Kişisel Verilerin Yurtdışına Aktarılması-Lundo Data

Paylaş

Share on facebook
Share on linkedin
Share on twitter
Share on email

Kişisel Verilerin Yurtdışına Aktarılması Ne Kadar Güvenli?

Birçok şirket kişisel verilerin yurtdışına aktarılması konusunda güvenli ülkeler hangileri diye merak ederken konuya bu yazımızda biraz derinlemesine açıklama getirmek istedik.

Kişisel Verilerin Aktarılması Nedir?

Kişisel verilerin aktarılması, ancak ilgili veri sorumluları tarafından farklı amaçlarla işlenebilir. Örnek vermek gerekirse, kişilerin tüketici alışkanlıklarının daha iyi anlaşılabilmesi, tüketiciler ile iletişime geçilmesi ya da ödeme imkânları ile güçlüklerinin belirlenmesi gibi hususlar için kişisel verilere ihtiyaç duyulur. Bu veriler bazı durumlarda başkaları ile paylaşılmak da istenebilir. Böylece veri sorumlularının görev sınırları içinde bulunan bilgiler genele yayılabilir ya da daha iyi amaçlar doğrultusunda kullanılmak istenebilir.

Kişisel Verilerin Yurtdışına Aktarılması

Günümüzde pek çok faaliyetin yerine getirilebilmesi için kişisel veriler isteyerek ya da farkında olmaksızın yurt dışına aktarılır. Kişisel verilerin yurt dışına aktarılması başlıklı 9’uncu maddesi, ilgili Kişisel Verilerin Korunması Kanunu’na göre veri aktarım şartlarını belirtir. 6698 sayılı KVKK‘ya göre kişisel veri sahibi olan kişinin rızasını almaksızın veri aktarımının yapılması mümkün değildir.

Esas olarak kişisel verilerin aktarılması, veri sorumlusu ya da veri işleyen kişi tarafından ilgili dosyaların başka bir veri sorumlusuna/veri işleyene aktarılmasını ifade eder. Kişisel verilerin yurt dışına aktarılması ise Türkiye’deki kurum ya da kuruluşlarda bulunan kişisel verilerin yurt dışındaki ortamlara aktarılması olayıdır. Bu kapsamda yurt dışına aktarım, yurt dışındaki bir bulut platformuna ya da bir sunucuya veri aktarmak, 6698 sayılı kanun kapsamında değerlendirilir. Diğer bir deyişle yurt dışına aktarım, herhangi bir şirketin elinde bulunan kişisel verileri, Türkiye dışında bulunan kendi organlarına aktarması olarak da değerlendirilebilir.

Hangi Durumlarda Yurtdışına Veri Aktarımı Yapılır?

Genel bir kural olarak kişisel veriler ancak veri sahibinin açık rızası alınarak yurt dışına aktarılabilir. Kanunlarda açık rızanın tanımı olarak, belirli bir konuya ilişkin olan, bilgilendirmeye dayanan ve kişinin özgür iradesi ile açıklanan rıza olarak ifade edilir.

Veri sahibinden açık rıza alınmamış ise Kanun’da yer alan veri işleme koşullarından en az bir tanesinin mevcut olması ve ayrıca kişisel verilerin aktarılacağı ülkenin yeterli hukukî korumasının olduğu ülkelerden olması gerekir. Bunların dışında veri aktarımının da tarafları olan veri işleme sorumlularının, yeterli bir koruma olduğunu yazılı olarak taahhüt vermesi zorunludur. Son olarak kurulun da aktarıma izin vermesi gereklidir. Buradan da anlaşılacağı üzere, kişisel verilerin yurt dışına aktarılması sırasında sadece veri işleme şartlarının varlığı yeterli görülmeyip; ek olarak birtakım şartların da sağlanması gerekliliği ortaya çıkar.

Bu bilgiler ışığında örnek vermek gerekirse, X ülkesindeki sunucular üzerinde kişisel verileri depolamak isteyen bir şirket, veri sahiplerinden açık rıza almamışsa, hem veri sorumlusunun sözleşme şartlarını yerine getirmesi hem de Kişisel Verileri Koruma Kurulu’nun X ülkesinin yeterli korumanın bulunduğu ülkelerden biri olarak kabul etmesi gereklidir. Böylece eğer X ülkesi, kurul tarafından ilân edilen yeterli korumanın bulunduğu ülkeler listesinde yer almıyorsa; böyle bir durumda hem veriyi elde edecek olan gerçek/tüzel kişinin hem de veri aktarımını yapacak olan işletmenin yeterli korumayı yazılı olarak taahhüt etmesi gerekir. Son olarak ise kurul tarafından bu aktarıma izin verilmesi zorunludur.

Bunların dışında ilgili Kanun uyarınca, açık rıza alınsa dahi kişisel veriler, Türkiye’nin ya da veri sahiplerinin menfaatinin ciddi olarak zarar göreceği durumlarda, sadece ilgili kamu kurum ya da kuruluşlarının görüşü alınarak ve kurul tarafından verilen izin doğrultusunda yurt dışına aktarılabilir. Örnek vermek gerekirse, temel kişilik haklarının ihlâl edildiği ya da milli güvenlik gibi ülke menfaatlerine ters düşen bir durumun varlığında kuruldan izin almak yine mecburîdir.

Kişisel Veriler Yurtdışına Aktarılırken Nelere Dikkat Edilmelidir?

Kişisel verilerin yurtdışına aktarılması yapılırken açık rıza alınması ya da veri işleme şartlarına sahip olunması tek başına yeterli değildir. Bunların dışında veri işleme sorumlularının şu yükümlülükleri bulunur:

•Verileri işlemeye yönelik genel ilkelere uyma
• Aydınlatma yükümlülüğünü yerine getirme
• Silme, anonim hale getirme ya da yok etme yükümlülüğüne uyma.

Bunların yanı sıra kişisel verilerin aktarımı esnasında teknik olarak veri güvenliğine de dikkat edilmelidir. Bu kapsamda kişisel verilerin kötü niyetli kişiler ya da üçüncü şahısların eline geçmesini önlemeye yönelik gerekli tedbirlerin alınması gerekir. Öte yandan kişisel verilerin aktarıldığı kişi ya da kurumun da bu verilerin korunması hukukuna uygun şekilde hareket edeceğinden emin olunması istenir. Eğer gerekiyorsa ilgili kurum ya da kişi ile “Veri Aktarım Sözleşmesi” imzalanması gerekir. Bu sözleşme üzerinde şu hususların kararlaştırılması, tarafların sorumluluklarını belirlemek için yerinde olur:

Kişisel verilerin hangi amaç doğrultusunda aktarılacağı

Veri aktarımının amaçları hakkında “Veri Kategorileri” başlığı düzenlenmelidir. İlgili Kanun’un 4’üncü maddesi uyarınca, kişisel veriler belirli, meşru ve açık amaçlar doğrultusunda işlenmelidir. Kişisel verilerin işlenmesindeki amacın meşru olması, veri sorumlusunun işlediği verilerin, sunmuş olduğu hizmet ya da yapmakta olduğu iş için gerekli olmasını ifade eder. Bu kapsamda, kişisel verilerin işlenme amacının sınırları net , anlaşılır ve detaylı şekilde belirtilmelidir.

Kişisel veri konusu, kişi grubu ya da grupları, veri kategorilerinin belirlenmesi

Kişisel verilerin konusu, kişi veya kişi grupları belirtilirken “muhtemel, gibi, ve benzeri” şeklindeki muğlak ifadelerden kaçınılmalı; veriye konu olan kişi grubu ya da grupları açıkça ifade edilmelidir. Öte yandan Kanun’un “Genel İlkeler” bölümündeki 4’üncü maddesinin ikinci fıkrasına ait (ç) bendinde belirtildiği gibi, kişisel verilerin işlendikleri amaç ile sınırlı, ölçülü ve bağlantılı olma kuralına riayet edilmelidir. Bu ilke doğrultusunda veri kategorileri düzenlemesi gerekir.

Kişisel verilerin ne kadar süre boyunca depolanacağı/saklanacağı

Kişisel verilerin aktarıldığı şirket ya da kurumun, elde ettiği verileri hangi ortamda ve ne kadar süre boyunca saklayacağı açıkça belirtilmelidir.

Kişisel verileri işleme konusunda kimlerin yetkili olarak belirlendiği

Kişisel verilerin aktarıldığı kurumda, bu verilerin saklanması, güvenliğinin sağlanması ve işlenmesi konusunda kimlerin yetkili olduğu açıkça belirtilmelidir.

Kişisel verilerin güvenliğini sağlama konusunda alınacak tedbirlerin neler olduğu

Bu bölüm düzenlenirken, kişisel verilerin işlenmesi süreci esnasında görevlendirilen veri sorumlularının alması gereken idarî ve teknik tedbirler belirtilmelidir. Bu hususta gereken açıklıkların sağlanması amacıyla tüm teknik ve idarî tedbirlerin ayrı başlıklar halinde açıklanması gereklidir.

Kişisel verilerin yurtdışına aktarılması hususunda güvenli ülkeler

Kişisel Verileri Koruma Kurulu, henüz yeterli koruma bulunan “güvenli” ülkeler listesini ilân etmemiştir. Ancak güvenli ülkeler listesi yayınlanmamış dahi olsa, hangi ülkelerin bu listede yer alacağı ilgili Kanun’da şu kriterler değerlendirilerek karar verilmelidir:

• Türkiye’nin taraf olduğu uluslararası sözleşmeler,
• Türkiye ile kişisel verileri talep eden ülke arasında veri aktarıma konu olan karşılıklılık durumunun varlığı,
• Kişisel veri aktarımında somut olmak üzere, kişisel verilerin niteliği, işlenme amacı ve süresinin belirlenmesi,
• Kişisel verilerin aktarılacağı ülkenin bu konuda ilgili mevzuatı ile uygulamalarının değerlendirilmesi,
• Verilerin aktarılacağı ülkede yer alan veri işleme sorumlusu tarafından taahhüt altında belirtilen tedbirler.

Kişisel verilerin yurt dışına aktarılması güvenli ülkeler konusunda Kişisel Verileri Koruma Kurulu, yeterli koruma bulunmasa dahi “veri aktaran ülke” ve “veri aktarılan ülke” arasındaki yazılı taahhüdü inceler. Kurul, gerekli kriterleri de göz önüne alarak, veri aktarımı konusundaki onayını bu doğrultuda verir. Tüm bunlara ek olarak kurul, gerekli incelemeleri yaparken eğer gerekli görürse ilgili kurum ve kuruluşların da görüşlerine başvurma hakkına sahiptir.

Siz de şirketinize ait kişisel verilerin yurtdışına aktarımı konusunda profesyonel destek almak isterseniz Lundo Data’ya güvenebilirsiniz. Kişisel Verilerin Korunması Kanunu gereklilikleri ile risklerinizi lundodata.com üzerinden analiz edebilir, dilerseniz ücretsiz olarak ön analiz raporu talep edebilirsiniz. Elde ettiğiniz bilgileri Lundo Data’nın uzman ekibi ile değerlendirerek, izlemeniz gereken yol haritanızı çok daha güvenli hale getirebilirsiniz.

güncel haberler

Veri Sorumlusu Avukata 125.000 TL İdari Para Cezası

Ücretsiz Ön Analiz Raporu-KVKK Risk Ölçer
Aşağıda bulunan iki maddeden birisi sizi ilgilendiriyor ise VERBİS’e kayıt olmakla yükümlüsünüz demektir.

Kişisel verileriniz, Aydınlatma Metni kapsamında işlenmektedir. Gönder butonuna basarak Aydınlatma Metnini okuduğunuzu onaylıyorsunuz.

VERBİS Nedir?

VERBİS kayıt desteği için HEMEN başvur!

Kişisel verileriniz, Aydınlatma Metni kapsamında işlenmektedir. Gönder butonuna basarak Aydınlatma Metnini okuduğunuzu onaylıyorsunuz.

İletişim Formu Aydınlatma Metni

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” kapsamında, veri sorumlusu sıfatıyla Lundo Data tarafından hazırlanmıştır.

Lundo Data Şirketi olarak kişisel verileriniz; hizmet temin süreçlerinin yürütülmesi amacıyla, hukuki yükümlülüğün yerine getirilmesi ve bir hakkın tesisi hukuki sebeplerine dayalı olarak elektronik ortamda başvuru yoluyla otomatik olarak işlenmektedir.

Kişisel verileriniz, açık rıza alınması halinde iş ortaklarına, tedarikçilere, 3. kişilere ve talep edilmesi halinde yetkili kamu kurum ve kuruluşlarına aktarılabilecektir.

Kanunun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca Lundo Data Şirketi’ne yazılı olarak veya info@lundodata.com kurumsal elektronik posta adresine iletebilirsiniz.

Lundo-Data-Popup

Lundo Data İle

Şirketini Korumaya Başla!