KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
KİŞİSEL VERİLERİN AKTARIMI
Kişisel Verilerin Korunması Kanunu’nun (KVKK) 8. ve 9. maddeleri kişisel verilerin ve özel nitelikli kişisel verilerin hangi şartlar dahilinde yurt içi ve yurt dışına aktarılabileceğini düzenlemektedir.
KVKK`da yer alan ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler prensip olarak ancak ilgili kişinin açık rızası ile yurt içi ve yurt dışına aktarılabilir.
Açık rızanın bulunmaması halinde, aktarımın yurt içi veya yurt dışına yapılmasına bağlı olarak farklı sonuçlar doğmaktadır;
1) Yurt içine yapılacak aktarım :
a) kişisel veriler açısından
- Kişisel verilerin kanunlarda işlenmesinin açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından verinin alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, halinde açık rıza aranmaksızın aktarım yapılması mümkündür.
b) özel nitelikli kişisel veriler açısından
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilir.
2) Yurt dışına yapılacak aktarım :
İlgili kişinin açık rızası bulunmadığı hallerde, yukarıda (1) nolu maddede belirtilen tüm şartlara (kişisel veri – özel kişisel veri) EK OLARAK, kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması gerekmektedir. Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurul’u (Kurul) tarafından ilan edilmektedir.
b) Yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.
Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar vermektedir.
Aktarılacak kişisel veriler, Türkiye’nin veya veri sahibinin menfaatini ciddi bir şekilde etkilemekte ise ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izni ile yeterli korumanın bulunmadığı ülkeye aktarılması mümkündür. Ayrıca ülkemizin taraf olduğu uluslararası sözleşme hükümleri ve diğer kanunlarda yer alan hükümler bu aktarıma cevaz vermekte ise veri aktarımı yapılabilecektir.