Kişisel Verilerin Korunması Kurumu (KVK Kurumu) tarafından Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara ilişkin duyuru yapılmıştır.
1. KVK Kurumunca, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi uyarınca yapılacak yurt dışına veri aktarımı izin başvurularında, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgelerin de eklenmesi gerekmektedir. Bu kapsamda, tüzel kişiler tarafından yapılacak başvuruların, ilgili veri sorumlusunu bu konuda temsil ve ilzama yetkili kişiler tarafından yapılması ile başvuruya bu hususu tevsik edici belgelerin eklenmesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.
2. Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafı bulunmalıdır.
3. İmzacıların yetkisini göstermesi bakımından, Taahhütname ekine Türkiye’de mukim şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde mukim veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği eklenmelidir. Anılan Sözleşmeye taraf ülkelerin resmi makamlarınca hazırlanmış her belgede apostil şerhi bulunmalı, Sözleşmeye taraf olmayan ülkeler bakımından ise, belgelerin Türkiye’de hukuken geçerli olmasına ilişkin süreç işletilmelidir.
4. Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.
5. Taahhütname hazırlanırken, KVK Kurumunca resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan (Veri Sorumlusundan Veri Sorumlusuna Aktarım, Veri Sorumlusundan Veri İşleyene Aktarım) hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır. Örneğin “Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirecektir.” gibi.
1. Aktarımın tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve alıcı tarafın niteliğine göre KVK Kurumu resmi internet sitesinde yayımlanan Taahhütname örneklerinden uygun olan kullanılmalıdır.
2. Kanunun 3 üncü maddesinin birinci fıkrasının (ı) bendi uyarınca veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu çerçevede, kişisel verilerin işlenmesine ilişkin kararları alma, işleme faaliyetinin amacı, bu faaliyetin ne zaman başlayacağı kimler tarafından gerçekleştirileceği ve benzeri hususlarda karar verme yetkisi veri sorumlusuna aittir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu, veri işleme faaliyetinin temel araçlarını ve amaçlarını; veri işlemenin “neden” ve “nasıl” olacağını belirlemektedir. Diğer bir deyişle, teknik ve organizasyona ait araçların belirlenmesi, veriye kimin erişeceği, hangi verilerin işleneceği, bu verilerin ne kadar süre tutulacağı, ne şekilde saklanacağı gibi veri işlemeye ilişkin temel unsurlar veri sorumlusu tarafından belirlenmektedir. Bununla birlikte veri sorumlusu, kişisel verilerin korunmasına yönelik mevzuata uyumla ilgili tedbirlerin alınmasından, veri işleyeni denetimden ve ilgili kişilerin haklarını kullanabilmesini sağlamaktan sorumludur. Veri sorumlusunun özerk ve bağımsız olması da önem arz etmektedir. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.
Veri işleyen ise, Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar kapsamında ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.
Yukarıda yer alan açıklamalar ışığında, veri sorumlusundan veri işleyene aktarımlarda, veri sorumlusunun ve veri işleyenin gerçekleştirmekte olduğu hizmetler ile veri aktarımına ilişkin faaliyetlerinin, net bir şekilde anlaşılabilmesini teminen anlaşılır detayda açıklama yapılması gerekmektedir.
Sonuç olarak, veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde Taahhütname ile gönderilmesi önem arz etmektedir.
3. Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır.
4. Birbiriyle ilişkili başlıklar arasında bağ kurulmalıdır. Bu anlamda, hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususu, söz konusu başlıklar arasında bağ kurulmak suretiyle anlaşılır detayda açıklanmalıdır.
5. Açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilemeyecektir.
6. Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede; “-Hukuka ve dürüstlük kurallarına uygun olma, -Doğru ve gerektiğinde güncel olma, -Belirli, açık ve meşru amaçlar için işlenme, -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Diğer bir deyişle, Kanunun 4 üncü maddesinde sayılan genel ilkelerin kişisel veri işleme faaliyetinin tüm süreçlerinde, her hal ve şartta uygulanması hukuki bir gerekliliktir.
Anılan maddenin ikinci fıkrasının (c) bendinde yer alan “Belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.
Diğer taraftan, anılan maddenin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre ise, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Diğer bir deyişle ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
Bu çerçevede, Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel verilerin işlenme amacına ilişkin yukarıda belirtilen ilkeler başta olmak üzere, Kanunun 4 üncü maddesinde yer alan genel ilkelerin gözetilmesi gerekmektedir.
Veri konusu kişi ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel, …” gibi muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
“Veri kategorileri” belirlenirken, özellikle Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine riayet edilmelidir. Bu anlamda, ancak belirli, açık ve meşru bir veri aktarımı amacıyla bağlantılı, sınırlı ve ölçülü olacak şekilde veri kategorileri belirlenmelidir. Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurulmak suretiyle, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
Veri aktarımının amaçları, “Veri Kategorileri” başlığında belirtilen veri kategorileri ile bağ kurulmak suretiyle açıklanmalıdır. Bununla birlikte, Kanunun 4 üncü maddesine göre kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. Belirli, açık ve meşru amaçlar için işlenme ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bu çerçevede, ilgili bölümde kişisel verilerin işlenme amacı sınırları belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.
Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.
Kanunun 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlanmıştır. Bu anlamda, sağlık verilerinin ve diğer özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurt dışına aktarımında öncelikli olarak 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında tahdidi olarak sayılan işleme şartlarından birinin mevcut olması gerekmektedir. Bu çerçevede, söz konusu işleme şartlarının mevcut olmadığı durumlarda, özel nitelikli kişisel verilerin yurt dışına aktarımı ancak ilgili kişilerin hukuka uygun bir şekilde açık rızalarının alınması ile mümkün olabilecektir ki, açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilmemektedir.
“İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayanılarak gerçekleştirilecek aktarımlarda, KVK Kurumu resmi internet sitesinde yayımlanan Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 sayılı kararında yer verilen denge testi uygulanmalı ve çıkan olumlu sonuç ortaya konulmalıdır. Bu kapsamda, veri sorumluları tarafından; söz konusu veri işleme/aktarım faaliyetinin ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyeceği hususu, veri işleme/aktarımı dolayısıyla veri sorumlusu olarak ilgili kişinin temel hak ve özgürlükleriyle yarışır düzeyde ne tür bir meşru menfaatin elde edileceği, veri işlemeden/aktarımından elde edilecek meşru menfaatin tesisi için söz konusu veri işlemenin/aktarımının neden zorunlu olduğunun her bir veri konusu kişi grubu ve veri kategorisi bakımından somut faaliyet özelinde anlaşılır detayda açıklanması gerekmektedir.
“Alıcı ve alıcı grupları”, veri alıcısı tarafından örneğin verilerin ifşası veya aktarılması suretiyle gerçekleştirilecek sonraki devam eden aktarımlarda veri alıcısının bulunduğu ülkede mukim olan veri sorumlusu veya veri işleyeni ifade etmektedir. Ayrıca belirtmekte fayda görülmektedir ki, sonraki devam eden aktarıma taraf veri sorumlularının veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması gerekmektedir. Örneğin, aktarımın gerçekleşeceği ülkede yetkili kamu kurum ve kuruluşları ile mahkemeler bu kapsamda değerlendirilmektedir. Bununla birlikte, yetkili kamu kurum ve kuruluşlarının rekabet, telekomünikasyon otoritesi gibi belirlenebilir olması halinde bunların açıkça ortaya konulması gerekmektedir.
Öte yandan, Taahhütnameye taraf veri alıcısından, alıcının mukim olduğu ülkede yerleşik başka yukarıda belirtilenlerden farklı bir veri sorumlusuna ya da veri alıcısının mukim olduğu ülkeden başka bir ülkede yerleşik veri sorumlusu veya veri işleyene, Taahhütname kapsamında sonraki devam eden veri aktarımı gerçekleşemeyecektir. Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname imzalanması gerekmektedir. Böyle bir durumda, aktarımın amacı ve niteliğine uygun düştüğü ölçüde, farklılıklar varsa bu farklılıklar da her bir veri sorumlusu ya da veri işleyen bakımından açık ve net bir şekilde ortaya konulmak suretiyle tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması da mümkündür.
İlgili bölüm düzenlenirken, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla hazırlanan ve KVK Kurumu resmi internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler)”nin dikkate alınması, taahhüt edilen teknik ve idari tedbirlerin ayrı başlıklar halinde açıklanarak, bu tedbirlere ilişkin tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
İlgili bölüm düzenlenirken, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirleri tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
Kayıt yükümlülüğünün bulunup bulunmadığı bilgisinin gerekçesi ile birlikte açıklanması ve kayıt yükümlülüğünün bulunması halinde VERBİS bilgilerine bu başlık altında yer verilmesi gerekmektedir.
Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup; kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir. Ayrıca, sürelerin belirlenmesinde Kanunun 4 üncü maddesinin ikinci fıkrasının (d) bendinde yer alan, “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkesinin gözetilmesi gerekmektedir.
Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.
Taahhütname ekinde yer alan başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler” başlığı altında açıklanmalıdır.
İrtibat kişisine ait bilgiler bu başlık altında yer almalıdır.
Bu başlıklar altında yapılacak açıklamalarda veri sorumlusu ve veri işleyenin faaliyet alanlarının açıklanması ile veri sorumlusunun veri aktarımına, veri işleyenin ise aktarım sonrasında gerçekleştireceği işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konulması gerekmektedir.
Aktarılan kişisel verilerin aktarım amacıyla bağlantılı olacak şekilde ne tür bir işleme faaliyetine tabi tutulacağı hususu somut aktarım özelinde anlaşılır detayda ve netlikte ortaya konulmalıdır.