6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girmesi ile birlikte; her türlü kişisel veri işleme faaliyetiyle ilgili olduğu gibi kişisel verilerin yurt dışına aktarılması ile ilgili de birtakım düzenlemelere yer verilmiştir. Bu düzenlemeler, yürürlüğe girdiği ilk zamanlarda nasıl uygulanacağına ilişkin birtakım tereddütleri ortaya çıkarsa da zaman içinde en azından düzenlemelerin kapsamının Kurum tarafından ne şekilde ortaya yorumlanacağı biraz daha net hale gelmiştir.
Bugün büyüklüğü dikkate alınmaksızın hemen hemen her işyeri farkında olsa da olmasa da pek çok kişi grubuna ait kişisel verileri yurtdışına aktarabilmektedir. Herkesçe bilinen ve yaygın olarak kullanılan e-posta servis sağlayıcılarından faydalanırken, bulut sistemlerini kullanırken, sosyal medya aracılığıyla müşterilerle irtibat kurarken yurt dışına verilerin aktarılması söz konusu olabilmektedir. Özellikle yalnızca ülkemiz sınırları içerisinde faaliyet gösteren şirketler için alınacak çeşitli önlemlerle yurt dışına veri aktarımını asgari düzeye indirmek elbette mümkündür. Ancak sınır aşan ticari süreçlerin gündeme geldiği durumlarda bunu sağlamak çok da mümkün olamayabilecektir. Diğer yandan mümkün olsa bile ticari açıdan tercih edilebilir bir karar olarak değerlendirilemeyebilecektir. Bunun en bariz görünümü yurt dışı merkezli ya da yurt dışında iştirakleri bulunan Türkiye merkezli grup şirketleri nezdinde gerçekleşmektedir.
Bugün yurt dışıyla herhangi bir bağlantısı olan grup şirketleri, yurt dışında bulunan iştirakleriyle, merkezleriyle ya da müşterileriyle ticari faaliyetlerini sürdürürken doğal olarak yurt dışından veri alabilmekte ve yurt dışına veri gönderebilmektedir. Türkiye’den farklı ülkelere veri aktarılması halinde rahatlıkla kişisel verilerin yurt dışına aktarılması olarak nitelendirilebilecek bu faaliyetler Kanun’un 9. Maddesine tâbi olacaktır. Kişisel verilerin yurt dışına aktarılabilmesi için:
- İlgilinin açık rızasının mevcut olması, mevcut değilse;
- Kişisel veri ya da özel nitelikli kişisel veri işleme şartlarının mevcut olması halinde
- Kişisel verilerin aktarılacağı ülkenin yeterli korumayı sağlaması,
- Yeterli korumayı sağlayan bir ülkeye aktarım yapılmıyorsa, Türkiye’deki ve yurtdışındaki veri sorumlularının yeterli koruma sağlayacaklarına dair yazılı taahhütleri üzerine Kurum’dan izin alınması,
gerekli görülmektedir.
Kurum bu yazının kaleme alındığı tarih itibariyle hiçbir ülkeyi “yeterli korumayı sağlayan ülke” olarak tespit ve ilan etmemiştir. Dolayısıyla, Türkiye Cumhuriyeti sınırlarından çıkan her türlü kişisel veri için ilgilinin açık rızasının bulunması ya da Kurum’dan izin alınması elzemdir. Aksi halde, çeşitli cezai ve idari yaptırımlarla karşı karşıya kalmak mümkündür. Kişisel veri işleme süreçlerinin ağırlıklı olarak açık rıza temelinde tasarlanması, bu yazıda açıklanması güç olan pek çok riskleri ve açıkları da beraberinde getirebilecektir. Dolayısıyla, içinde bulunduğumuz koşullar altında hukuki olarak en dikensiz yol; Kurum’dan rıza alınması olarak görünmektedir. Dolayısıyla yurt dışına kişisel veri aktaran veri sorumluları bakımından Kurum’dan izin alma yöntemi daha sağlam temelleri olan bir yöntem olarak değerlendirilebilmektedir. İşte Kurum bu izin sürecinin bir görünümü olan Bağlayıcı Şirket Kuralları’nı duyurmak suretiyle grup şirketler için yeni bir süreci başlatmış olmaktadır. Bağlayıcı Şirket Kuralları ile birlikte; daha önce iki şirket arasındaki kişisel veri aktarımını düzenleyen taahhütnamelerden farklı olarak grup şirketlerinin tamamını kapsayabilecek bir kurallar bütünü ile kişisel verilerin yurt dışına güvenle aktarılması temin edilmeye çalışılmaktadır.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) de yer alan bir çeşit taahhüt olan Bağlayıcı Şirket Kuralları; Kurum tarafından duyurulduğu haliyle, kişisel verileri birbiri arasında aktarmak isteyen ve aynı şirketler topluluğuna mensup iştiraklerin birbirlerine ve Kurum’a karşı taahhütleri olarak özetlenebilir. Hemen belirtmek gerekir ki, Bağlayıcı Şirket Kuralları’nın yürürlüğe girmesi için taahhüdün verilmesi yeterli olmayacak, Kurum’un 1 yıl olarak öngörülen ve 6 aylık periyotlarla teorik olarak süresiz olarak uzatılabilecek incelemeleri neticesinde izin verilmesi gerekecektir.
Bağlayıcı Şirket Kuralları oluşturulurken; kişisel verilerin aktarılacağı tüm grup şirketler bakımından kişisel veri işleme uygulamalarının gözden geçirilmesi gerekmektedir. Burada yalnız ilgili ülkenin mevzuatı değil, Türkiye Cumhuriyeti mevzuatı bakımından da bir değerlendirme yapılması; her iki mevzuat arasında çelişik yönler bulunuyorsa bunların da ortaya konulması önemli bir nokta olarak karşımıza çıkmaktadır. Dolayısıyla, Bağlayıcı Şirket Kuralları’nı yürürlüğe koymak isteyen bir şirketler topluluğu pek çok ülkenin tâbi olduğu mevzuatı dikkate alarak kapsamlı bir ön çalışma yapmaya ihtiyaç duyacaktır.
Kurum, Bağlayıcı Şirket Kuralları ile ilgili detaylı açıklamaları içerir bir rehber ile başvuru formunu internet sitesinde yayınlamış olup Bağlayıcı Şirket Kuralları ile ilgili başvuruları elden ya da posta ile başvurmak suretiyle alacağını duyurmuştur. Dolayısıyla, Bağlayıcı Şirket Kuralları ile ilgili hazırlıkların asgari olarak Kurum tarafından duyurulan unsurları içermesi gerekmektedir.
Bağlayıcı Şirket Kuralları, Kurum tarafından kabul edilerek yürürlüğe konduğu takdirde kural olarak süresiz bir şekilde uygulanmaya devam edebilecektir. Ancak, Kurum gerekli hallerde bu kuralları askıya alma ya da feshetme yetkisini de saklı tutmaktadır.
Bağlayıcı Şirket Kuralları gerek ön hazırlık gerekse başvuru aşamalarında kapsamlı bir çalışmayı gerektirmektedir. Öte yandan, Bağlayıcı Şirket Kuralları’nın kabulü için Kurum’a başvuran grup şirketler, Kurum’dan izin alana kadar Bağlayıcı Şirket Kuralları kapsamında yurt dışına veri aktaramayacak olması, bu geçiş sürecinin de ayrıca tasarlanmasını gerektirecektir.
Sonuç olarak; veri sorumlularının:
- Kişisel veri işleme faaliyetlerini dikkate alarak yurt dışına veri aktarımı yapıldığı durumları tespit etmeleri,
- Yurt dışına veri aktarımlarına dair hukuki dayanaklarını tespit etmeleri,
- Güçlü ya da açıklar barındıran hukuki dayanaklar yerine yenilerini tercih etmeleri için çalışmalar yapmaları,
kişisel verileri işlerken ve yurt dışına aktarırken Kanun’un ve Kurum’un öngördüğü çerçeveye uyum sağlayabilmek açısından faydalı olacaktır.
Av. Kerem Utku ÖRER
Tarlan Avukatlık Bürosu Bloğu 