Kişisel Verilerin Korunması Kanunu ve Bulut Bilişim Teknolojileri
26 Şubat 2017
SkyAtlas olarak müşteri verilerinin Türkiye’de güvenilir veri merkezlerinde saklandığını belirtmekle birlikte, Kişisel Verilerin Korunması Kanunu hakkında verinin yurtdışı ile paylaşımı konusunda merak edilenleri BTS&Partners avukatlarından sizler için öğrendik.
Kişisel Verilerin Korunması Kanunu’na Neden İhtiyaç Duyuldu?
Dünya’da ortaya çıkan ve hızla yükselen dijitalleşme dönüşümünün bir sonucu olarak Türkiye’de de veri analitiği faaliyetleri oldukça artmış ve gerek özel sektör temsilcilerinin gerekse kamu kurum ve kuruluşlarının günlük işleyişinde olmazsa olmaz bir süreç haline gelmiştir. Bu doğrultuda, günlük hayatımızın tamamına dokunan milyonlarca verinin tabi olacağı rejimi belirleyen ve şirketler başta olmak üzere tüm kurumların veri işleme faaliyetleri bakımından iş yapış şeklini düzenleyecek hukuki bir altyapının oluşturulması zaruri hale gelmiştir. Bu doğrultuda, ülkemizin kişisel verilerin korunması alanındaki girişimleri, Türkiye’nin Avrupa Konseyi üyesi olarak 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni imzalamasıyla 1981 yılında başlamış fakat 7 Nisan 2016 tarihinde, Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) Resmi Gazete’de yayımlanmasına kadar Türkiye’de kişisel verilerin korunmasına ilişkin bağlayıcı çerçeve bir düzenleme olmamıştır.
KVK Kanun’dan Önce Kişisel Verilerin Korunmasının Hukukumuzda Yeri
KVK Kanunu ülkemizde kişisel verilerin korunmasına ilişkin ilk hukuki düzenleme olmayıp; önce 2004 yılında kabul edilen yeni Türk Ceza Kanunu’yla kişisel verilerin kaydedilmesi ve verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suç olarak öngörülmüştür. Sonrasında 2010 yılında kabul edilen Anayasa değişiklikleri ile kişisel verilerin korunması hakkı Anayasa’nın 20. maddesine dahil edilmiştir. Anayasa’nın 20. maddesi kapsamında da kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği ilkesi benimsenmiş ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunda düzenlenebileceği öngörülmüştür. Bununla birlikte KVK Kanunu’ndan önce belirli sektörlere yönelik kısıtlamalar içeren düzenlemeler haricinde kişisel verilerin depolanmasına veya yurt dışına aktarılmasına ilişkin mevzuatımızda genel kapsamlı bir düzenleme bulunmamaktaydı.
KVK Kanunu Kapsamında Kişisel Verilerin Yurtdışında Saklanması veya Yurtdışına Aktarılması
KVK Kanunu yapısı gereğince kişisel verilerin işlenmesini yasaklamaktan ziyade kişisel verilerin işlenmesinde uygulanacak rejimi belirleyen bir kanun özelliğindedir. Bu yapısı ile uyumlu olarak kişisel verilerin yurtdışına aktarılmasına ilişkin 9. madde kapsamında da kişisel verilerin yurt dışına aktarılması tamamen yasaklanmamış olmakla birlikte belirli şartların varlığına bağlanmıştır. Buna göre kişisel veriler ancak (i) veri sahibinin açık rızasının bulunması veya (ii) KVK Kanunu’nda sayılan istisnaların bulunması halinde rıza aranmaksızın ancak Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından güvenli ülke olarak kabul edilmiş ülkelere aktarılacak olması şartıyla yurtdışına aktarılabilecektir.
Halihazırda KVK Kurulu tarafından kişisel verilerin aktarılabileceği güvenli ülkeler belirlenmemiş olmakla birlikte, Avrupa Birliği’nde kişisel verilerin korunmasına ilişkin mevzuatın 20 yılı aşkın bir süredir uygulanmakta olması sebebiyle Avrupa Birliği üyesi ülkelerin KVK Kurulu tarafından güvenli ülke olarak kabul edileceği yönünde kuvvetli bir beklenti bulunmaktadır. Ancak bunun dışında KVK Kurulu tarafından hangi ülkelerin güvenli olarak kabul edilebileceği yönünde kesin bir öngörüde bulunmak bu aşamada mümkün gözükmüyor. Şirketlerin ise kullanılacak bulut teknolojilerine ilişkin karar süreçlerinde güvenli kabul edilmeyen üçüncü ülkelerde verilerin saklanması halinde ileride karşılaşılabilecek bürokratik engelleri göz önünde bulundurması önerilmektedir.
İlaveten, KVK Kanunu’nun 9. maddesi kapsamında Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, kişisel verilerin yurtdışına aktarılmasına ilişkin olarak KVK Kurulu’nun izninin alınması şartı getirilmiştir. Bu düzenleme özellikle kişisel verileri yurtdışında barından bulut bilişim hizmet sağlayıcılarını tercih eden şirketler bakımından ilerleyen süreçlerde bu kapsamda değerlendirilmek suretiyle izin şartına tabi olma riski yaratmaktadır.
KVK Kanunu dışında mevzuatımızda ayrıca verilerin Türkiye’de tutulmasına ilişkin zorunluluklar getiren başka sektörel düzenlemeler de bulunmaktadır. Bankacılık ve elektronik ödeme sektörüne yönelik düzenlemeler bunun en önemli örneğidir. Bunun dışında son dönemde özellikle kamu sektöründe verilerin yurtiçinde tutulması bir trend olarak ortaya çıkmaktadır. Bunun bir sonucu olarak özellikle kamu ile işbirliği içerisinde çalışan şirketler bakımından verilerin Türkiye’de tutulması bir avantaj haline gelmektedir.
KVK Kanunu Kapsamında Veri Sorumlusu Şirketlerin Yükümlülükleri
KVK Kanunu kapsamında veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu kapsamda veri sorumlusu olan şirketlerin KVK Kanunu kapsamında sayılan veri işleme faaliyetine hâkim olan genel kurallara uymanın yanı sıra, (i) aydınlatma yükümlülüğü ve (ii) veri güvenliğine ilişkin yükümlülükler olmak üzere iki temel yükümlülüğü bulunmaktadır.
KVK Kanunu’nun 10. maddesine göre, en geç kişisel verilerin elde edildiği anda, veri sahibinin “aydınlatılması” gerekmektedir. Bu bağlamda, veri sahibine yapılacak aydınlatma (i) veri sorumlusunun ve varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) veri sahibinin KVK Kanunu’nun 11. maddesinde sayılan diğer haklarını içerecek şekilde gerçekleştirilmelidir. Bununla birlikte, KVK Kanunu, aydınlatmanın ne hangi araçlarla ya da ne şekilde yapılması gerektiğine ilişkin bir hüküm içermemektedir. Bu bakımdan, aydınlatmanın internet sitesi üzerinden dijital ortamda ya da basılı bir mecrada gerçekleştirilmesi mümkündür.
KVK Kanunu’nun 12. maddesi kapsamında veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri düzenlenmiş olup; veri sorumlusu, hukuka aykırı olarak verilerin işlenmesini ve verilere erişilmesini önlemek ile verilerin güvenliğini sağlamak için gerekli tüm tedbirleri almak ile yükümlü kılınmıştır. Veri sorumlusu, kendi adına veri işleyenlerin de söz konusu önlemleri alması bakımından sorumlu bulunmaktadır. Ayrıca veri sorumlusunun, yukarıda bahsedilen güvenlik tedbirlerin alınıp alınmadığına dair denetim yapması veya yaptırması; edinilen verilerin KVK Kanunu’na aykırı olarak açıklanmaması ve şahsi çıkarlar için kullanılmaması, verilerin yasal olmayan yollar ile başkaları tarafından ele geçirilmesi halinde derhal Kurul’u bilgilendirmesi yönünde de sorumlulukları bulunmaktadır.
KVK Kanunu Kapsamında Öngörülen İdari Para Cezaları
KVK Kanunu kapsamında yükümlülüklerini yerine getirmeyen veri sorumlusuna uygulanabilecek cezai yaptırımların yanında bir takım idari para cezaları da belirlenmiştir. Buna göre, (i) aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, (ii) veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, (iii) KVK Kurulu tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, (iv) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası uygulanabileceği öngörülmüştür.
Av. M. Okan ARICAN
Av. Erdem ASLAN
Av. Müge MİNARECİ
Beceni Türkekul Sevim Avukatlık Ortaklığı (“BTS&Partners”)