Verilerin daha güvenli aktarımı için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kanunu denetlemek için de Kişisel Verileri Koruma Kurulu (“Kurul”) oluşturulmuştur. KVKK ile yakından ilgilenen, hakkında farkındalığı bulunan kurum ve kuruluşlar ve özellikle uygulayıcılar bakımından yurt dışına veri aktarımı sıkıntılı bir süreçtir. Zira kanun içerisinde birçok belirsizlik bulundurur. Esasında konu ile ilgili uluslararası düzenlemeler ve çeşitli yurt dışına veri aktarım yöntemleri bulunuyor. Fakat Kurul veri aktarımı için tek yöntemin açık rıza olduğunu ortaya koymuştur. Veri aktarım taahhütnamesi sunmuş ve onay bekleyen bir kurum ve kuruluşun, süreç askıdayken diğer yurt dışı aktarım yöntemleri ile süreci hukuka uygun hale getirmiş olmasının beklendiği ve taahhütname sunulmasının idari yaptırımı hafifletici bir unsur olamayacağı görülmüştür. Kurul’un taahhütnamenin onay sürecinde olması nedeniyle, süreci hukuka uygun hale getirebilmesi gerekir. Bunun için veri sorumlusuna belirli bir süre vererek talimatlandırma seçeneğini tercih etmediği anlaşılmaktadır.
Yurt Dışına Veri Aktarımı Sırasında Açık Rıza Alınmalı Mıdır?
Yurt dışına veri aktarımının belli şekilleri vardır. Bunlar göz önüne alındığında işlevsel olarak ilgili kişinin açık rızasını almak ne kadar mümkündür?
Bu soruyu yanıtlayabilmek için, yurt dışına veri aktarımı hangi şekillerde gerçekleşmektedir, sorusunu düşünmek gerekir. İlk olarak, ana merkezi yurt dışında olan ve Türkiye’de ayağı bulunan uluslararası bir şirket düşünelim. Türkiye’de bulunan merkez tarafından ana merkeze kişisel veri aktarımı gerçekleştirebilir. Genellikle, yönetim ve karar alma mekanizmalarının ana merkezde bulunur. Bu nedenle Türkiye’deki merkez tarafından içeriğinde kişisel veri bulunan iş süreçlerinde raporlamalıdır. İkinci olarak en sık karşılaştığımız, kurumsal e-posta hizmet sunucuları yurt dışı tabanlı bir hizmet kullanımıdır. Nitekim, hem küçük veya orta ölçekli işletmeler hem de büyük ölçekli kurumlar bakımından özellikle hizmet kalitesi ve veri güvenliği gerekçeleri ile bahse konu hizmetlerin tercih edilmesi söz konusudur.
KVKK’ya uyum projesini gerçekleştirmiş veya gerçekleştiren bir işletmenin yurt dışına veri aktarımı sırasında dikkatli olmalıdır. Örneğin yurt dışına veri aktarımı niteliğinde kabul edilebilecek araçları belirlemesi veya belirlenmiş ise gözden geçirmesi gerekir. İlgili araçlar ile kişisel verisi aktarılan ilgili kişiler, aktarım amaçlarının tespiti ve veri kategorileri gereklidir. Yapılan inceleme ve tespitlerden sonra, aydınlatma metinlerinin yurt dışına veri aktarımına uygun olarak yenilenmelidir. Bu metinlere referans verecek şekilde ayrı açık rıza metinleri ile sürecin kurgulanması söz konusu olmalıdır. Gerekli görülen durumlarda, mevcut olan aydınlatma metinleri kullanılmayabilir. Bunun yerine sadece yurt dışı veri aktarımına özgü aydınlatma ve açık rıza metniyle süreç yürütülebilir. Ancak, genel anlamda yurt dışı aktarımı, ilgili iş sürecinin bir parçasıdır. Bu yüzden mevcut metinlerin yenilenmesi ile ilerleyebilmek de mümkündür. Bu noktada, açık rızanın kurgusu kilit nokta olacağından dikkatli hazırlanmalıdır.
Açık Rıza Nasıl Olmalı
Kurul’un rehberlerine bakıldığında, açık rızanın taşıması gerektiği unsurlar; rızanın belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayalı olması ve özgür irade ile açıklanması olarak görülmektedir.
Genellikle aydınlatma metinlerinde birden fazla hukuki sebebin bir arada bulunur. Bu nedenle metin üzerinde açık rızanın unsurlarını sorun çıkarmayacak şekilde ifadeler kullanılmalıdır. Ayrıca ilgili kişinin ayırt edebileceği bir bilgilendirme formatı tercih edilmelidir. Yine açık rıza metninde de kullanılan ifadenin ilgili aydınlatmaya uygun olmalıdır. İlgili işlemi aşar nitelikte genel olmalıdır. Özellikle açık rızanın ilgili kişinin “olumlu irade beyanı” ile alındığının ispat edilebilir olması gerekmektedir.
Her ne kadar açık rıza yurt dışı aktarımında tek geçerli yöntem olarak “açık rıza beyanı” belirtilmiş olsa da uygulanabilir bir geçerli yöntem olduğu şaibelidir. Teorik olarak yukarıda belirtilen hususlara dikkat edilerek açık rıza almak çözüm gibi görülür. Fakat pratikte açık rıza her duruma uygun bir yöntem değildir.
Yurt dışı aktarımına ilişkin araçlar ve sürecin gerektirdiği ilgili tüm tespitin yapılmış olmalı. İlgili kişi grubundan kişisel veri aktarımı öncesi teknik anlamda açık rızanın unsurlarını sakatlamfarklı bir araç ile açık rıza alınması kurum olarak pek uygulanabilir görünmemektedir. Üstelik açık rızanın mümkün olduğu durumlar yaratılsa bile, “açık rızanın hiçbir gerekçe göstermeden geri alınabilir” niteliğinin bulunması, organizasyonlar bakımından ilgili iş sürecini aksatabilecektir. Bu durumda, alternatif yollar uygulanabilir olana kadar, aksiyon planı oluşturulmalıdır. Plan, mümkün olan en kısa sürede organizasyonlar tarafından söz konusu ticari riskin nasıl yönetileceğini içermeli.
Kurum sayfasını incelemek için buraya, KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
