Makale
6698 sayılı KVKK kapsamında yurt dışına veri aktarım aracı olan standart sözleşmeler (SS), taraflara ciddi hukuki yükümlülükler yükler. Bu metin, Türk hukukunda SS'lerin yapısını, bildirim süreçlerini ve veri güvenliğine dair veri sorumlusu ile veri işleyenlerin üstlendiği idari ve teknik tedbirleri incelemektedir.
Türk Hukukunda Standart Sözleşmeler ve Hukuki Yükümlülükler
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde yapılan son değişikliklerle birlikte, yurt dışına kişisel veri aktarımında standart sözleşmeler (SS) dönemi başlamıştır. Bu mekanizma, taraflar arasında uzun müzakereler yapılmaksızın, Kişisel Verileri Koruma Kurulu tarafından önceden belirlenmiş ve değiştirilemez model sözleşmelerin imzalanması esasına dayanır. Standart sözleşmeler, yurt dışına çıkarılan kişisel verilerin, aktarıldıkları yabancı ülkede de Türkiye'deki standartlara eşdeğer bir korumadan faydalanmasını güvence altına almayı hedefler. Sözleşmenin imzalanmasıyla beraber veri alıcısı konumundaki yabancı taraf, KVKK kapsamındaki hukuki korumayı sağlayacağını taahhüt etmektedir. Türk hukukunda bu yöntem, kurul onayına tabi olmaması ve pratikliği sebebiyle kısa sürede en çok tercih edilen yurt dışı aktarım mekanizması haline gelmiştir. Tarafların bu süreçte üstlendiği hukuki ve operasyonel yükümlülüklerin eksiksiz yerine getirilmesi, veri güvenliği ihlallerinin önlenmesi ve ağır idari yaptırımlarla karşılaşılmaması adına hayati önem taşımaktadır.
Standart Sözleşmelerin Tarafları ve Bildirim Yükümlülüğü
Türk hukukunda standart sözleşmelerin tarafları, kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen ile bu verileri yurt dışında devralan veri alıcısı konumundaki gerçek veya tüzel kişilerdir. Kurul tarafından yayınlanan dört farklı modül, tarafların hukuki statüsüne göre farklılık gösteren spesifik sorumluluk rejimleri öngörmektedir. En kritik yükümlülüklerden biri, taraflarca imzalanan standart sözleşmelerin en geç beş iş günü içerisinde fiziki veya kayıtlı elektronik posta (KEP) gibi yöntemlerle Kuruma bildirilmesi zorunluluğudur. Kurulun açık onayı gerekmese de, bu bildirim yükümlülüğüne uyulmaması sözleşmeyi ve dolayısıyla veri aktarımını hukuka aykırı hale getirecektir. Bildirim yükümlülüğünün kimin tarafından yerine getirileceği taraflarca sözleşmede serbestçe belirlenebilir; ancak özel bir belirleme yapılmadığı takdirde bu sorumluluk doğrudan veri aktarana aittir.
Veri Sorumlusunun Aydınlatma ve Sicile Kayıt Yükümlülükleri
Yurt dışına veri aktarımı süreci, özünde bir kişisel veri işleme faaliyetidir. Bu sebeple veri sorumlusu, şeffaflık ve dürüstlük kuralları gereğince aydınlatma yükümlülüğünü tam ve eksiksiz olarak yerine getirmek zorundadır. İlgili kişilere, verilerin kim tarafından, hangi amaçlarla yurt dışına aktarıldığı ve KVKK kapsamındaki haklarının neler olduğu açık, sade ve anlaşılır bir dille bildirilmelidir. Ayrıca, veri aktaran veri sorumlusunun Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü bulunuyorsa, standart sözleşme eklerinde sağlanan bilgilerin VERBİS üzerindeki kayıtlarla birebir uyumlu olması şarttır. Bu durum, Kurulun yapacağı muhtemel denetimlerde çapraz kontrollerin temelini oluşturur. Aydınlatma metinlerinde kullanılacak ifadelerin muğlaklıktan uzak olması ve standart sözleşmeye dayalı aktarım mekanizmasının veri sahibine doğru şekilde aktarılması, hukuki uyuşmazlıkların önlenmesinde avukatlar ve uyum profesyonelleri için öncelikli bir risk yönetimi adımıdır.
Veri Güvenliğini Sağlamaya Yönelik Müşterek Sorumluluk ve İhlal Bildirimi
Kanun, kişisel verilerin yetkisiz erişime maruz kalmasını önlemek amacıyla alınacak idari ve teknik tedbirler konusunda veri sorumlusu ile veri işleyeni müştereken sorumlu tutmuştur. Bu kapsamda, çalışanların eğitilmesi, veri minimizasyonu, erişim loglarının tutulması ve kriptografik şifreleme gibi yöntemlerin titizlikle uygulanması gerekmektedir. Özel nitelikli kişisel verilerin aktarılmasında ise Kurulun belirlediği ekstra güvenlik protokollerinin sağlanması elzemdir. İşlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişilerin eline geçmesi, yani bir veri ihlali yaşanması durumunda, veri sorumlusu bu durumu en geç yetmiş iki saat içinde Kurula ve etkilenen ilgili kişilere bildirmekle mükelleftir. Bu katı süreçlerin ihlali durumunda şirketler, KVKK ve sözleşme hukuku kapsamında ağır yaptırımlarla karşı karşıya kalabilmektedir.
İlgili Kişinin Hakları ve Yasal Süreçler
Standart sözleşmeler bağlamında kişisel verileri yurt dışına aktarılan ilgili kişilerin temel haklarını kullanabilmeleri için veri sorumluları net prosedürler oluşturmalıdır. Sözleşmenin Üçüncü Taraf Yararlanıcı Hakları maddesi gereğince, ilgili kişiler veri aktaran veya veri alıcısına karşı haklarını ileri sürebilme imkanına sahiptir. Veri sorumlusuna yöneltilen başvuruların en geç otuz gün içinde ve kural olarak ücretsiz sonuçlandırılması yasal bir zorunluluktur. İlgili kişilerin standart sözleşmelerden doğan ve KVKK ile güvence altına alınan başlıca hakları şunlardır:
- Kişisel verilerin yurt dışında aktarıldığı üçüncü kişileri bilme ve veri işlemeye dair detaylı bilgi talep etme,
- Eksik veya yanlış işlenen verilerin düzeltilmesini, ayrıca yasal şartlar oluştuğunda silinmesini isteme,
- Özellikle otomatik sistemler aracılığıyla yapılan analizler sonucunda aleyhe ortaya çıkan kararlara itiraz etme,
- Hukuka aykırı aktarım ve işleme faaliyetleri sebebiyle uğranılan zararların giderilmesini talep etme.