verilerinin işlenmesine kendi isteği veya diğer tarafın talebi üzerine rıza gösterebilir. Açık rıza beyanının yazılı olması şart değildir; aynı zamanda dijital / elektronik platformlar veya bir telefon görüşmesi ile çağrı merkezleri aracılığıyla da yapılabilir. Ancak, ispat yükünün veri sorumlusunda olduğu akılda tutulmalıdır[xi].

d. Avrupa Birliği Konuyu Nasıl Düzenlemektedir?

Burada yalnızca AB’nin konuya ilişkin temel hukuki metni olan GDPR (Genel Veri Koruma Tüzüğü)’ne kısaca değinilecek olup, Avrupa Konseyi metinleri[xii] incelenmeyecektir. Ana hatlarıyla ifade etmek gerekirse, GDPR ile kişisel verilerin Avrupa Ekonomik Topluluğu’ndan üçüncü ülke veya uluslararası organizasyonlara aktarılmasında üç kademeli hiyerarşik bir sistem öngörmektedir. Bu mekanizmada asıl olan ve ilk kademede yer alan Avrupa Komisyonu’nun yeterlik kararıdır (adequacy decision) (GDPR m. 45). Komisyon üçüncü ülkelere ilişkin; hukukun üstünlüğü, bağımsız veri koruma otoritesinin varlığı ve etkililiği gibi belirli kriterleri göz önünde bulundurularak verilerin aktarılmasında güvenli ülke listesi oluşturmaktadır. Bunun amacı, yukarıda açıklandığı üzere verilerin aktarıldığı ülkelerde de AB standardına benzer bir koruma sağlandığının tespitidir.

Yeterlik kararının bulunmadığı hâllerde ikinci kademedeki mekanizma gündeme gelir (GDPR m. 46). Veri sorumlusu veya işleyenin uygun güvenceleri sağlaması VE ilgili kişilere icra edilebilir haklar ile etkili hukuki yollar tanınması koşuluyla, kişisel veriler üçüncü ülke veya uluslararası kuruluşlara aktarılabilir. Burada sözü edilen uygun güvenceler Tüzük’te sayılmıştır (birkaçına örnek olarak; standart veri koruma hükümleri, bağlayıcı şirket kuralları, iş etiği kuralları verilebilir – GDPR m.46/2 & 3). Bu mekanizmalar verilerin nasıl bir korumaya tabi olacağına dair belli güvenceleri içermektedir.

Son olarak üçüncü kademede ise kişisel verilerin aktarılmasına birtakım istisnai koşullarla izin verilmiştir. Tüzüğün öngördüğü mekanizmaya göre bu kademede belirtilen yollara ancak Komisyon’un yeterlik kararının ve sözü edilen uygun güvencelerin bulunmaması halinde başvurulabilir. Numerus clausus olarak 49. maddede sayılan bu istisnaların bir kısmı şöyledir: İlgili kişinin açık rızası, bir sözleşmenin kurulması veya ifası için gerekli olması, kamu yararı, ilgili kişinin rıza açıklayamayacak durumda olduğu hallerde yaşamsal menfaatlerinin gerektirmesi. Benzerlikten anlaşılacağı üzere, bu koşullar KVKK’de kişisel verilerin işlenmesinin hukuki dayanaklarıyla paralellik göstermektedir.

e. Son Aylarda Sıkça Konuşulan Kurum’un Amazon Türkiye Kararı Ne Anlama Gelmektedir?

27 Şubat 2020 tarihinde Kişisel Verileri Koruma Kurumu re’sen yürüttüğü inceleme sonucunda, Amazon Türkiye’ye idari para cezası uygulanmasına karar vermiştir.  Burada kararın ticari elektronik iletilere ilişkin kısmı değil, kişisel verilerin yurt dışına aktarılması boyutunun üzerinde kısaca durulacaktır.

Yukarıda açıklandığı üzere kişisel verilerin yurt dışına aktarılması bugün için KVKK’de öngörülen mekanizmalardan yalnızca ilgili kişinin açık rızası ile mümkündür. Zira, Kurul ne güvenli ülkeleri ilan etmiştir ne de Kurum taahhüt mekanizmalarına onay vererek işler kılmıştır. Dolayısıyla, rıza dışında bir hukuki dayanağa şu an uygulamada başvurulamamaktadır. Nitekim Amazon Türkiye, taahhütname metnini Kurum’a karardan önce sunmuşsa da, Kurum bunu henüz onaylamadığından şirkete geçerli bir veri aktarım olanağı sağlamamaktadır.

Kararda Amazon Türkiye’nin yurt dışına kişisel veri aktarımı için ancak ilgili kişinin açık rızasına dayanabileceği; fakat veri sorumlusunun bunu da gerektiği gibi yerine getirmediği belirtilmiştir. Zira “yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği”; bir başka söyleyişle aydınlatma yükümlülüğü ve açık rıza almanın koşullarının yerine getirilmediği ifade edilmiştir.

Hâl böyleyken, açık rıza almanın koşullarının gerektiği gibi karşılanmasının beklenmesi ve bunun sağlanmaması durumunda veri sorumlusunun yükümlülüğünü yerine getirmediğinin tespiti hukuken beklenebilir bir sonuçtur. Ne var ki, aşağıda değinildiği üzere açık rıza almanın yapısındaki birçok sorun bir yana; mevcut hukuki sistem ve uygulamanın veri sorumlularının işini güçleştirdiği ortadadır. Peki, bunu yaparken ilgili kişileri korumakta mıdır?

f. Sonuç Yerine

Görüldüğü üzere, kişisel verilerin yurt dışına aktarılmasına ilişkin mevzuat ve uygulama, aktarımı büyük ölçüde sınırlandırmaktadır. Gerçekten, ilgili kişinin rızasının asıl olduğu mevcut rejimde Kurul’un güvenli ülkeleri hâlâ ilan etmemesi, bunun yanında veri sorumlularının taahhütlerinin onaylanmaması yalnızca aktarımın yapılmasının alternatif yollarını tıkamakla kalmamakta; aynı zamanda verilerin aktarıldığı ülkede korunmaya devam etmesine ilişkin hukukumuzun öngördüğü zayıf mekanizmayı dahi işlemez kılmaktadır.

Genel Veri Koruma Tüzüğü (GDPR) üç aşamalı bir mekanizma ile öncelikle güvenli ilân edilen ülkelere veri aktarımına izin vermekte; bunun olmaması durumunda veri sorumlusu veya işleyen tarafından uygun güvencelerin ve hukuki mekanizmaların yanı sıra, icra edilebilir hakların tanınmasını gerektirmekte; bunun da olmaması koşuluyla ilgili kişinin rızası gibi birtakım istisnalara dayanarak aktarımın sınırlı biçimde yapılmasına izin vermektedir. Buna karşılık, AB hukukunda istisnai nitelik taşıyan ve ondan önce başvurulabilecek pek çok güvence öngörülmüş olan ‘ilgili kişinin açık rızası’ koşulu, hukukumuzda aktarım için asıl mekanizma kılınmıştır. Üstelik Tüzük’te istisna olarak düzenlenmesine karşın, rızanın alınmasında ilgili kişinin uygun güvencelerin yokluğundan kaynaklanan risklere dair bilgilendirilmesi gerekliliği dahi, Türk hukukuna kıyasla daha kapsamlı bir aydınlatma ve güvenli yapı öngörmektedir.

Kanımızca, kişisel verilerin yurt dışına aktarımında gerekli güvencelerin sağlanmasının ikamesi ilgili kişinin açık rızası olamaz. Rıza tek başına, yalnızca işleme meşruiyet kazandırmakta olup; verilerin aktarıldığı ülkede korunmasını kendiliğinden sağlamamaktadır. Nitekim kişisel verilerin üçüncü ülkelere aktarılmasının ayrı düzenlemelere tabi tutulmasının amacının, verilerin aktarıldıktan sonra orijin ülkedeki koruma seviyesini kaybetmemesi olduğu akılda tutulmalıdır. Aktarımı yalnızca rızaya bağlamak, sorumluluğu ilgili kişinin omzuna yıkmak anlamına gelip; mübalağalı bir anlatımla uçurumun kenarına korkuluk koymak yerine, belki de pratikte asla okunmayacak bir yere “Burada durmak sizin sorumluluğunuzdadır!” şeklinde bir tabela asmaya benzemektedir. Üstelik çoğu zaman ilgili kişilerin o uçurumun kenarında durmaktan başka seçeneği bile yoktur!

Veri koruma hukukunda yaşanan gelişmeler ve sağlanacak güvencelerdeki ilerlemeler doğrultusunda, açık rızanın “demode” bir yaklaşım olduğu öğretide ifade edilmektedir. Aktarım için tek geçerli mekanizmayı rıza kılmak ilgili kişileri şirketlerin (veri sorumlularının) insafına bırakmak değilse nedir? Nitekim açık rıza alımı tabiatında birçok sorunu barındırmaktadır. İlgili kişilerin verilerinin aktarıldığı üçüncü ülkelerde de korunması için ayrıca güvencelerin sağlanması zaruridir. Bu güvenceler ilgili ülke hukuku ve uygulamasının kendisinden kaynaklanabileceği gibi, veri sorumluları ve işleyenler tarafından hukuki rejim dahilinde de yerine getirilebilir. Dolayısıyla asıl koruma ancak ilgili mevzuat, veri koruma otoriteleri ile süreçte rol alan aktörlerin (veri sorumluları gibi) tabi oldukları rejim sayesinde sağlanabilir.

Türk hukukundaki uygulamanın veri lokalizasyonu politikasının bir sonucu olduğu düşünülebilir. Verilerin yurt dışına aktarılamaması ve veri lokalizasyonu devletin veri koruma siyasetiyle ilgili olup, gerek uluslararası hukuk gerek rekabet hukuku ve gerekse hukukun diğer alanları açısından yol açtığı sonuçlar bu yazının konusu değildir. Yalnızca şunu belirtmek isteriz ki; veri lokalizasyonuyla Türkiye Cumhuriyeti yurttaşları veya onların kişisel verilerinin korunması amaçlanıyorsa, kanımızca bu başarılamamaktadır. Zira veriler her halükarda bir şekilde yurt dışına aktarılmakta; üstelik bu, uygun güvenceler sağlanmaksızın yapılmaktadır. Ayrıca, örneğin ülkede yerleşik bir veri depolama hizmetinin veri güvenliği ve şifreleme gibi koşulları gerektiği gibi yerine getirdiğinin garantisi var mıdır?

Şüphesiz ki Avrupa Birliği hukuku bu konuda ideal veya mükemmel bir yaklaşım sunmamaktadır. Nitekim kişisel verilerin korunması ve mahremiyet uzun yılların birikiminin ardından, GDPR’nin yürürlüğe girmesinin ardından da önemli bir gelişim göstermiş, eksiklikler uygulamada kendini hissettirmiştir. Fakat, günümüzde GDPR uygulamasının en kapsamlı ve gelişmiş sistemlerden birini oluşturduğu genel olarak kabul görmektedir. Dolayısıyla, bu alana özgü olmak üzere Türk hukukunun GDPR yaklaşımından yararlanabileceği kanaatindeyiz. Nitekim, mevcut uygulama da bu yöndedir.

Kişisel verilerin korunması hukukunun ülkeler arasında spill-over (yayılma) etkisi olduğu fikrindeyiz[xiii]. Özellikle uluslararası ticaretin gelişimi ve yurttaşlar arası etkileşimin artması, ülkeler arasında kişisel veri aktarımını beraberinde getirmekte; verilerin yurt dışına aktarılması ise üçüncü ülkenin belirli koşulları yerine getirmesine bağlanmaktadır. Dolayısıyla daha iyi koruma sağlayan ülkeden daha zayıf koruma sağlayan ülkeye veri aktarımı çekinceler doğurmakta, bu ülkeler bir şekilde veri koruma standartlarını yükseltmek zorunda kalmaktadır. İşte özellikle uluslararası ticaretten veya iş birliklerinden geri kalmak istemeyen devletlerin bu yola başvurarak kendi hukuki rejimini ilerletmesiyle, kişisel verilerin korunması hukukunun yayılma etkisi açıkça görülmektedir.

 

Dipnotlar

[i] European Data Protection Supervisor, https://edps.europa.eu 

[ii] https://edps.europa.eu/sites/edp/files/publication/14-07-14_transfer_third_countries_en.pdf , s.7.

[iii] W. Kuan Hon / Christopher Millard, “How Do Restrictions on International Data Transfers Work in Clouds?” at Cloud Computing Law, Oxford University Press, 2013, s. 265.

[iv] Schrems, Case C-362/14, ECR, EU:C:2015:650 & Schrems II, Case C‑311/18, ECR, EU:C:2020:559.

[v] Robert Walters,  Leon Trakman, Bruno Zeller, Data Protection Law - A Comparative Analysis of Asia-Pacific and European Approaches, Springer, 2019, s. 76; Paul Lambert, Understanding the New European Data Protection Rules, CRC Press, 2018, s. 352, 365; Peter Carey, Data Protection – A Practical Guide to UK and EU Law, Oxford University Press, 5th ed., 2018, s. 112; Chris Connolly / Peter van Dijk, “Enforcement and Reform of the EU-US Safe Harbor Agreement”, Enforcing Privacy - Regulatory, Legal and Technological Approaches, edt.: David Wright Paul De Hert, Springer, Law, Governance and Technology Series V:25, s. 277-278.

[vi] Diğer kanunlara ilişkin bilgi için: https://itlaw.bilgi.edu.tr/media/2020/3/30/Final%20Veri_Aktarimi_Raporu_30.03.2020.pdf , s. 100 vd.

[vii] KVKK madde 9/4: “Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.”

[viii] KVKK, Madde ve Gerekçesı̇ ile Kı̇şı̇sel Verı̇lerı̇n Korunması Kanunu (Bı̇lgı̇ Notu) ve Kı̇şı̇sel Verı̇lerı̇n Korunmasına İlı̇şkı̇n Terı̇mler Sözlüğü, 2019, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849.pdf, s.  26.

[ix] https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim .

[x] KVKK, 6698 Sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar, KVKK Yayınları Nr.: 31, 2020, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf , s. 35.

[xi] KVKK, “Açık Rıza”,  https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/66b2e9c4-223a-4230-b745-568f096fd7de.pdf .

[xii] Bunun için 108 Sayılı Sözleşme ve onun günün ihtiyaçlarına uygun olarak güncellenmişi olan Sözleşme 108+ yol gösterici olacaktır. https://www.coe.int/en/web/data-protection/convention108-and-protocol .

[xiii] Baran Kızılırmak, “Cross-Border Transfer of Personal Data Under GDPR Regime and Turkish Legal Framework”, (Yayınlanmamış Yüksek Lisans Tezi) Europa Kolleg – Hamburg, 2020, s. 74.

 

Paylaş