1- Kişisel Veri Nedir?
Kişisel Veriler, özetle kimliği belli veya belirlenebilir gerçek kişilere ilişkin bilgileri içermektedir. Günümüzde kişisel verilerin önemle korunması, çoğu sistemin internet üzerinden ilerlemeye başlaması ve teknolojinin gerek ticari gerekse özel hayatımızın önemli bir parçasında yer edinmesi sebebiyle oldukça önemli bir hale gelmiştir.
Kişisel verilerin korunması amacıyla, 6698 Sayılı “Kişisel Verilerin Korunması Kanunu” (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Bu kanunun amacı, üçüncü maddesinde belirtildiği üzere kişisel verilerin işlenmesinde -başta özel hayatın gizliliği olmak üzere- kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Kanunda yer alan veri sorumluları ve veri işleyenler bu kanun kapsamında bazı sorumluluklara sahiptir.
Bugünkü yazımızda, bu Kanun kapsamında Türkiye’de şirket sahibi olan, şubeleşen veya merkezi yurt dışında olsa da ülkemizden veri işleyen yabancı şahıs ve şirketlerin ilgili Kanun kapsamına göre elde ettikleri kişisel verileri nasıl korumaları ve uyum sürecinde nelere dikkat etmeleri gerektiği kaleme alınacaktır. KVKK’ya aykırı hareket eden veya şirket politikalarını KVKK uyum sürecine dahil etmeyen gerçek veya tüzel kişiler, idari para cezası veya Türk Ceza Kanunu’na göre hapis cezası ile cezalandırılabilecektir. 1
2- Kişisel Verilerin İşlenmesi ve Şartları
KVKK uyum sürecine uygun olarak kişisel verilerin edinilmesi ile işlenmesi, günümüzde ticari şirketler için çok önemli bir durum haline gelmiştir. Bu sebeple tüzel kişiliklerin de meşru yollardan veri toplayarak müşteri portföyünü genişletmesi, bilinirliğini ve itibarını arttırması için KVKK uyum sürecine dahil olması ve hukuka uygun şekilde verileri işlemesi şarttır. Bu şekilde etkin ticari hayatlarını yürüterek global pazara ulaşma ve Pazar büyütme fırsatlarını da büyütmüş olurlar.
Açıklamalarımız çerçevesinde kişisel verilerin işlenmesi hususunun, ancak Kişisel Verilerin Korunması Hakkında Kanun’un ve ilgili diğer kanunların izin verdiği ölçüde gerçekleştirilebildiği söylenebilir. Kişisel Verilerin Korunması Kanunu’nun ilgili maddesi uyarınca, kişisel verileri işlerken genel ilkelere uyulması gerekmektedir. Bu ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.
Görüldüğü üzere, kanunda kişisel verilerin işlenmesi birbirinden önemli ilkelere bağlanmıştır ve bu ilkeler uluslararası veri işlenmesinde ve veri aktarımında da geçerliliğini sürdüren önemli ilkelerdir. Söz konusu genel ilkeler ile bağlantılı olarak; ilgili kanunun devamında kişisel verilerin işlenme şartlarına yer verilmiştir. Kişisel verileri işleyecek gerek yabancı gerekse yerel şirketler mutlaka bu şartları sağlamalıdır: Öncelikle, kişisel verilerin işlenebilmesi için kişinin mutlaka açık rızası mevcut olmalıdır. Bazı durumlarda ise, açık rıza aranmaksızın kişisel verilerin işlenmesine izin verilmiştir;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili kaydıyla, sözleşmenin taraflarına ait kişisel verilerinin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun veya meşru menfaatleri için veri işlenmesinin zorunlu olması.,
3- Yabancıların Kişisel Verileri İşleyebilmesi Koşulları
Yukarıda, Türk mevzuatına göre gerçek veya tüzel kişilerin edinmiş olduğu kişisel verileri işleyebilme kapsamı ve koşullarından bahsetmiştik. Yazımızın bu bölümünde ise, Yabancı kişilerin Türkiye merkezli şirketi bulunması, şubeleşmesi veya irtibat ofisi bulunması gibi hallerde ilgili mevzuat gereği “kişisel verileri işleme hakkı” çerçevesinde uyulması gereken şartlar incelenecektir.
Türkiye’de kişisel verilerin işlenebilmesi için esas alınan asıl kaynak 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Aynı şekilde, bu verilerin yurtdışına aktarılabilmesi için 32598 Sayılı “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ile Kişisel Verilerin Korunması Kanunu’nun 9. Maddesi gözetilmelidir. İlgili maddede, 5. Ve 6. Maddelerde mevcut şartların birinin bulunması ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında veri sorumluları ve veri işleyenlerin “yeterlilik kararların bulunması halinde, yurt dışına veri aktarımı yapabileceği ön görülmüştür. Yeterlilik kararını, Kişisel Verileri Koruma Kurulu verir ve söz konusu kararlar kurul tarafından dört yılda bir tekrar değerlendirmeye alınır.2 Yeterlilik kararına dayanan veri aktarımları, ilgili yönetmeliğin 8. Maddesi uyarınca şu hususlar dikkate alınarak verilir:
- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar.
- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması
- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu
- Kişisel verilerin aktarılacağı ülkelerin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
Görüldüğü üzere, Kişisel Verileri Koruma Kurulu’nun vereceği yeterlilik kararı, çeşitli değerlendirmelerden geçilerek alınmaktadır. Peki yeterlilik kararı alınmaksızın kişisel verilerin yurt dışına aktarılması mümkün müdür? Evet. Yeterlilik kararının mevcut olmadığı durumlarda, Yönetmelikte sayılan uygun güvence şartlarının sağlanmasıyla yurt dışına veri aktarımı mümkün olabilecektir. Uygun güvence kavramı, bağlayıcı şirket kurallarına uygunluk, standart sözleşme ile uygunluk, taahhütname ile uygunluk gibi çeşitlere ayrılarak uygun güvencenin sağlanma hususunun şartları belirtilmiştir.
4- VERBİS Kaydı Yapma Yükümlülüğü
Veri sorumluları sicili (VERBİS), veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Veri Sorumlularının, Kişisel Verileri Koruma Kurulu’nun gözetiminde Başkanlık tarafından tutulmakta olan “Veri Sorumluları Sicili” ne kaydolmaları zorunludur. VERBİS’e ilişkin usul ve esaslar, Veri Sorumluları Sicili Hakkında Yönetmelik ile düzenleme altına alınmıştır.3
Bahsi geçen kişisel verilerin bir kısmının veya tamamının yurt dışında yerleşik kurucu/ ortak yabancı şirkete aktarılması ve yurt dışında yerleşik şirketin bu kişisel verileri kendi meşru menfaatleri doğrultusunda kullanması durumunda, yurt dışındaki şirketlerin de VERBİS’e kayıt yükümlülüğü doğmaktadır. 4
30286 Sayılı Veri Sorumluları Sicili Hakkında Yönetmeliğin 11. Maddesi uyarınca, veri sorumlusu ve irtibat kişisinin yükümlülüklerine yer verilmiştir. Bu maddede, hem Türkiye’de yerleşik olan tüzel kişilerin hem de Türkiye’de yerleşik olmayan veri sorumlularının yükümlülükleri ve uymaları gereken şartlara yer verilmiştir.
O halde, yazımızdan anlaşılacağı üzere, kişisel verilen işlenmesi, kaydedilmesi, yurt içi veya yurt dışına aktarılması gibi hususlar başta Kişisel Verileri Koruma Kanunu olmak üzere düzenleme altına alınmıştır ve bu kanun dayanak olarak alınarak yer verdiğimiz ilgili yönetmelikler ile, veri sorumlularının meşru menfaatleri ile verileri işlemek ve kaydetmeleri için izlemeleri gereken koşullar aktarılmıştır. Kişisel Verileri Koruma Kanunu’nun lafzına bakıldığında, yurt dışında yerleşik olan veri sorumlularının da Türkiye’de yerleşik olanlar gibi uyması gereken kanuni yükümlülükleri ve VERBİS kaydı yapma gibi zorunlulukları bulunmaktadır.
Ayrıca, bu kanuni yükümlülüklere uyulmadığı takdirde hem para cezası hem de cezai yaptırımlar ile karşı karşıya kalınabileceği unutulmamalıdır. Bu sebeplerle, veri sorumlusu olarak edindiğiniz kişisel verileri işlemek veya aktarmak veya sadece saklamak dahi istiyorsanız, KVKK kapsamında sorumluluklarınızı bilmeli ve herhangi bir hak kaybına uğramamanız amacıyla bir avukattan destek alarak uyum sürecinizi gözden geçirmenizi tavsiye ederiz.
Kaynakça
1 Kişisel Verilen Korunması Kanunu madde 17,18
2 GSG Hukuk, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Yürürlüğe Girdi, 17 Temmuz 2024
3 https://www.kvkk.gov.tr/Icerik/2043/Veri-Sorumlulari-Sicili-Nedir
4 Cott Group, Yurt Dışında Yerleşik Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğü ve Şartları, 20 Eylül 2019
