Yurt dışına Kişisel Veri Aktarımında KVKK Uyarınca Veri Sorumlularınca Hazırlanacak Taahhütnameler
6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’nun 9 uncu maddesinin 1 numaralı fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı belirtildikten sonra, 2 numaralı fıkrasında; 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı halinde;
a) kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
b) yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması
kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.
KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Yurt dışına veri aktarımı için ilgili kişinin açık rızasının bulunduğu durumlarda ise Kişisel Verileri Koruma Kurulu (Kurul/KVKK)’nun izninin alınması ve taahhütname düzenlenmesi şartları bulunmamaktadır.
KVKK, yeterli korumanın bulunduğu ülkeleri henüz ilan etmediği için Kanun’un tanıdığı istisnalar kapsamında kişisel verilerin açık rıza alınmaksızın yurt dışına aktarılmak istendiği durumlarda,
1- KVKK’dan izin alınması ve,
2- İlgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri
şartlarının birlikte yerine getirilmesi gerekiyor.
KVKK, bu çerçevede, yurt dışına veri aktarımında veri sorumlularınca hazırlanacak taahhütnamede yer alması gereken asgari unsurlara örnek teşkil etmek üzere 16.05.2018 tarihinde iki taahhütname örneği yayımladı. Bu taahhütnameler;
1- Veri Sorumlusundan Veri Sorumlusuna Aktarımda ve,
2- Veri Sorumlusundan Veri İşleyene Aktarımda
kullanılmak üzere iki ayrı başlık altında yayımlandı.
Yeni yayımlanan taahhütnameler kapsamında yurt dışına veri aktarımında yapılması gerekenleri daha da netleştirmek adına, örnek olarak ana ortağı yurt dışında yerleşik olan bir bankanın, ana ortağına bireysel müşteri verisini aktarmak istemesi durumunda yerine getirmesi gereken yükümlülüklere bakarsak;
– Yurt dışına veri aktarımı için ilgili kişinin açık rızasının alınmamış olması durumunda, öncelikle 6698 sayılı Kanun’un 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığının bulunup bulunmadığına bakılması gerekiyor.
– Anılan maddelerde “diğer kanunlarda açıkça öngörülmesi” durumu kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarımı için bir uygunluk nedeni olarak yer aldığı Bankacılık Kanunu’nda bu aktarıma uygunluk veren bir madde olup olmadığına bakılması gerekiyor.
– 5411 sayılı Bankacılık Kanunu’nun 73 üncü maddesinin 4 üncü fıkrasında gizlilik sözleşmesi yapılması ve sadece belirtilen amaçlarla sınırlı kalınması kaydıyla bankaların sermayelerinin %10 ve daha fazlasına sahip olan yurt içinde ve yurt dışında yerleşik kredi kuruluşu ile finansal kuruluşlar da dahil ana ortaklıkların konsolide finansal tablo hazırlama çalışmaları, iç denetim ve risk yönetimi uygulamaları için müşteri sırrı niteliğindeki bilgilerin paylaşımına izin verildiği görülüyor.
Bu kapsamda, ana ortağı yurt dışında yerleşik olan bir bankanın bireysel müşteri verilerinin, Bankacılık Kanunu’nun 73 üncü maddesinde düzenlenen istisnai haller (konsolide finansal tablo hazırlama çalışmaları, risk yönetimi ve iç denetim uygulamaları için) çerçevesinde, ilgili bireysel müşterilerin açık rızası alınmadan ana ortağına aktarılmak istenmesi halinde,
– KVKK’dan bu aktarıma ilişkin izin talep edilmesi,
– Yurt dışı yerleşik ana ortak ile Türkiye’de yerleşik banka arasında asgari olarak KVKK’nın açıkladığı veri sorumlusundan veri sorumlusuna aktarım taahhütnamesinde yer alan maddeleri de içeren bir taahhütname düzenlenmesi ve bu taahhütname hükümleri ile tarafların kişisel verilerin aktarımında kişisel verilerin korunması için gereken yeterli korumayı tesis edeceklerini taahhüt etmeleri,
– Ayrıca, Bankacılık Kanunu’nun 73 üncü maddesi gereğince yurt dışı yerleşik ana ortak ile Türkiye’deki banka arasında gizlilik sözleşmesi imzalanması yükümlülüklerinin gündeme geleceği görülüyor.
Veri aktarımı için müşterinin açık rızasının bulunması durumunda ise söz konusu izin alınma süreci ve KVKK’nın belirlediği asgari içerikteki taahhütname/sözleşme düzenlenmesi şartlarının yerine getirilmesine gerek bulunmuyor. Ayrıca, 6698 sayılı Kanun, bireysel müşteri verilerinin korunmasını düzenlediği için tüzel müşteri verileri için de (bankalar için Bankacılık Kanunu’nun 73 üncü maddesindeki kurallara sadık kalmak kaydıyla) KVKK’da öngörülen söz konusu izin ve asgari içerikteki taahhütname düzenlenmesi şartlarının aranması gerekmiyor.
Saygılarımızla,
VERİ SORUMLUSUNDAN VERİ SORUMLUSUNA AKTARIM TAAHHÜTNAMESİ
VERİ SORUMLUSUNDAN VERİ İŞLEYENE AKTARIM TAAHHÜTNAMESİ
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI KVKK REHBERİ