İçeriğe Atla Menüye Atla

Kişisel Verilerin Yurtdışına Aktarılması 08 Ağustos 2017

I. Kişisel Verilerin Aktarılması

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 8. maddesi uyarınca; ilgili kişinin açık rızası olmaksızın kişisel verilerin aktarılması mümkün değildir. Ancak Kanun koyucu aynı hükmün 2. fıkrasında, söz konusu duruma bazı istisnalar getirmiştir.

İlgili fıkra ile atıf yapılan Kanun’un 5. maddesinin 2. fıkrasına göre;

a) kanunlarda açıkça öngörülmesi,

b) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

d) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e) ilgili kişinin kendisi tarafından alenileştirilmiş olması,

f) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

g) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinde ilgili kişinin açık rızası alınmaksızın kişisel veriler aktarılabilecektir.

Ayrıca; Kanun’un 6. maddesinin 3. fıkrasında da sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği düzenleme altına alınmıştır. İlgili hükme göre; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

Hal bu olmakla birlikte Kanun’un 6/3. maddesinde atıf yapılan hallerde kişisel verilerin aktarılabilmesi yeterli önlemlerin alınması koşuluna bağlanmıştır.

II. Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılması hususu ise Kanun’un 9. maddesinde hüküm altına alınmıştır. Buna göre; kişisel veriler, veri sahibinin açık rızası alınmaksızın yurtdışına aktarılamaz. Yukarıda açıklanan Kanun’un 5. maddesinin 2. fıkrasındaki ve 6. maddesinin 3. fıkrasındaki hallerde kişisel verilerin yurtdışına aktarılabilmesi, 9. maddenin 2. fıkrasında belirtilmiştir. Hal bu olmakla birlikte; kişisel verilerin yurtdışına aktarılması ile ilgili olarak yukarıda belirtilen istisnalara ek olarak bazı koşullar öngörülmüştür.

Bu minvalde; söz konusu şartların varlığı halinde kişisel veri yurtdışına ancak kişisel verinin aktarılacağı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Yeterli korumanın bulunduğu ülkeler ise Kanun’un 9. maddesinin 3. fıkrasına göre; Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından ilan edilir. İşbu fıkradaki düzenlemeye karşın; yeterli korumanın bulunduğu ülkeler Kurul tarafından henüz ilan edilmediğinden, hangi ülkelerde bu tür bir korumanın sağlandığı konusunda bir yeknesaklık henüz bulunmamaktadır.