Kişisel Verilerin Yurtdışına Aktarımına Dair Kanuni Düzenleme
Kişisel Verilerin Korunması Kanunu’nun ( “KVKK”) 9. Maddesi kişisel verilerin yurt dışına aktarılması hususunu düzenlemektedir. Buna göre KVKK’nın 9. Maddesi ile getirilen ana kural, yurtdışına veri aktarımı için veri sahibinin açık rızasının alınmasıdır. Ana kural bu olmakla birlikte kanun koyucu maddenin ikinci fıkrası ile bu kuralın istisnalarını hüküm altına almıştır. İstisna düzenlemeleri iki başlık altında ele alacak olursak:
a) Aktarılacak veri özel nitelikli kişisel veri değilse;
Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
kaydıyla veri sahibinin açık rızası bulunmasa dahi yurtdışına aktarılabilir.
b) Aktarılacak veri özel nitelikli kişisel veri ise;
Özel nitelikli kişisel veriler, aktarımın yapılacağı ülkede yeterli koruma mevcut ise, açık rıza yoksa bile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve genetik verileri işlenmesine dair kanunlarda düzenleme olması halinde yeterli korumanın bulunduğu ülkeye aktarılabilecektir.
Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli korumanın bulunduğu ülkedeki sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurum ve kuruluşlara aktarılabilecektir.
Bunlarla birlikte, bir ülkenin yeterli korumaya sahip ülkeler listesinde olmaması durumunda dahi yukarıda belirtilen şartlardan birinin gerçekleşmesi halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması üzerine o ülkeye veri aktarımında bulunulabilecektir.
Yeterli Korumanın Bulunduğu – Güvenli- Ülkeler - Hangileridir?
KVKK’nın 9. maddesinde Kurul tarafından veri aktarımının yapılacağı güvenli ülkelerin ilan edileceği belirtilmiş ancak halihazırda bu ülkeler açıklanmamıştır.
Kurul Tarafından Yayınlanan Model (Örnek) Taahhütnameler
Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde KVKK madde 9/2 (b) kapsamında kişisel verilerin yurtdışına aktarılması halinde veri sorumlusu tarafından hazırlanması gereken taahhütnamede yer alacak asgari unsurlar belirlenerek internet sitesinde yayınlanmıştır.
Buna göre, veri aktarımının yapılacağı ülkede yeterli bir korumanın bulunmaması durumunda; hem bir veri sorumlusundan diğer bir veri sorumlusuna aktarım, hem de bir veri sorumlusundan bir veri işleyene aktarım için iki farklı taahhütname örneği yayımlanmış olup ilgili taahhütnamelere kurumun internet sitesinden ulaşabilirsiniz. Bu örneklerde gerek veri işleyenin gerekse veri sorumlusunun asgari yükümlülükleri belirlenmiştir.
Cezai Yaptırımlar
Türk Ceza Kanunu’nun 135. Maddesi uyarınca kişisel verileri hukuka aykırı olarak kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Bununla birlikte, 136. maddeye göre kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi de iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Bahsi geçen suçların;
verilecek ceza yarı oranında artırılır.
İdari para cezaları yönünden ise, KVKK’da doğrudan kişisel verilerin yurtdışına aktarılması ile ilgili bir ceza yer almasa da, KVKK’nın 12. maddesi ile veri sorumlusunun veri güvenliğine ilişkin tedbirleri yerine getirmemesi halinde 15.000.- Türk Lirası’ndan 1.000.000.- Türk Lirası’na kadar idari para cezası söz konusu olduğunu belirtmek isteriz.