Ali Gül
Hukuk Bürosu

Kişisel Verilerin Yurt Dışına Aktarılması – Uluslararası Sözleşmeler Kapsamında Bir Değerlendirme

Kişisel verilerin yurt dışına aktarılması, son dönemde sıklıkla tartışılıyor. Bu konudaki tartışmaların Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yönlendirmelerinin ötesine ulaşabilmesi için konuyu uluslararası sözleşmeler bağlamında değerlendirmenin önemli olacağını düşünüyoruz.

Mevcut Durum

Kişisel verilerin yurt dışına aktarılması konusunda Kanun’da üç yol bulunmaktadır.

  • İlgili Kişinin Açık Rızasının Bulunması

Kanun’un 9.maddesinde düzenlenen yurt dışına aktarım konusunda veri sahibi ilgili kişinin açık rızası bulunuyorsa, kişisel veriler yurt dışına aktarılabilecektir.

  • Yeterli Korumanın Bulunması

Kanun’un 5. ve 6. maddelerinde belirtilen istisnaların varlığı halinde eğer verilerin aktarılacağı ülkede yeterli koruma bulunuyorsa, bu durumda kişisel veriler yurt dışına açık rızaya ihtiyaç duyulmaksızın aktarılabilecektir.

  • Yeterli Korumanın Bulunmaması

İstisnaların varlığı halinde eğer verilerin aktarılacağı ülkede yeterli koruma bulunmuyorsa, bu durumda  veri sorumlusunun taahhüdü ve Kurul’un izni ile kişisel veriler yurt dışına açık rızaya ihtiyaç duyulmaksızın aktarılabilecektir.

Yeterli korumanın bulunduğu ülkeler, Kanun’un 9/3 maddesi uyarınca Kurul tarafından belirlenecek ve ilan edilecektir. Kurul’un bir ülkede yeterli koruma bulunup bulunmadığına ya da veri sorumlusunun başvurusuna izin verip vermeyeceğine ilişkin değerlendirmesi ise 9/4 maddesinde belirtilen ilkeler çerçevesinde yapılacaktır.

Kurul yeterli korumanın bulunduğu ülkeleri henüz ilan etmemiştir. Bu nedenle mevcut durumda yeterli korumanın bulunduğu bir ülke olmadığı, eğer istisna hükümlerine dayanılarak yurt dışına veri aktarımı yapılacaksa Kurul’un izninin alınması gerektiği görüşü son dönemde ağırlık kazanmıştır.

Diğer Kanun Hükümleri

Kişisel verilerin yurt dışına aktarılması konusu mevzuatımızda yalnızca Kişisel Verilerin Korunması Kanunu tarafından düzenlenmemektedir. Zaten Kanun’un verilerin yurt dışına aktarılmasını düzenleyen 9.maddesinin son fıkrası “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır” ifadesine yer vermektedir. Bu fıkranın gerekçesi şu şekildedir;

Maddenin beşinci fıkrasında, kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun, uluslararası bilgi değişimi konusunda Malî Suçları Araştırma Kurulu Başkanına yetki veren 12 nci ve 19 uncu maddeleri öncelikli olarak uygulanacaktır

Gerekçede Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un öncelikli olarak uygulanacağı ifade edilse de, hükümleri saklı kalan tek kanunun bu olmadığı açıktır.

Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (“108 Sayılı Sözleşme”), 18 Şubat 2016 tarihli Resmi Gazete’de yayınlanan kanun ile uygun bulunmuş ve 17 Mart 2016 tarihli Resmi Gazete’de yayınlanan bakanlar kurulu kararnamesi ile iç hukukumuzda bağlayıcı hale gelmiştir.

Türkiye Cumhuriyeti Devleti, 108 Sayılı Sözleşme’nin tarafıdır. Anayasa’nın 90.maddesinin 4.fıkrası uyarınca usulüne göre yürürlüğe konulmuş milletlerarası anlaşmalar, kanun hükmündedir. Yine bu fıkraya göre usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası anlaşmalarla kanunların aynı konuda farklı hükümler içermesi halinde, milletlerarası anlaşma hükümleri esas alınacaktır.

Şu halde 108 Sayılı Sözleşme’nin hükümleri Anayasa uyarınca kanun hükmündedir ve bu hükümlerle başka bir kanun hükmünün çelişmesi halinde, bu hükümler geçerli olacaktır. 

108 Sayılı Sözleşme

108 Sayılı Sözleşme, kişisel verilerin korunması konusunda uluslararası bağlayıcılığı olan ilk sözleşmedir. Yakın zamanda bu sözleşmenin modernize edilmesiyle oluşturulan ve 108+ Sözleşmesi olarak isimlendirilen yeni bir sözleşme de imzaya açılmıştır. 1981 yılında imzaya açılan 108 Sayılı Sözleşme’nin amacı verilerin korunmasına ilişkin temel ilkeleri belirlemek ve sınır ötesi veri akışlarını düzenlemektir. 108 Sayılı Sözleşme’nin 12.maddesi verilerin sınır ötesi akışını, yani verilerin yurt dışına aktarılması hususunu düzenlemektedir. 12.maddenin 2.fıkrası aşağıdaki şekildedir;

“Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsadeye tabi tutamaz.”

Sözleşmenin tarafları arasında veri aktarımına ilişkin bir yasak veya özel izin öngörülmesini engelleyen bu fıkranın devamında, bu konudaki iki istisna belirtilmiştir. Buna göre 12.maddenin 3.fıkrası şu şekildedir;

“Bununla birlikte her bir Taraf, 2.fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir:

  1. Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;
  2. Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla”

Yukarıda zikredilen iki fıkra bir kanun hükmü niteliğindedir. Buna göre 108 Sayılı Sözleşme’nin tarafı olan ülkeler iki istisna hali  dışında veri aktarımını yasaklayamayacak veya özel bir izne tabi tutamayacaktır.

Söz konusu iki istisna halinden ilki bir tarafın kendi mevzuatında özel düzenlemeler varken, diğer tarafın mevzuatındaki düzenlemelerin eşdeğer bir koruma içermemesi halidir. Diğer istisna ise bir tarafın mevzuatındaki boşluklardan yararlanılarak verilerin taraf olan bir ülkeden taraf olmayan bir ülkeye aktarılmasının engellenmesi halidir.

Bu doğrultuda Türkiye Cumhuriyeti Devleti, bu sözleşmenin tarafı olan devletlere veri aktarımını eğer kendi mevzuatındaki özel düzenlemeler bu devletlerin mevzuatında eşdeğer koruma düzeyinde bulunuyorsa, yasaklayamaz veya özel bir izne tabi tutamaz.

Dolayısıyla 108 Sayılı Sözleşme’nin tarafı olan devletlerden herhangi birine veri aktarımı yasaklanacak veya özel bir izne tabi tutulacaksa, bu ülkede bizim mevzuatımız açısından yeterli korumanın “bulunmadığının” tespiti gerekir.  Yani bu ülkelerde yeterli korumanın “bulunduğunun” Kurul tarafından ilan edilmesine gerek yoktur. Eğer Kurul tarafından özel bir izin talep edilecekse, yeterli korumanın “bulunmadığının” tespit edilmesi gerekmektedir.

Bu anlamda yukarıda zikredilen yeterli koruma bulunan ülkelerin ilan edilmediği ve dolayısıyla böyle bir ülkenin mevcut olmadığı, bu sebeple yurt dışına veri aktarımı yapılacaksa Kurul’dan izin alınması gerektiği görüşü, 108 Sayılı Sözleşme’nin tarafı olan ülkeler açısından geçersiz olacaktır. Zira usulüne göre yürürlüğe konulmuş milletlerarası anlaşma hükmü, Kişisel Verilerin Korunması Kanunu hükümlerinden önce değerlendirilecek ve arada bir çelişki bulunuyorsa milletlerarası anlaşmadaki hüküm geçerli olacaktır.

Yani 108 Sayılı Sözleşme’nin tarafı olan Avrupa Birliği üyesi devletlere veri aktarımı yapılırken, Kurul’dan bir izin alınmasına gerek bulunmamaktadır. Kurul, iki istisna hali haricinde bu ülkelere veri aktarımını yasaklayamayacak veya bir izne tabi tutamayacaktır. Bu iki istisna halinden veri aktarımının yapılacağı ülkede eşdeğer korumanın bulunmaması durumu, Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) kapsamında bulunan Avrupa Birliği üyesi devletler açısından söz konusu olamayacaktır. Zira ülkemizin Kişisel Verilerin Korunması Kanunu’nu Avrupa Birliği’nden bazı değişikliklerle iktisap ettiği ve bu konudaki hedefin GDPR standartlarına yaklaşmak olduğu izahtan varestedir.

Sonuç

  • Kişisel verilerin yurt dışına transferi yalnızca Kişisel Verilerin Korunması Kanunu tarafından düzenlenen bir konu değildir.
  • Türkiye’nin taraf olduğu ve usulüne uygun bir şekilde yürürlüğe koyarak iç hukukuna dahil ettiği 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve bu sözleşmedeki düzenlemeler kanun hükmündedir.
  • Türkiye, 108 Sayılı Sözleşme’nin tarafı olan ülkelere veri aktarımını yasaklayamaz ya da özel bir izne tabi tutamaz. Bu konuda iki istisna hali vardır. Birincisi veriyi aktaran ülkenin mevzuatındaki özel düzenlemelere eşdeğer bir koruma düzeyinin veri aktarımının yapılacağı ülkede bulunmaması, ikincisi de verinin aktarılacağı ülkeden sözleşmeye taraf olmayan bir ülkeye verinin aktarılacak olması halidir.
  • 108 Sayılı Sözleşme’nin tarafı olan Avrupa Birliği üyesi devletler için bu iki istisna hali söz konusu değildir. Türkiye, Avrupa Birliği üyesi devletlere veri aktarımını yasaklayamaz ya da bunu özel bir izne tabi tutamaz.
  • 108 Sayılı Sözleşme uyarınca sözleşmenin tarafı olan tüm Avrupa Birliği ülkeleri “güvenli ülke” olarak kabul edilmektedir. Bu ülkelere veri aktarımının yasaklanması veya özel bir izne tabi tutulabilmesi için, Kişisel Verileri Koruma Kurulu bu ülkeler hakkında “güvenli olmayan ülke” tespitini yapmalıdır. Aksi durumda bu ülkelerin güvenli ülke olarak kabul edilmesi gerekmektedir.