- +90 850 305 88 88
- info@lundodata.com
- Pzt - Cmt 09:00 - 18:00
Paylaş
Share on facebook
Share on linkedin
Share on twitter
Share on email
Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması ve Güvenli Ülkeler
Kişisel veriler, profesyonel hayata yön veren başlıca faktörlerden biridir. Çalışma alanınız ne olursa olsun özellikle üretim, pazarlama ve reklamcılık stratejilerini belirlerken kişisel veriler size yol gösterir. Kişisel verilerin elde edilmesi ve işlenmesi koşulları Kişisel Verilerin Korunması Kanunu’nda detaylandırılmıştır. Özel nitelikli kişisel verilerin yurtdışına aktarılması konusuna girmeden önce, kişisel veri ve özel nitelikli kişisel veri hakkında bilgi sahibi olmanız gerekir.
Kişisel Veri Nedir?
Kimliği belli veya belirlenebilir konumda olan gerçek şahıslara ait her tür bilgi, kişisel veri kapsamında değerlendirilebilir. Kişisel veriler sadece şahsa özel telefon numarası, isim ve adres gibi bilgileri kapsamaz, etnik köken, politik düşünceler, sosyal hayat hakkındaki verileri de kapsar. Bu doneler hedef kitle detaylandırmasında, tüketici alışkanlıklarının belirlenmesinde önemli rol oynar. Bu kişisel verilerin işlenmesi ve aktarılması Kişisel Verilerin Korunması Kanunu’yla güvence altına alınır. Kişisel verileri tutan, depolayan ve işleyen her kurum bu kanuna uymakla yükümlüdür. Siz de üretim, pazarlama veya reklam alanında kişisel verileri işleyerek verimliliği maksimum düzeye çıkarmak istiyorsanız, kanuna uyum sağlamak için bazı çalışmalar yapmalısınız.
• Bütün bilgilerin gizlilik, bütünlük ve erişebilirlik gibi güvenlik koşullarını BGYS standartlarına göre sağlamalısınız.
• Veri envanteri oluşturmalısınız.
• Bilgileri uygun şekilde sınıflandırmalısınız.
• İlgili kişileri verilerinin işlenme koşulları açısından detaylı olarak bilgilendirmelisiniz.
• Verilerini işleyeceğiniz çalışan ve müşterilerinizi konu hakkında bilgilendirmeli ve açık rızalarını uygun koşullarda almalısınız.
• Belli aralıklarla veri güvenlik testlerini uygulayarak güvenlik açıklarını kontrol altına almalısınız.
Özel nitelikli kişisel veri öğrenilmesi durumunda bilginin öznesi olan şahsı mağdur edebilecek, ayrımcılık gibi problemlere sahip olabilecek donelerdir. Özel nitelikli kişisel veriler, KVKK‘da özel olarak betimlenmiştir. Bu bilgiler: bireylerin ırkı, etnik temeli, politik fikri, felsefi ve dini inançları, giyim tercihleri, dernek ve vakıf üyelikleri, tıbbi kayıtları, cinsel yönelimleri, sabıka kaydı, biometrik ve genetik kayıtlarıdır. Bu bilgilerin işlenmesi bireyin açık rızasına ya da kanunda sınırlandırılan koşullara bağlıdır ve genellikle gizlilik sözleşmeleriyle güvence altına alınır.
Özel Nitelikli Verilerin Yurt Dışına Aktarılması
Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel verilerin yurt dışına aktarılması kanunun 9. maddesinde sınırlandırılmıştır. Bu maddeye göre kişisel verilerin yurt dışına aktarılabilmesi için bilginin öznesinin açık rızası gerekir. Özel nitelikli kişisel veriler sadece kurul tarafından güvenli kabul edilen ülkelere aktarılabilir.
Kurul ülkenin veri aktarımı açısında güvenli olup olmadığını belirlemek için;
• Türkiye’nin dahil olduğu enternasyonel sözleşmeleri,
• Hedef ülkeyle Türkiye arasındaki veri alışverişi trafiğinin karşılıklılığını,
• Özel nitelikli kişisel verilerin işlenme amacını ve süresini,
• Hedef ülkedeki mevzuat ve protokolü,
• Veri sorumlusunun taahhüt ve güvencelerini göz önüne alır.
Hangi Durumlarda Yurt Dışına Veri Aktarımı Sayılır?
Şahsın Açık Rızasının Olması
Açık rızanın kanuni olarak geçerli sayılması için belli koşulları karşılaması gerekir. Açık rıza kavramı tanım olarak; bir konu hakkında bilgilendirme temelli, özgür iradeyle açıklanan razı olma durumudur. Açık rızanın geçerli olması için 3 unsuru tam olarak karşılaması gerekir:
1. Belli bir konuyla iniltili olmalı.
2. Rıza sırasında tam ve açık bilgilendirme yapılmalı.
3. Rızanın açıklanması esnasında irade kısıtlayıcı bir durum olmamalı.
Yeterli Korumanın Bulunması
Yeterli korumanın bulunduğuna kurul tarafından aktarım yapılacak ülkenin değerlendirilmesiyle karar verilir. Koruma bulunuyorsa verilerin özel nitelikli olup olmadığına bakılarak değerlendirme yapılır. Özel nitelikli veriler; sağlık ve cinsellik dışında olan verilerde ilgili kanunda öngörülmesi halinde, sağlık ve cinsel yaşam verileriyse kamu sağlığını ilgilendiren durumlarda, önleyici tedavi uygulamalarında, sağlık bütçe planlamada sır saklamakla mükellef yetkililerce işlenmesi halinde aktarılabilir.
Yeterli Korumanın Bulunmaması Halinde
Eğer kişisel verileri aktaracağınız ülke, kurul tarafından güvenli sayılan ülkeler arasında yer almıyorsa, özel nitelikli kişisel veriler için kurulca kabul edilen yazılı bir taahhüt almanız gerekir.
Özel Nitelikli Kişisel Bilgilerin Aktarılmasında Güvenli Ülkeler
Kurul güvenli ülkeler listesini henüz kamuoyuna açık bir şekilde yayınlamamıştır. Buna rağmen kurulun bu ülkeleri belirlerken hangi yol haritasını takip ettiğini bilmek, hangi ülkelerin veri aktarımı açısından güvenli sayılabileceğini öngörebilmeniz açısından fayda sağlayabilir. Özel nitelikli kişisel verilerin aktarılması husunda bir ülkenin güvenli olup olmadığı şu koşullar kontrol edilerek belirlenir.
• Karşılıklılık durumu: Türkiye’yle ilgili ülke arasında veri aktarımının karşılıklı olup olmadığına bakılır.
• İlgili ülkede kişisel verilerinin işlenmesi uygulaması ve mevzuatı: Kişisel verilerin gizliliğinin anayasaca belirlenen bir hak olup olmaması, veri korunmasını temel alan bir kanunun olup olmaması, varsa bu kanunun yürürlüğe giriş zamanı, kişisel veri işleme kanununun 6698 sayılı KVKK kanununun veri işleme şartlarına uyum oranı, özel işletme şartları ve ek güvencelerin niteliği, şeffaflık ilkesine uyumu ve şeffaflığı koruyan hukuki teminatlar, kişisel verileri korumaya yönelik alınan idari ve teknik önlemlerin niteliği, Kişisel Verileri Koruma Kanunu ihlali sonucunda uygulanan cezai yaptırımlar ve ihlali önleyecek diğer mekanizmalar, ilgili kişilerin veri sorumlusuna ulaşabilmesi ve olası şikayetlerini iletebilecekleri bir merci olması, tazminat hakkı ve referans uygulama skalası incelenir.
• İlgili ülkede bağımsız bir veri koruma otoritesinin mevcudiyeti: Kurumun yapısı, bağımsızlık oranı, yetki ve sorumlulukları, denetlenmesi, karşı başvuru imkanı göz önünde bulundurulur.
• İlgili ülkenin enternasyonel antlaşmalara taraf olma durumu ve uluslar arası kuruluşlara üyelikleri detaylı olarak incelenir. Uluslararası bağlayıcı antlaşmaların artması, özel nitelikli kişisel verilerin aktarımı açısından ülkenin daha güvenli olarak değerlendirilmesini sağlar.
• Türkiye’nin dahil olduğu lokal ve global kuruluşlara üyelik durumuna bakılır. Ortak üyelik bulunan kurum sayısı arttıkça, ülke, kişisel verilerin aktarımı açısından daha güvenli olarak değerlendirilir.
• İlgili ülke ve Türkiye arasındaki ticari anlaşmalar ve ticaret hacmi de güvenlik oranının belirlenmesinde yüksek önem taşır.