Kişisel Verilerin Yurtdışına Aktarılması Ne Kadar Güvenli?
Kişisel Verilerin Aktarılması Nedir?
Kişisel verilerin aktarılması, ancak ilgili veri sorumluları tarafından farklı amaçlarla işlenebilir. Örnek vermek gerekirse, kişilerin tüketici alışkanlıklarının daha iyi anlaşılabilmesi, tüketiciler ile iletişime geçilmesi ya da ödeme imkânları ile güçlüklerinin belirlenmesi gibi hususlar için kişisel verilere ihtiyaç duyulur. Bu veriler bazı durumlarda başkaları ile paylaşılmak da istenebilir. Böylece veri sorumlularının görev sınırları içinde bulunan bilgiler genele yayılabilir ya da daha iyi amaçlar doğrultusunda kullanılmak istenebilir.
Kişisel Verilerin Yurtdışına Aktarılması
Günümüzde pek çok faaliyetin yerine getirilebilmesi için kişisel veriler isteyerek ya da farkında olmaksızın yurt dışına aktarılır. Kişisel verilerin yurt dışına aktarılması başlıklı 9’uncu maddesi, ilgili Kişisel Verilerin Korunması Kanunu’na göre veri aktarım şartlarını belirtir. 6698 sayılı KVKK‘ya göre kişisel veri sahibi olan kişinin rızasını almaksızın veri aktarımının yapılması mümkün değildir.
Esas olarak kişisel verilerin aktarılması, veri sorumlusu ya da veri işleyen kişi tarafından ilgili dosyaların başka bir veri sorumlusuna/veri işleyene aktarılmasını ifade eder. Kişisel verilerin yurt dışına aktarılması ise Türkiye’deki kurum ya da kuruluşlarda bulunan kişisel verilerin yurt dışındaki ortamlara aktarılması olayıdır. Bu kapsamda yurt dışına aktarım, yurt dışındaki bir bulut platformuna ya da bir sunucuya veri aktarmak, 6698 sayılı kanun kapsamında değerlendirilir. Diğer bir deyişle yurt dışına aktarım, herhangi bir şirketin elinde bulunan kişisel verileri, Türkiye dışında bulunan kendi organlarına aktarması olarak da değerlendirilebilir.
Hangi Durumlarda Yurtdışına Veri Aktarımı Yapılır?
Veri sahibinden açık rıza alınmamış ise Kanun’da yer alan veri işleme koşullarından en az bir tanesinin mevcut olması ve ayrıca kişisel verilerin aktarılacağı ülkenin yeterli hukukî korumasının olduğu ülkelerden olması gerekir. Bunların dışında veri aktarımının da tarafları olan veri işleme sorumlularının, yeterli bir koruma olduğunu yazılı olarak taahhüt vermesi zorunludur. Son olarak kurulun da aktarıma izin vermesi gereklidir. Buradan da anlaşılacağı üzere, kişisel verilerin yurt dışına aktarılması sırasında sadece veri işleme şartlarının varlığı yeterli görülmeyip; ek olarak birtakım şartların da sağlanması gerekliliği ortaya çıkar.
Bu bilgiler ışığında örnek vermek gerekirse, X ülkesindeki sunucular üzerinde kişisel verileri depolamak isteyen bir şirket, veri sahiplerinden açık rıza almamışsa, hem veri sorumlusunun sözleşme şartlarını yerine getirmesi hem de Kişisel Verileri Koruma Kurulu’nun X ülkesinin yeterli korumanın bulunduğu ülkelerden biri olarak kabul etmesi gereklidir. Böylece eğer X ülkesi, kurul tarafından ilân edilen yeterli korumanın bulunduğu ülkeler listesinde yer almıyorsa; böyle bir durumda hem veriyi elde edecek olan gerçek/tüzel kişinin hem de veri aktarımını yapacak olan işletmenin yeterli korumayı yazılı olarak taahhüt etmesi gerekir. Son olarak ise kurul tarafından bu aktarıma izin verilmesi zorunludur.
Kişisel Veriler Yurtdışına Aktarılırken Nelere Dikkat Edilmelidir?
Kişisel verilerin yurtdışına aktarılması yapılırken açık rıza alınması ya da veri işleme şartlarına sahip olunması tek başına yeterli değildir. Bunların dışında veri işleme sorumlularının şu yükümlülükleri bulunur:
•Verileri işlemeye yönelik genel ilkelere uyma
• Aydınlatma yükümlülüğünü yerine getirme
• Silme, anonim hale getirme ya da yok etme yükümlülüğüne uyma.
Bunların yanı sıra kişisel verilerin aktarımı esnasında teknik olarak veri güvenliğine de dikkat edilmelidir. Bu kapsamda kişisel verilerin kötü niyetli kişiler ya da üçüncü şahısların eline geçmesini önlemeye yönelik gerekli tedbirlerin alınması gerekir. Öte yandan kişisel verilerin aktarıldığı kişi ya da kurumun da bu verilerin korunması hukukuna uygun şekilde hareket edeceğinden emin olunması istenir. Eğer gerekiyorsa ilgili kurum ya da kişi ile “Veri Aktarım Sözleşmesi” imzalanması gerekir. Bu sözleşme üzerinde şu hususların kararlaştırılması, tarafların sorumluluklarını belirlemek için yerinde olur:>
Kişisel verilerin hangi amaç doğrultusunda aktarılacağı
Kişisel veri konusu, kişi grubu ya da grupları, veri kategorilerinin belirlenmesi
Kişisel verilerin ne kadar süre boyunca depolanacağı/saklanacağı
Kişisel verileri işleme konusunda kimlerin yetkili olarak belirlendiği
Kişisel verilerin aktarıldığı kurumda, bu verilerin saklanması, güvenliğinin sağlanması ve işlenmesi konusunda kimlerin yetkili olduğu açıkça belirtilmelidir.
Kişisel verilerin güvenliğini sağlama konusunda alınacak tedbirlerin neler olduğu
Kişisel verilerin yurtdışına aktarılması hususunda güvenli ülkeler
• Türkiye’nin taraf olduğu uluslararası sözleşmeler,
• Türkiye ile kişisel verileri talep eden ülke arasında veri aktarıma konu olan karşılıklılık durumunun varlığı,
• Kişisel veri aktarımında somut olmak üzere, kişisel verilerin niteliği, işlenme amacı ve süresinin belirlenmesi,
• Kişisel verilerin aktarılacağı ülkenin bu konuda ilgili mevzuatı ile uygulamalarının değerlendirilmesi,
• Verilerin aktarılacağı ülkede yer alan veri işleme sorumlusu tarafından taahhüt altında belirtilen tedbirler.
Siz de şirketinize ait kişisel verilerin yurtdışına aktarımı konusunda profesyonel destek almak isterseniz Lundo Data’ya güvenebilirsiniz. Kişisel Verilerin Korunması Kanunu gereklilikleri ile risklerinizi lundodata.com üzerinden analiz edebilir, dilerseniz ücretsiz olarak ön analiz raporu talep edebilirsiniz. Elde ettiğiniz bilgileri Lundo Data’nın uzman ekibi ile değerlendirerek, izlemeniz gereken yol haritanızı çok daha güvenli hale getirebilirsiniz.