Makale
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin işlenmesi ve yurtdışına aktarılması katı kurallara bağlanmıştır. Özellikle açık rıza, istisnai durumlar ve güvenli ülke kriterleri, veri sorumluları için hukuki riskler barındırır. Bu makale, veri aktarım süreçlerindeki yasal sınırları detaylandırmaktadır.
KVKK Kapsamında Veri İşleme ve Yurtdışına Aktarım Şartları
Bilişim çağında bilgi ve iletişim teknolojilerinin yaygınlaşması, kişisel verilerin sınırları aşarak küresel çapta dolaşıma girmesine yol açmıştır. İşletmelerin büyüme hedefleri ve bulut bilişim gibi ekonomik çözümler, veri işleme süreçlerini hızla uluslararası boyuta taşımaktadır. Ancak bu durum, kişisel veri ihlalleri ve mahremiyet risklerini beraberinde getirdiği için 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri işleme ve özellikle yurtdışına veri aktarımı konularında son derece sıkı düzenlemeler öngörmüştür. Kanun, bireyin verisi üzerindeki münhasır hakkını korumak amacıyla, kural olarak veri işleme faaliyetlerini açık rıza şartına bağlamış, açık rızanın alınmadığı durumlar için ise sınırları belirli yasal istisnalar çizmiştir. Bu bağlamda, veri sorumlularının ulusal ve uluslararası operasyonlarında hukuki uyumluluk sağlamaları, olası zararlardan kaçınmaları adına veri aktarımı süreçlerini kanunun belirlediği yasal çerçeve içerisinde yürütmeleri hayati önem taşımaktadır.
Kişisel Verilerin İşlenme Şartları ve Açık Rıza
Kanun uyarınca, kişisel verilerin işlenmesinde temel kural ilgili kişinin açık rızasının alınmasıdır. Literatürde "opt-in" olarak da bilinen bu yaklaşım, veri işlemeye başlamadan önce bireyin özgür iradesiyle onay vermesini gerektirir. Hukuken geçerli bir açık rıza beyanının anlaşılır, sade bir dille yazılmış olması ve belirli bir konuya ilişkin, bilgilendirmeye dayanan özgür iradeyle verilmiş olması şarttır. Uzun ve karmaşık sözleşme metinleri arasına gizlenmiş rıza beyanları hukuka aykırılık teşkil eder. Bununla birlikte kanun, bazı durumlarda açık rıza aranmaksızın veri işlenmesine olanak tanıyan istisnai haller de öngörmüştür. Örneğin, bir hizmet sözleşmesinin ifası için tarafların verilerinin işlenmesinin zorunlu olması veya Sosyal Güvenlik Kurumu gibi resmi kurumlara yasal bildirimlerin yapılması bu kapsamdadır. Ayrıca, kişinin kendi verisini alenileştirmesi de bir istisna olmakla birlikte, alenileştirme amacı dışındaki kullanımlar, örneğin salt pazarlama amaçlı işlemler, hukuka aykırı kabul edilmektedir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek bilgiler özel nitelikli kişisel veri olarak tanımlanmıştır. Biyometrik veriler, genetik veriler ve sağlık bilgileri bu gruba girmektedir. Hukuki açıdan bu verilerin işlenmesi kural olarak mutlak surette açık rıza gerektirir. Günümüzde özel hastaneler, spor salonları veya işyerlerinde kimlik doğrulama amacıyla avuç içi izi veya parmak izi okutulması gibi biyometrik doğrulama sistemleri sıklıkla kullanılmaktadır. Ancak biyometrik ve genetik verilerin kopyalanması veya çalınması durumunda, bu bilgilerin değiştirilemez yapısı nedeniyle veri sahibi açısından ömür boyu sürecek geri dönülemez zararlar doğabilir. Bu sebeple, hizmet sunumu için kesin zorunluluk olmadığı sürece biyometrik verilerin kimlik doğrulama aracı olarak dayatılması hukuka aykırıdır ve veri sahiplerine mutlaka alternatif kimlik doğrulama yöntemleri sunulmalıdır.
Yurtiçinde ve Yurtdışına Kişisel Veri Aktarımı
Kişisel verilerin üçüncü kişilere aktarımı, veri işlemenin en kritik aşamalarından biridir. Yurtiçindeki aktarımlarda yeterli yasal önlemlerin alınması kaydıyla belirli kurallar çerçevesinde veri paylaşımı yapılabilirken, verilerin sınır ötesine taşınması çok daha katı prosedürlere tabidir. İnternet altyapısının küresel doğası ve küresel bulut bilişim servislerinin yaygınlığı, çoğu zaman firmaları maliyet avantajı sağlayan yurtdışı lokasyonlu sunucuları kullanmaya itmektedir. Ancak kanun gereğince, yurtdışına veri aktarımı kural olarak açık rızaya tabidir. Akıllı telefon uygulamaları, küresel uygulama marketleri veya yurtdışı merkezli e-posta sağlayıcıları üzerinden işlenen veriler doğrudan sınır ötesine aktarıldığından, veri sorumluları bu durumlarda özel bir aydınlatma süreci yürütmek ve yasal izinleri almak yükümlülüğü altındadır.
Yeterli Korumaya Sahip Ülkeler ve Aktarım Riskleri
Kurul tarafından ilan edilecek yeterli korumaya sahip güvenli ülkelere yapılacak aktarımlarda açık rıza istisnaları uygulanabilmektedir. Ancak hedef ülkenin güvenli ülkeler listesinde bulunmaması durumunda, Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve yetkili Kuruldan izin almaları kanuni bir zorunluluktur. Kişisel verilerin sınır ötesine taşınması, veri sahibi ve kurumsal yapılar açısından aşağıda belirtilen ciddi hukuki riskleri beraberinde getirir:
- Bireyin verisi üzerindeki münhasır haklarının zayıflaması ve yasal kontrollerin kaybedilmesi.
- Aktarım yapılan yabancı ülkenin kendi iç mevzuatına ve istihbarat uygulamalarına tabi olunması.
- Hedef ülkeyle yaşanabilecek siyasi krizler veya ambargo kararları neticesinde verilere erişimin tamamen engellenmesi.
- Biyometrik ve genetik gibi özel nitelikli kişisel verilerin uluslararası şirketlerin ticari analizlerinde izinsiz kullanılması.
Bu yasal ve yapısal riskleri asgariye indirmek adına, aktarım sırasında internet altyapısındaki zafiyetlere karşı verilerin güçlü algoritmalarla kriptolanması (şifrelenmesi) temel bir gerekliliktir.