tr

6.Bölüm-Kişisel Verilerin Aktarılması

6.Bölüm-Kişisel Verilerin Aktarılması

Kanunda kişisel verilerin yurt içinde aktarımı nasıl düzenlenmektedir?

Kanunun 8. maddesinde, kişisel verilerin kural olarak ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmaması öngörülmektedir. Maddenin 2. fıkrasında verilerin, ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılmasına ilişkin düzenleme yapılmaktadır. Burada kişisel verilerin aktarılacağı üçüncü kişilerin, kanunen kişisel verileri alma veya kaydetme yetkisine sahip kişiler olması gerekmektedir.

Bu düzenleme yapılırken 5. maddenin 2. fıkrası uyarınca ilgili kişinin açık rızası olmaksızın veri işlenmesine izin veren şartlar aranmakta ve bu şartların birinin varlığı halinde, kişisel verilerin üçüncü kişilere aktarılabilmesine imkân tanınmaktadır. Özel nitelikli kişisel veriler yönünden ise, yeterli önlem alınmak kaydıyla, 6. maddenin 3. fıkrasında belirtilen verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmaktadır.

Kanunun 8. maddesinde belirtilen (üçüncü kişi) kimdir?

Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Veri üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre, ya veri sorumlusudur.

Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek yurt içindeki her türlü veri aktarımı için Kanunun 8. maddesinde yer alan düzenlemelerin uygulanması gerekmektedir. Öte yandan, kişisel verinin yurt dışına aktarılması, Kanunun 9. maddesi kapsamında düzenlenmiştir.

Üçüncü kişilere aktarım yapılmasına ilişkin düzenlemenin uygulamadaki en önemli iki sonucu şunlardır:

  • Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımları, üçüncü kişiye yapılan aktarımlar olarak değerlendirilemez. Kişiler, kişisel verilerini bir tüzel kişi ile paylaştıklarında, bahsi geçen tüzel kişilik, veri sorumlusu sıfatına sahip olmaktadır. Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda üçüncü kişiye aktarım şeklinde değerlendirilemez.
  • Bir şirketler topluluğu altında yer alan farklı şirketler arasında, veri aktarımı gerçekleştirilmesi, üçüncü kişiye veri aktarımı yapılması anlamına gelmektedir. Bir tüzel kişi bünyesinde farklı birimler arasında veri paylaşımı yapılmasının aksine, aynı şirketler topluluğu bünyesinde yer alan farklı tüzel kişiler arasında veri aktarımı gerçekleştirilmesi 8. maddenin uygulama alanındadır.

Kişisel verilerin yurt dışına aktarımı nasıl düzenlenmektedir?

Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgilinin açık rızası olmaksızın yurt dışına aktarılamayacağı düzenlenirken, maddenin 2. fıkrasında bu hükme istisna getirilmiştir. Bu düzenleme yapılırken 5. maddenin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddenin 3. fıkrasında belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın yurt dışına aktarmaya imkân tanınmaktadır.

Şayet ilgili yabancı ülkede yeterli koruma bulunmuyorsa, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân verilmektedir.

Yabancı ülkelerde yeterli koruma bulunup bulunmadığı Kurulca belirlenerek ilan edilecektir. Yabancı ülkede yeterli koruma bulunup bulunmadığına veverilerin yurtdışına aktarılmasına izin verilirken hangi kriterlerin dikkate alınacağına Kurul tarafından karar verilecektir. Ayrıca uluslararası sözleşme hükümleri saklı kalmak kaydıyla ülkenin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda kişisel verilerin ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izni ile yurtdışına aktarılması öngörülmektedir.

Kurul, yurtdışına kişisel veri aktarımında, veri aktarımında bulunulan ülkenin “yeterli koruma”yı sağladığına hangi esaslara dayanarak karar verecektir?

Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve 9. maddenin 2. fıkrasının (b) bendi uyarınca izin verilip verilmeyeceğine;

  • Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
  • Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
  • Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
  • Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
  • Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
ETİKETLER:
Whatsapp
Data Vekili
Data Vekili
Merhaba, Data Vekili'ne hoş geldiniz.
Size nasıl yardımcı olabiliriz?