E-Yaklaşım / Ekim 2024 / Sayı: 382
I- GİRİŞ
Teknoloji ve dijitalleşmenin yaygınlaşması ile “kişisel verileri koruma” konusu kişiler, kurumlar ve şirketler önemli bir hâl almıştır. Bu verilerin korunması, kişilerin hak ve özgürlüklerin korunması açısından önemli olduğu gibi kurumlar ve şirketlerin güvenliği ve yasal haklarının korunması açısından da büyük öneme sahiptir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir.
Bu çalışmada, kişisel verinin yurt dışına aktarılabilmesi kapsamında düzenlenen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ile getirilen yenilikler hakkında bilgi verilecektir.
II- KİŞİSEL VERİ
Özel hayatın gizliliği, Anayasa’nın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır. 12 Ekim 2004 tarihinde 5237 sayılı Türk Ceza Kanunu’nun 135. maddesinde, kişisel verilerin kaydedilmesi, 136. maddesinde, verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde, verileri yok etmeme fiilleri suç olarak düzenlenmiştir.
Anayasa’da, kişisel verilerin korunmasıyla ilgili detaylı düzenlemelerin Kanunla yapılacağı belirtilmektedir. Bu kapsamda 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığı’na sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel verinin işlenmesi kavramı, söz konusu Kanun’da; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmıştır. Madde metninde belirtilen işlemler, sınırlı sayıda değildir. Kanun; verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesine kadar yapılan her türlü işlemi kişisel verilerin işlenmesi olarak kabul etmektedir. Kısacası başkasına ait kişisel veriler üzerinde yapılacak her türlü işlem; kişisel verilerin işlenmesi olarak nitelendirilir. Örneğin kredi kartı numaranızın online alışveriş sitelerinin veri tabanlarında tutulması, başkaca hiçbir şey yapılmasa bile kişisel verilerin işlenmesidir.
Kişisel verilerin korunması yükümlülüğü, öncelikle devlete aittir. Ancak kişisel verileri işleyerek yasalara aykırı davrananların tespit edilmesi gerekir. Anılan Kanun kapsamında kişisel verilerin işlenmesinde hukuki yükümlülüğü bulunanlar; veri sorumluları ve veri işleyenler olmaktadır.
III- KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
. İlgili kişinin açık rızasının bulunması,
. Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanun’un 5. maddesinin 2. fıkrası veya 6. maddesinin 3. fıkrasında belirtilen işleme şartlarının mevcut olması,