6698 sayılı Kişisel Verilerin Korunması Kanunu, yurt içine ve yurtdışına veri aktarımı için benzer şartları aramaktadır. Bunun yanı sıra kişisel verilerin yurt dışına aktarımı esnasında ek tedbirlerin alınmasını öngörülmüştür. Bununla ilgili olarak da Kişisel Verilerin Korunması Kanunu’nun 9. maddesi, kişisel verilerin yurt dışına aktarımını düzenlemektedir. Kanunun 9. maddesine göre kişisel verinin yurt dışına aktarılabilmesi için aşağıdaki durumlardan birini sağlanması gerekmektedir:
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumaya sahip ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5. maddesinin 2. fıkrası veya 6. maddesinin 3. fıkrasında belirtilen işleme şartlarının mevcut olması,
- Yeterli korumaya sahip olmayan ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5. maddesinin 2. fıkrası veya 6. maddesinin 3. fıkrasında belirtilen işleme şartlarının mevcut olması ve Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
1- İlgili Kişinin Açık Rızasının Bulunması
Veri sahibinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. Bunun yanında açık rıza alınması en pratik yöntem gibi görünse de açık rıza bütün sorunları çözmemektedir. Bir kurumun yurt dışına kişisel veri aktardığı süreçlerde, verisi yurt dışına aktarılan bütün veri sahiplerine ulaşıp onaylarını alabilmek pratikte çok da mümkün olmamaktadır. Bunun yanı sıra kurumların yurt dışına veri aktarımı esnasında veri sahiplerinin açık rıza vermemeleri veya açık rıza veren veri sahiplerinin ilerleyen zamanlarda verdikleri rızayı geri çekmeleri veri aktarım sürecini sıkıntıya sokacaktır.
2- Yeterli Korumanın Bulunması Halinde
Kişisel veriler, Kurul tarafından belirlenmiş yeterli korumaya sahip ülkelerden birine aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Aktarılacak veri özel nitelikli kişisel veri ise 6698 sayılı Kişisel Verilerin Korunması Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birini sağlamalıdır. Bu şartlar şunlardır,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde,
yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Öte yandan şayet aktarılacak veri özel nitelikli kişisel veri değil ise 6698 sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında belirtilen şartlardan birini sağlamalıdır. Bu şartlar şunlardır;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Yurtdışına Veri Aktarımı
3- Yeterli Korumanın Bulunmaması Halinde
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin yurt dışına aktarılması için aktarılacak ülkede yeterli koruma bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’dan izin alınarak kişisel verilerin veri sahiplerinden açık rıza gerekmeksizin aktarılabileceği şeklinde bir düzenleme yapmıştır. Bu veri aktarımında aktarılacak veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5. maddesinin 2. fıkrasında, özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birini sağlamalıdır.
