Türkiye’deki Kişisel Verileri Koruma Mevzuatının Avrupa Birliği Mevzuatı Karşısındaki Yeri ve Uygulamadaki Durum

I. GİRİŞ *

Son zamanlarda, kişisel verilerin korunması birçok ülkede en çok dikkat çeken ve hassasiyetle yaklaşılan konuların başında yer almaktadır. Yıllar içerisinde, teknolojinin gelişimi ve sanayi toplumundan bilgi toplumuna doğru evrimleşmeyle her türlü bilginin daha kolay ulaşılabilir olması, serbestçe dolaşması ve işlenmesi mümkün hale gelmiştir.  Ülkesel ve uluslararası çapta hızla artan veri paylaşımı; bulut bilişim gibi araçlarla, sosyal ağlarla, sanal alışverişle, elektronik ticaretle ve giderek artan küreselleşme ile kişisel verilere ulaşım şekillerini de çeşitlendirmiş ve büyük veriye duyulan ilgi farklı denetleme yapılarına gereksinimi artırmıştır. Paylaşım kanallarının; teknolojik ilerlemenin hızıyla, küresel çapta veri trafiği yaratması da kaçınılmaz olmuştur. Hal böyle olunca, kişisel verilerin, kimler tarafından hangi niyetle kullanılacağı kuvvetli düzenlemelere ihtiyaç duyulmasını sağlamıştır.

1995 yılında Avrupa Birliği’nin uygulamaya koyduğu Kişisel Verilerin Korunması Direktifi’nin (Direktif 95/46/EC) ardından, kişisel verilerin serbestçe dolaşımını ve işlenmesini kurallara bağlayan ve mahremiyeti koruyacak uygulamaları garanti altına alan, daha kapsamlı bir mevzuat olan Genel Veri Koruma Tüzüğü (Bundan sonra mevzuatın İngilizce dilindeki kısaltması ve bilinen karşılığı olan “GDPR” olarak anılacaktır.) Avrupa Parlamentosu’nda onandıktan sonra 2018 yılında hayata geçmiştir. İlgili mevzuat, kişisel verileri işleyecek kişilerin sorumluluklarından, hukuki tedbirlere, cezalara, ülkeler arası veri transferindeki tedbirlere, denetleyici otoritelere kadar geniş kapsamda uygulamaları içermektedir. Kişisel verilerin işlenmesi bakımından güvenilir ülkeler statüsünde yer alabilmek için ülke içi uygulamalar kritik bir hale gelmiştir. Ülkemizde de kişisel verilerin korunması, 2000’li yıllardan itibaren gündemde yer almış ve Kişisel Verilerin Korunması Kanunu (Bundan sonra kısaca “KVKK” yahut “Kanun” olarak da anılacaktır.) 2016 yılında birçok maddesiyle yürürlüğe girmiştir.

Kişisel verilerin korunmasının gerekliliğine vurgu yapan, yaptırımları son derece güçlü olan bu mevzuat, sadece siyasi ve küresel anlamda ülkeleri bu çerçevede toplamamış, hem kamuyu hem de özel teşebbüsleri, tedbirler almaya ve işleyişlerinde mevzuata uyumlu düzenlemeler yapmaya sevk etmiştir. Bu doğrultuda, kişisel verileri kayda alan teşebbüsler ve kamu kuruluşları, bankacılıktan, sağlık sektörüne kadar, bireylerden gerek sanal ortamda gerekse telefon yoluyla izin prosedürlerini başlatmıştır. Günlük hayatımızın bu denli içinde yer alan kişisel verilerin korunması olgusu hem bizlere gündelik hayatın içinde sürekli aldığımız mesajlarla kendini sürekli hatırlatmaya hem de geleceğin mesleği olarak sınıflandırabileceğimiz “kişisel veri koruma görevlisi, kişisel veri işleme uzmanı” gibi terimleri de iş sahasına katmaya başlamıştır.

Bu yazımızda, son derece sıcak bir konu olan ve günlük hayatımızdan iş dünyamıza kadar pek çok alanı ve teşebbüsü etkileyen kişisel verilerin korunması konusunu, GDPR ile Türkiye’deki kişisel verilerin korunmasına ilişkin mevzuatı karşılaştırarak mercek altına alacağız.  İlk bölümde, Türkiye’deki kişisel verilerin korunmasının tarihsel gelişimi, Kanun’umuzun niteliği ve yeterliliği, gelinen noktada Avrupa Birliği ile aramızdaki mevzuat ile uyumu ele alınacaktır.  İkinci bölümde, GDPR ile Türk mevzuatı arasında farklı olduğu tespit edilen bazı hususlar izah edilecektir. Son bölümde, üçüncü ülke olarak  Türkiye’nin GDPR karşısında durumu ve Avrupa Birliği’nden Türkiye’ye serbest veri akışının nasıl sağlanabileceğine değinilecektir.

 

II. TÜRKİYE’DE KİŞİSEL VERİLERİN KORUNMASINA DAİR MEVZUATIN KISA TARİHİ VE AVRUPA BİRLİĞİ MEVZUATI KARŞISINDAKİ YERİ**

Her ne kadar bölüm başlığında “Türkiye’de Kişisel Verilerin Korunmasına Dair Mevzuatın Kısa Tarihi” ifadesini kullanmış olsak da bu tarihçenin biraz uzun ve hafif sancılı bir süreç olduğunu ifade etmek sanıyoruz çok yanlış olmaz. Zira Avrupa Birliği mevzuatı oldukça detaylı düzenlemelerin getirildiği GDPR’a kavuşuncaya kadar üye ülkeler Kişisel Verilerin Korunması Direktifi (Direktif 95/46/EC) ve kendi iç düzenlemeleriyle konuya büyük oranda aşinalık kazanmıştı. Oysa ki kişisel verilerin korunması meselesi 2016 yılına kadar ülkemizde yalnızca Anayasa m.20 ve Türk Ceza Kanunu, Türk Medeni Kanunu, Türk Borçlar Kanunu gibi genel mevzuatlardaki birkaç maddede yer bulmuştu. Ancak kişisel verilerin korunmasına ilişkin ilk çalışmalar 1989 yılına kadar geriye gitmektedir. 2016 yılında ise, uzun yıllar içerisinde hakkında Meclis’e defalarca kanun tasarısı sunulmuş ve öylece beklemiş olan mesele, özel bir Kanun ile düzenlendi.

İşbu makalenin de konusunu teşkil eden 24.03.2016 kabul tarihli KVKK 07.04.2016 tarihinde Resmî Gazete’de yayınlanarak birçok maddesiyle yürürlüğe girdi. Kanun’un kişisel verilerin aktarılmasına, veri sahibinin haklarına, başvuru ve şikâyete ve veri siciline ilişkin hükümleri ile suçlar ve kabahatlere ilişkin hükümlerinin yürürlüğü 6 ay ertelenerek 07.10.2016 tarihine bırakıldı.

Her ne kadar Kanun 07.10.2016 tarihinde tüm maddeleriyle yürürlüğe girmiş olsa da Kanun’un Geçici m.1/f.III’de yer alan “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.” hükmü içerdiği süreler sebebiyle bir yürürlük erteleme hükmü gibi ele alındı. Gelinen noktada veri işleyen gerçek ve tüzel kişiler mevzuata uygunluk için almaları gereken aksiyonları, Avrupa’da kişisel verilerin korunması hukukunu detaylandıran ve bazı noktalarda temelden değiştiren GDPR’ın yürürlüğe girdiği 24.05.2018 tarihine son derece yakın bir tarih olan 07.04.2018 tarihine kadar ileriye attılar.

İşte bu tarihsel yakınlık bazı çevrelerce hem Avrupa’da hem de Türkiye’de yürürlüğe girecek kişisel verilerin korunması mevzuatlarının birbiriyle aynı olduğu intibaını uyandırmış olsa da esasen durum bundan biraz farklı.

Türkiye’de kişisel verilerin korunması yukarıda da bahsedildiği üzere kaynağını özellikle 2010 yılındaki değişikliklerle Anayasamıza eklenen son fıkradan, m.20/f.III’den alıyor. Madde^[1]ye göre herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı bulunuyor ve kişisel verilerin işlenmesi kanunda öngörülen özel hallerin dışında yalnızca kişinin açık rızasıyla mümkün olabiliyor. Her ne kadar 2010 yılında gelen bu düzenlemeden önce mevzuatımızda “özel hayata ve hayatın gizli alanına karşı suçlar” başlığı altında kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme yahut ele geçirme, verileri yok etmeme gibi suçlar düzenlendiyse ve kişilik hakları Türk Medeni Kanunu ve Türk Borçlar Kanunu altında belirli bir korunmaya tabi idiyse de konu hakkında ilk detaylı düzenleme 2016 yılında Türk Hukuku’na girdi. Gelen düzenleme Anayasa’nın ortaya koyduğu hakkın kapsamını ve istisnalarını, kişiler tarafından nasıl ileri sürülebileceğini, aydınlatmanın nasıl yapılması gerektiğini, izinlerin nasıl alınması gerektiğini, verilerin nasıl toplanması gerektiğini, ne şartlarda aktarılabileceğini, yurtdışına aktarımının şartlarını, şikâyet yollarını, izlenecek usulü, suçları, kabahatleri ve cezaları ve daha nice konuyu açıklıkla ve detaylı olarak düzenlemiştir.

Yukarıda da bahsettiğimiz üzere bu düzenleme uzun yıllardır beklenmekteydi. Her ne kadar birebir aynı metne sahip olmasa da KVKK uzunca bir süre Meclis’te Taslak olarak beklemiş ve umutların kesildiği noktada biranda gündeme hızlı bir giriş yapmıştır. Kanun metin itibariyle, Avrupa Birliği ülkeleri için bir kılavuz niteliğinde olan ve ülkelere kişisel verilerin korunması için yapılması gerekenleri gösteren Kişisel Verilerin Korunması Direktifi (Direktif 95/46/EC) ile paralel olarak düzenlenmiştir. Direktif ise Birlik ülkeleri için 24.05.2018 tarihi itibariyle 2 yıllık bir geçiş süresinin ardından yerini GDPR’a bırakmıştır.

Hepimizin bildiği üzere Direktif, Avrupa Birliği ülkelerinin kişisel verilerin korunması konusuna ne şekilde yaklaşması gerektiğinin kurallarını belirlerken, GDPR Birlik Ülkeleri için doğrudan uygulanması gereken kurallar getiriyor.  Bu sebeple GDPR, Direktif’e göre oldukça detaylı bir şekilde düzenlenmiştir.

Bu özet bilgiden de anlaşılabileceği üzere Kanun’umuz GDPR’a kıyasen daha az detay içeren daha çok yönlendirici nitelikte bir düzenlemedir.  Ancak 2017 yılının Ocak ayında tüm üyeleri atanarak yemin eden ve aktif ve yoğun çalışmalarına başlayan Kişisel Verileri Koruma Kurumu’nun, çıkarttığı uygulama yönetmelikleri, rehberler, soru cevap kitapçıkları, önemli konulara dair hazırlanan özel kitapçıklar, videolar ve aldığı ve yayınladığı kararlarla Türk Kişisel Verileri Koruma Mevzuatını oldukça detaylandırdığı mutlaka dile getirilmelidir. Bu düzenlemelerde Kanun’a açıklama getirirken yer yer mevzuat içeriğinin GDPR düzenlemelerine de yaklaştığı görülmektedir.

Özetle, halihazırda yürürlükte olan Kanun’umuz uzun yıllar evvel Avrupa Birliği mevzuatına uyum amacıyla Direktif’e paralel şekilde hazırlanmışsa da Tasarı halinde yıllarca Meclis’te beklemesi neticesinde ancak Direktif’in son yıllarının yaşandığı ve GDPR’a geçiş için verilen 2 yıllık sürenin başladığı bir dönemde yürürlüğe girmiştir.  Böylece Direktif’in son yıllarında Avrupa Birliği mevzuatıyla bir uyum sağlandıysa da 2018 Mayıs’ında GDPR’ın yürürlüğe girmesiyle mevzuatımız yeniden Avrupa Birliği mevzuatından farklılaşmıştır.  Şunu da söylemek gerekir ki her iki mevzuat hala birbirine paraleldir. Ancak bazı noktalarda önemli farklılıklar öne çıkmaktadır. Çalışmamızın ikinci bölümünde bu farklılıklardan bazılarına yer verilmektedir. Bu farklılıklar sınırlayıcı olmayıp yalnızca örnekleyicidir.

 

III. KANUN’UMUZ GDPR İLE GETİRİLEN KİŞİSEL VERİ KORUMASININ NE KADAR YAKININDA?***

Giriş kısmında da izah edildiği üzere, Türkiye, kişisel veriler korumasını, Anayasal bir hak olarak düzenleyen ve bu anlamda kişisel verilerin korunmasına Anayasal düzeyde önem vermekle övünen bir ülke olarak nitelendirilebilir.  Anayasal düzenlemeye rağmen kişisel verilerin korunması, ancak 7 Nisan 2016 tarihinde Resmi Gazetede Yayınlanan 6698 Sayılı Kanun ile detaylı olarak düzenlenebilmiştir.  Salt bu veri dahi hakların Anayasal düzeyde düzenlenmesinin, uygulamada bir anlam ifade etmeyebileceğini ve hukuki korumanın, ancak sağlam bir alt yapı oluşturulması ve ilgili hükümlerin istikrarlı ve şeffaf bir şekilde uygulanması ile sağlanabileceğini ispatlamaktadır. Makalemizin üçüncü bölümünde detaylı olarak izah edileceği üzere, bu korumalar, Avrupa Birliği’nde 25 Mayıs 2018 tarihinde uygulanmaya başlanan GDPR kapsamında Türkiye’nin güvenilir ülke olarak nitelendirilip nitelendirilemeyeceğini[2] de belirleyecek olup bu bölümde ise Türkiye’de henüz uygulanmasına yeni başlanan Kanun’un GDPR ile arasındaki mevcut farklılıklardan bazıları ve bu farklıkların yansımaları izah edilecektir.

• VERİ İŞLEYENİN SORUMLULUĞUNA İLİŞKİN FARKLILIK HAKKINDA

GDPR m.82 ile getirilen temel değişiklik, veri sorumlusunun (“controller”) yanında veriyi işleyenlerin (“processor”) de verilerin hukuka uygun olarak işlenmemesinden sorumlu tutulmasıdır.  GDPR uyarınca, hakların ihlal edilmesi halinde hem veri sorumluları hem de veriyi işleyenler bu ihlalden sorumlu olabilecektir[3], ancak KVKK m.18/f.II’de yer alan düzenleme ile, veri sorumlusu ve veri işleyen bakımından farklı bir sorumluluk düzeyi belirlendiğinden idari cezalar yalnızca veri sorumlularına uygulanmaktadır.

Ayrıca, KVKK ile sicile kayıt yükümlülüğünün yalnızca veri sorumluları bakımından getirtilmiş olması da veriyi işleyenlerin yükümlülüklerinin, veri sorumlusu düzeyinde olmamasının başka bir yansımasıdır.  Bu sicile, verileri işleyenler dahil edilmediği gibi Kişisel Verileri Koruma Kurumu (Bundan sonra kısaca “Kurum” olarak da anılacaktır.) tarafından verilen kararlar ile de veri sorumlusu olan bazı kişiler de bu sicilde kayıtlı olma yükümlülüğünden muaf tutulmuştur[4].  Bu istisnanın, KVKK’da düzenlenen yükümlülüklerden muaf olma anlamına gelmediğini, bu Kanundaki yükümlülüklerin, Kanun’da sayılan istisnalar saklı kalmak üzere, her durumda ve veri sorumluları siciline kayıt yapma yükümlülüğünden muaf tutulan veri sorumluları bakımından da geçerli olduğunu vurgulama gereği duyarız.

• VERİ SORUMLULARI SİCİLİ HAKKINDA

Yukarıda da değinildiği üzere, KVKK m.16 ile Veri Sorumluları Sicili’nin Kurul’un gözetiminde, Başkanlık tarafından kamuya açık olarak tutulması öngörülmüştür. GDPR’da kurum gözetimi ve kamuya açık bir sicil düzenlemesi yer almamakla birlikte, GDPR m.30’da veri sorumluları ve veri işleyenlerin, KVKK m.16/f.III’de işaret edilen bilgilere benzer bilgilerin kaydını tutması zorunludur. GDPR uyarınca, veri sorumluları, verileri işlerken, GDPR m.30’da yer alan bilgileri içerecek şekilde kayıt tutmakla ve Avrupa Veri Koruma Kurumu istediği takdirde bu bilgileri ilgili kuruma sunmakla yükümlüdür.  Bu yükümlülüğün, KVKK’da yer alan düzenlemenin aksine sadece veri sorumluları bakımından değil veri işleyenler bakımından da getirildiğini belirtme gereği duyarız.

• VERİ KORUMA GÖREVLİSİNİN VARLIĞI HAKKINDA

GDPR ile birlikte hukuka kazandırılan bir diğer kavram da, GDPR m.37 ile düzenlenen Zorunlu Veri Koruma Görevlisi olup ilgili maddede düzenlenen koşulların varlığında veri sorumluları ve işleyicileri veri koruma görevlisi olarak belirlenebilecektir.  Buna göre,

1. İşleme faaliyeti, yargı faaliyetinin yürütülmesi durumu hariç, bir kamu kurum veya kuruluşu tarafından gerçekleştiriliyor ise,
2. Yapmış oldukları işin doğası nedeni ile büyük ölçüde veriyi düzenli ve sistematik olarak izlemeyi gerektiren veri işleyicisi veya veri sorumlularının temel faaliyetlerini veri işleme oluşturuyor ise,

• Veri sorumlusu veya işleyenin temel faaliyetlerinin, m.9’da sayılan özel nitelikli hassas verilerin işlenmesi veya m.10’da düzenlenen ceza mahkûmiyeti veya suça ilişkin kişisel bilgilerin işlenmesi olması durumunda;

Veri Koruma Görevlisi bulundurmak zorunludur[5].  KVKK’da, bu yönde bir düzenleme bulunmadığından bu aşamada, ilgili kişilerin, veri koruma görevlisi çalıştırma zorunluluğu bulunmamaktadır.

• VERİLERİN TAŞINMASI HAKKI HAKKINDA

GDPR m.20 ile veri sahibine, verilerini taşıma hakkı  tanınmıştır.  Bu hak, yeni bir hak olarak GDPR’da düzenlendiğinden, KVKK’da yer almamaktadır.  Verilerin taşınması hakkı çerçevesinde, veri sorumlusunun, veri sahibinin verilerini, biçimlendirilmiş, genel olarak kullanılan ve makine tarafından okunabilir bir formatta ilgili kişiye verme yükümlülüğü bulunduğu gibi veri sahibinin talep etmesi halinde, bu verileri doğrudan başka bir veri sorumlusuna gönderme sorumluluğu da bulunmaktadır[6].  Bu hakkın, veri sahipleri lehine çok önemli bir düzenleme olduğu nazara alındığında, KVKK’da bu madde yönünde düzenleme yapılmasının, Türkiye’nin veri transferi yapılabilecek ülkeler arasında kabul edilmesine katkı sağlayacağı kanaatinde olduğumuzu belirtmek isteriz.

• BELİRLENEN TAZMİNAT TUTARINDAKİ FARKLILIKLAR HAKKINDA

GDPR ile getirilen en önemli düzenlemelerden biri de GDPR’ın ihlali halinde Direktif’e nazaran çok daha ağır tazmin yaptırımları (200 milyon Avro veya hizmet sağlayıcının küresel gelirinin yüzde dördü gibi önemli miktarlar, (hangisi yüksek ise o seçilecektir.)) öngörülmüş olmasıdır. KVKK’da ise ilgili idari para cezaları, daha düşük miktarlarla (en düşük 5 bin Türk lirasından en yüksek 1 milyon Türk lirasına kadar)[7]  sınırlı tutulmuştur.

• KURUMA BİLDİRİM YÜKÜMLÜLÜĞÜ HAKKINDA

GDPR m.33 ve 34’te işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu 72 saat içerisinde ilgili kurum’a, en kısa sürede de ilgili kişiye bildirmesi gerekir.  İhlalin, ilgili kurum’a 72 saat içerisinde bildirilmemesi durumunda bunun gerekçesi de bildirim ile birlikte izah edilmelidir. KVKK m.12/f.V’te süre ile ilgili açık bir düzenleme yer almamakta, en kısa sürede Kurul’a ve ilgili kişiye bildirimlerin yapılması gerektiği belirtilmektedir.

Kişisel Verileri Koruma Kurulu, önüne gelen bir olayda, veri sorumlusunun gerçekleşen veri ihlalini ilgili kişilere 17 ay, Kurula ise 10 ay sonra bildirmesinin, Kanunda belirtilen “en kısa süre”yi aşan bir süre olduğuna karar vermiştir.

• KURUL KARARLARINA KARŞI BAŞVURULACAK YASAL YOLLARIN AÇIKÇA DÜZENLENMEMİŞ OLMASI HAKKINDA

KVKK’nın en önemli eksikliklerinden biri, kişisel verilerin korunması hakkı ihlal edilen ilgili kişinin, Kurul kararlarına karşı, hangi şartlar altında ve hangi mercilere başvurabileceğine ilişkin düzenlemeleri içermemesidir. Anayasa m.125 uyarınca “İdarenin her türlü eylem ve işlemlerine karşı yargı yolu açıktır.”. Bu bağlamda, Kişisel Verileri Koruma Kurulu’nun kararlarına karşı, kamu tüzel kişiliğini haiz Kurum’u, davalı olarak gösterilerek dava açılabileceği Anayasa hükmü karşısında sabittir.

GDPR’da veri sorumlusu ile verileri işleyene karşı başvurulabilecek hakları düzenleyen m.79’dan bağımsız bir düzenleme yapılarak, Kurum kararlarına karşı başvurulacak yasal yolların, m.78 ile açıkça düzenlendiğini de belirtme gereği duyarız.

GDPR m.8 uyarınca[8], verilerin işlenmesinin dayanağının rıza olduğu durumlarda, veri sahibinin yaşı en az on altı olmalıdır, KVKK’da bu yönde bir düzenlemeye yer verilmediğinden kişisel verilere izin verme yaşının, Medeni Kanun m.11 uyarınca on sekiz olarak kabul edilmesi gerekmektedir[9].  Buna ek olarak, KVKK’da, özel nitelikli veriler arasında “kılık ve kıyafet”e ilişkin verilerin de yer almasının, Türkiye’ye özgü olduğunu; işbu özel nitelikli verilerin, sınırlı sayı prensibine göre düzenlenmesi nedeni ile GDPR uyarınca kılık-kıyafetin özel nitelikli veri olarak kabul edilmeyeceğini belirtme gereği duyarız.

Son olarak, GDPR m.3 uyarınca Birlik içerisindeki veri sahiplerine (ücretsiz olsa dahi) mal veya hizmet sunan veya (Avrupa Birliği içerisinde) söz konusu veri sahiplerinin davranışlarını gözlemleyen veri sorumluları ve işleyenler bakımından da GDPR’ın uygulama alanı bulacağını belirtmek isteriz.  Bu bağlamda, Avrupa Birliği’nde faaliyet gösteren gerçek ve tüzel kişilerin de GDPR ile bağlı olduğunun[10] farkında olması ve GDPR ile KVKK arasındaki farklılıkların, Kanuna eklenecek maddeler ve en azından bugüne değin yapıldığı üzere çıkartılacak yönetmelikler[11] ile giderilmesi faydalı olacaktır.

 

IV. ÜÇÜNCÜ ÜLKE OLARAK TÜRKİYE’NİN GDPR KARŞISINDA DURUMU VE TÜRKİYE’YE SERBEST VERİ AKIŞININ NASIL SAĞLANABİLECEĞİ****

Avrupa Birliği gelişen teknoloji ile son derece önemli bir ekonomik değer haline gelen verileri, ekonomisinin üretkenliğini arttırmak için kullanarak, veri reformunu yakalamayı amaçlamaktadır^[12]. Buna göre, GDPR Avrupa Birliği’nde kişisel verilerin korunmasını üye ülkelerde uyumlaştıran, Direktif’in amaç ve ilkelerini korumakla birlikte^[13], kişisel verilerin işlenmesi ve dolaşımı ile ilgili kuralları daha ayrıntılı bir şekilde düzenlemektedir. GDPR’ın en temel amacı, gerçek kişilere, kendi verileri üzerinde güçlü ve tüm üye ülkelerde eşit seviyede^[14] bir koruma sağlayarak ve veri işleyenler ile veri sorumlularının sorumluluklarını ayrıntılı şekilde düzenleyerek, kişisel verilerin Avrupa Birliği içinde serbest olarak dolaşımının sağlanmasıdır^[15].

Gerek GDPR m.3’te geniş bir şekilde belirlenen uygulama alanı gerekse verinin farklı ülkeler arasındaki dolaşımının teknik olarak son derece kolay olduğu dikkate alındığında, GDPR’ın Avrupa Birliği’nin sınırlarının ötesinde dahi etkili olması şaşırtıcı değildir. İşte tam da bu noktada, GDPR’a göre üçüncü ülke^[16] konumunda bulunan Türkiye’nin bu mevzuata nasıl uyum sağlayacağı son derece önemlidir. Burada kısaca GDPR’ın uygulama alanına giren kişisel verilerin üçüncü ülkelere aktarımı ile ilgili olan maddelerine ve bunların uygulamada yaratacağı etkilere değinilecektir.

Kişisel verilerin üçüncü ülkelere aktarımı GDPR m.44 ila 50 arasında düzenlenmiştir. GDPR’ın üçüncü ülkelere kişisel veri aktarımı ile ilgili yaptığı ayrıntılı düzenlemenin amacı, gerçek kişilere kişisel verileri üzerinde Avrupa Birliği mevzuatı ile sağlanan korumanın, bu verilerin üçüncü ülkelere aktarımı yoluyla zayıflatılmasının önüne geçmektir^[17].  Buna göre GDPR’ın uygulama alanına giren kişisel verilerin üçüncü ülkeye aktarımı için üç durumdan birinin varlığı şarttır; (i) transferin yapılacağı ülke hakkında Avrupa Komisyon’u (Bundan sonra kısaca “Komisyon” olarak anılacaktır.) tarafından “yeterli koruma düzeyine sahip” kararı verilmesi^[18], (ii) transferin yapılacağı ülkede kişisel veri süjeleri için icra edilebilir hakların ve etkili yaptırımların bulunması şartı ile, veri sorumlusu veya veri işleyen tarafından uygun önlemlerin alınması^[19] veya (iii) GDPR m.49’da düzenlenen istisnai hallerden birinin varlığı^[20].

Bir üçüncü ülke hakkında Komisyon tarafından “yeterli koruma düzeyine sahip” kararı verilmesi durumunda, GDPR’ın uygulama alanına giren kişisel veriler bu ülkeye, başkaca bir güvence gösterilmesine veya izne gerek olmaksızın, serbestçe transfer edilebilmektedir^[21]. Belirtilmelidir ki, bir ülke hakkında “yeterli koruma düzeyine sahip” kararı verilmeden önce, Komisyon sadece kişisel verilerin korunması ile ilgili özel düzenleme ve bu konu ile ilgili kurumları değil, bunun yanında, söz konusu ülkedeki hukukun üstünlüğüne, insan haklarına ve temel özgürlüklere saygı gösterilip gösterilmediğini ve yine, kamu güvenliği, savunma, ulusal güvenlik ve ceza hukuku gibi ilgili mevzuatları da dikkate almaktadır^[22].  Aynı zamanda ilgili ülkede etkili bir şekilde işleyen bağımsız veri koruma otoritesinin varlığı da Komisyon’un, olumlu bir karar vermek için aradığı temel şartlardandır^[23]. Her ne kadar uzun ve bir o kadar da zahmetli bir süreç olsa da^[24], bir ülke hakkında Komisyon tarafından “yeterli koruma düzeyine sahip” kararı verilmesi, bu ülkede GDPR’ın kapsamına giren kişisel verilerin korunması ile ilgili belirsizlikleri büyük ölçüde ortadan kaldıracak ve bu ülkenin kanunlarına tabi veri sorumluları ve işleyenler açısından güvenli bir alan yaratacaktır.

Bir üçüncü ülke hakkında “yeterli koruma düzeyine sahip” kararı olmaması durumunda dahi, bu ülkede kişisel veri süjeleri için icra edilebilir hakların ve etkili yaptırımların bulunması şartı ile, veri sorumlusu veya işleyeni tarafından uygun önlemlerin alınması durumunda, bu ülkeye GDPR’ın uygulama alanına giren kişisel veriler aktarılabilir. GDPR uygun önlemlerin ne şekilde alınabileceğine m.46/f.II ve f.III’te açıklık getirmiştir. Bunlardan öne çıkanlar bağlayıcı kurumsal kurallar, standart veri koruma maddeleri^[25], sertifikasyon mekanizmalarıdır^[26].  Bu alternatif araçların belirli sektörler ve işletme şekillerinin ihtiyaçlarını karşılaması amaçlanmaktadır^[27].  Örneğin bağlayıcı kurumsal kurallar, grup şirketleri içinde ve aynı şirket gurubuna dahil olmamakla birlikte, ortak ekonomik aktivitede bulunan şirketler (ör. aynı havayolu ittifakına dahil şirketler arasında) arasında kişisel veri aktarımını mümkün kılmaktadır^[28]. Her ne kadar veri sorumlusu veya işleyen tarafından uygun önlemlerin alınması, GDPR’ın uygulama alanına giren kişisel verilerin üçüncü ülkeye aktarımı için alternatif bir çözüm yolu sunsa da bunun teşebbüsler açısından ek yükler getirdiğinin, maliyetli ve hata payının yüksek olduğunun altının çizilmesi gerekmektedir^[29].

Türkiye’nin kişisel verilerin korunması ile ilgili mevzuatının büyük ölçüde Direktif ile uyumlu olduğu^[30] ve Türkiye’de kişisel veriler için sağlanacak korumanın, Avrupa Birliği ile olan tüm ekonomik ve siyasi ilişkilileri^[31] yakından ilgilendirdiği göz önüne alındığında, yapılacak düzenlemeler ile GDPR ile tam uyumlu hale gelerek, “yeterli koruma düzeyine sahip” ülke olarak tanınmanın en etkili yol olduğu kanaatindeyiz.  Her ne kadar bu yasa koyucu ve ilgili idari makamlar için zahmetli ve uzun süreli ek yük ve mesailer anlamına gelse de günün sonunda ülkemizdeki veri sorumluları ve işleyicilerini masraflı ve hata payı yüksek alternatif araçlara başvurmaktan koruyacak ve herhalde uzun vadede ülke ekonomisi için daha yararlı olacaktır.  Bu amaçla halihazırda Komisyon tarafından “yeterli koruma düzeyine sahip” ülke olarak tanınan ülkelerin mevzuatları yol gösterici olabileceği gibi, 30 Mart 2019 23:00(GMT) itibari ile üçüncü ülke konumuna gelecek Birleşik Krallık’ın Avrupa Birliği ile arasında serbest veri dolaşımını korumak adına alacağı önlemlerin de yakından izlenmesi gerektiği kanaatindeyiz.

 

SONUÇ

GDPR’ın taslağının ilk yayınlandığı günden beri yarattığı tartışma ortamı ve etki dikkate alındığında, bunun sadece bir mevzuat olmanın ötesinde, aslen kişisel verilerin korunması ve bu alanın hukuken düzenlenmesinde, küresel ölçekte yön gösterici bir kaynak olduğunun kabul edilmesi gerekmektedir.

Ekonominin dijitalleşmesi ve veri devriminde, hukuki standartların belirlenmesi açısından, öncü olmayı hedefleyen ve bu alana yön vermek isteyen Avrupa Birliği, bu emeline kişisel veriler anlamında, GDPR ile ulaşmıştır. Nitekim Avrupa Birliği ile güçlü ticari ilişkileri olan İsviçre, Yeni Zelanda, İsrail gibi ülkelerin iç hukuklarını GDPR’a uyumlu hale getirerek “yeterli koruma düzeyine sahip” ülke olarak tanınmaları, ABD’nin Kaliforniya eyaletinde henüz yasalaşan Consumer Privacy Act 2018 (Tüketici Gizlilik Yasası) ve ABD’nin yakın zamanda federal seviyede benzer bir yasa yapacağının kuvvetle muhtemel olması, GDPR’ın oyunun kurallarını belirlediğinin en büyük kanıtıdır.

Türkiye için ise Avrupa Birliği’nin gerek siyasal gerekse ticari önemi tartışmasızdır. Bunun en büyük yansıması da kanun koyucunun özellikle ticari faaliyetlerle ilgili yasama faaliyetlerinde Avrupa Birliği Hukuku ile uyumu yakalama gayretinde olmasıdır. Nitekim kişisel verilerin korunması bakımından da aslen Türkiye’nin, uzun bir süreç sonunda kanunlaşan, KVKK ile amaçladığı o zaman yürüklükte olan Direktif’i ile uyumun sağlanmasıydı. Ancak Direktif’in, en temelde bununla ayni yönde olmak ile birlikte, daha ayrıntılı hükümler içeren ve üye ülkelerde doğrudan uygulanan, GDPR ile yürüklükten kaldırılması, Avrupa Birliği ile tam uyum hedefini zora sokmuştur. Her ne kadar Kişisel Verileri Koruma Kurul’u yaptığı ikincil mevzuat, verdiği kararlar ve diğer yayınları ile GDPR’a yakınlaşsa da bunların tam uyum için yeterli olup olmayacağı ve aslen bu şekilde uyumun sağlanmaya çalışılmasının ne kadar verimli olduğu tartışmaya açıktır.

Kanımızca Türkiye, kişisel verilerin korunması ile ilgili yüksek standartlara sahip bir ülke olmak için KVKK ile attığı ilk adımı ve Kanun’un yürürlüğe girdiği günden bu güne kadar geçen zamanda kat ettiği yolu da dikkate alarak, GDPR ile uyum konusuna daha sistematik yaklaşmalıdır.  Bu amaçla kısa, orta ve uzun vadeli planlar yapılmalı ve en nihayetinde ve ivedilikle “yeterli koruma düzeyine sahip” ülke statüsüne gelmek amaçlanmalıdır. “Yeterli koruma düzeyine” sahip ülke statüsünde olmak uzun vadede ülke ekonomisine büyük katkılar sağlayacağı gibi, aslen, kişisel verilerin korunması anlamında Avrupa Birliği ile aynı standartlarda olmak, Türkiye’nin modern ekonomik düzende arzu ettiği yerde olabilmesi için bir zorunluluktur.

 

İşbu makale bir ortak makale niteliğinde olup ilk defa AIPPI Fikri Mülkiyet Hakları Derneği Fikri Gündem Dergisinin 2018 sayısında yayınlanmıştır. Numaralandırılmış her bir bölümün yazarı aşağıda sırayla belirtilmiştir:

* N. Dilek Yıldırım

** Av. Deniz Merve Ersoy Pınar

*** Av. Nevin Öner

**** Av. Nazlı Cansın Karga Giritli 

 

[1] Anayasa m.20/f.III: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

[2] “IBM Güvenlik İş Birimi ve Ponemon Institute, Veri İhlalinin Maliyeti adlı yıllık araştırmasını yayınladı. (…) Türkiye’de, araştırmada bir veri ihlalinin belirlenmesi için gereken ortalama süre 225 gündü ve belirlendiğinde bir veri ihlalini kapsama almak için gereken ortalama süre 86 gündü. Bir ihlali 30 günden daha kısa sürede kapsama alan şirketler, bu sürenin 30 günden fazla olduğu şirketlere kıyasla 1 milyon ABD Doları tasarruf etti. Araştırmada aynı zamanda bir veri ihlalinin sektörler üzerindeki etkisi de ortaya kondu. Türkiye’de veri ihlalleri için en pahalı sektörler listesinin başında finans, hizmetler ve teknoloji sektörlerinin yer aldığı ve kuruluşlara kişi başına maliyetin sırasıyla 615 TL, 560 TL ve 558 TL olduğu belirlendi.”  Daha detaylı bilgi için bakınız: “Türk şirketler veri ihlalini 225 gün sonra farkediyor!” (Çevrimiçi) https://siberbulten.com/teknik/veri-kaybi/turk-sirketler-veri-ihlalini-225-gun-sonra-fark-ediyor/ 3 Ağustos 2018

[3] Ayşenur Akıncı, “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuk Bakımından Değerlendirilmesi” (Çevrimiçi) http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf, 30 Temmuz 2018.

[4]  Bu istisnalar şu şekilde sıralanabilir:

• 04.2018 tarihli 2018/32 sayılı karar uyarınca herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler; 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren noterler; 5253 sayılı Dernekler Kanununa göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler; 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi partiler; 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren avukatlar; 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler;
• 06.2018 tarihli 2018/68 numaralı karar uyarınca 4458 Sayılı Gümrük Kanunu uyarınca faaliyet gösteren gümrük müşavirleri ve yetkilendirilmiş gümrük müşavirleri;
• 07.2018 tarihli 2018/75 numaralı karar uyarınca Adalet Bakanlığı Hukuk İşleri Genel Müdürlüğü Arabuluculuk Daire Başkanlığı’ndan alınan Arabulucular;
• 07.2018 tarihli 2018/87 numaralı karar uyarınca yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar;

30286 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Siciline kayıt yükümlülüğünden istisna tutulmuşlardır.

[5] Ayşenur Akıncı, “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuk Bakımından Değerlendirilmesi” (Çevrimiçi) http://www.bilgitoplumu.gov.tr/wp-content/uploads/2017/07/AB_Veri_Koruma_Tuzugu.pdf, 30 Temmuz 2018; (Çevrimiçi) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679, 20 Ağustos 2018

[6]Mariusz Krzysztofek, “Post-Reform Personal Data Protection in the European Union”, Hollanda, Kluwer Law International, 2017, s. 9

[7] Ayşenur Akıncı, “Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuk Bakımından Değerlendirilmesi”

[8](Çevrimiçi) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679, 20 Ağustos 2018

[9](Çevrimiçi) http://kpveri.com/tr/2017/08/02/cocuklara-ait-kisisel-verilerin-korunmasi/, 31 Ağustos 2018

[10] “GDPR Key Changes” (Çevrimiçi) https://www.eugdpr.org/key-changes.html, 15 Ağustos 2018

[11] Yönetmelik düzenlemesi yaparak, Kişisel Verilerin Korunması Hakkında Kanun ile GDPR arasındaki farklılıkların giderilmeye çalışılması halinde, Yönetmeliklerin, Kanuna aykırı olmaması hususunda hassasiyet gösterilmesi gerektiği açıktır. Hukukun temel prensiplerinden biri olan Yönetmeliklerin, Kanuna aykırı olmaması gerektiği prensibinin uygulanmadığı durumlarda, haklı olarak açılacak iptal davaları sonucunda, yönetmelikler bakımından yürürlüğün durdurulması ve iptali kararları verilebilecek ve bu neden ile yönetmelik düzenlemeleri ile öngörülen bu uyumlaştırma sağlanamayacaktır. Nitekim, 20.10.2016 tarihli ve 29863 Sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliğin, Kişisel Verileri Koruma Kurumu’nun görüşü alınmadan hazırlanması ve yürürlüğe girmesi nedeni ile, Danıştay 15. Dairesi tarafından verilen 6.7.2017 tarihli 2015/10500 E. sayılı karar ile işbu Yönetmeliğin yürürlüğü durdurulmuştur.

[12] Avrupa Komisyonu, “Towards a Thriving Data-driven Economy” (Communication) COM(2014) 442 final (Çevrimiçi) https://ec.europa.eu/digital-single-market/en/news/communication-data-driven-economy, 2 Temmuz 2018.

[13] GDPR Gerekçe 9.

[14] Üye ülkelerin kendi iç mevzuatlarını uyumlu hale getirmeleri gereken Direktiften ziyade, tüm üye ülkelerde doğrudan uygulanabilirliği bulunan Tüzüğün düzenleme aracı olarak seçilmesinin temel nedenlerinden biri de üye ülkelerde eşit seviyede koruma sağlayarak, 95/46/EC Sayılı Kişisel Verilerin Korunması Direktif’i döneminde, kişisel verilerin korunması ile ilgili, bu ülkeler arasında ortaya çıkan farklılıkların ortadan kaldırılmasıdır.

[15] GDPR Gerekçe 11 ve 12.

[16] Avrupa Birliği ve Avrupa Ekonomik Alanı/Avrupa Serbest Ticaret Bölgesi ülkeleri dışında kalan tüm ülkeler üçüncü ülke olarak nitelendirilmektedir.

[17] GDPR m.44.

[18] GDPR m.45.

[19] GDPR m.46.

[20] GDPR m.49’da düzenlenen istisnai haller burada ayrıntılı şekilde ele alınmayacaktır. Ancak okuyucuya bu madde ile ilgili genel bir fikir vermesi açısından, bu istisnai hallerden bazılarını örnek olarak vermenin yararlı olacağı kanaatindeyiz. Örneğin m.49/f.I/b.a veri süjesinin, verisinin üçüncü ülkeye aktarılmasına, bu aktarımın muhtemel riskleri ile ilgili bilgilendirildikten sonra, açıkça rıza vermesi durumunu istisnai bir hal olarak düzenlemektedir. Yine m.49/f.I/b.d kamu çıkarları ile ilgili önemli gerekçelerin bulunması durumunda kişisel verilerin üçüncü ülkeye aktarılabileceğini düzenlemektedir.

[21] Avrupa Komisyonu, “Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers” (Çevrimiçi) http://europa.eu/rapid/press-release_MEMO-17-15_en.htm, 2 Temmuz 2018; Şu ana kadar Komisyon’un ‘yeterli koruma düzeyine sahip’ kararı verdiği ülkeler: Andora, Arjantin, Kanada (kısmi), Faeroe Adaları, Guernsey, İsrail, Mad Adası, Jersey, Yani Zelanda, İsviçre, Uruguay ve Amerika Birleşik Devletleri (Privacy Shield) (kısmi).

[22] GDPR m.45/f.II.

[23] Konu ile ilgili daha ayrıntılı bilgi için bkz. Avrupa Komisyonu, “Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers” (Çevrimiçi) http://europa.eu/rapid/press-release_MEMO-17-15_en.htm, 2 Temmuz 2018.

[24] Adam Rose, “Personal Data Transfers between the UK and EEA post-Brexit” (Çevrimiçi) https://www-lexisnexis-com.ezproxy.lib.gla.ac.uk/uk/lexispsl/commercial/docfromresult/D-WA-A-AA-AA-MsSAYWC-UUW-UZEYAAUUW-U-U-U-U-U-U-ACBBABAUWY-ACBUDAAYWY-CBCCVBCZC-U-U/1/412012, 1 Temmuz 2018.

[25] Standart veri koruma maddelerinin Komisyon tarafından hazırlanması veya bir denetim makamı tarafından hazırlanıp, Komisyon tarafından onaylanması gerekmektedir.

[26] GDPR m.42.

[27] Avrupa Komisyonu “Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers” (Çevrimiçi) http://europa.eu/rapid/press-release_MEMO-17-15_en.htm, 2 Temmuz 2018.

[28] Avrupa Komisyonu “Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers” (Çevrimiçi) http://europa.eu/rapid/press-release_MEMO-17-15_en.htm, 2 Temmuz 2018.

[29] Adam Rose “Personal Data Transfers between the UK and EEA post-Brexit” (Çevrimiçi) https://www-lexisnexis-com.ezproxy.lib.gla.ac.uk/uk/lexispsl/commercial/docfromresult/D-WA-A-AA-AA-MsSAYWC-UUW-UZEYAAUUW-U-U-U-U-U-U-ACBBABAUWY-ACBUDAAYWY-CBCCVBCZC-U-U/1/412012, 1 Temmuz 2018.

[30] Ahmet Ceran, Melis Bostanoğlu, “İKV Değerlendirme Notu AB Veri Güvenliği Ekosisteminin Yörüngesindeki Türkiye’den Notlar” (Çevrimiçi) https://www.ikv.org.tr/images/files/IKV_Degerlendirme%20Notu_204_.pdf, 2 Temmuz 2018 s. 13; Kişisel verileri Koruma Kurulu’nun yapısı ve 6698 Sayılı KVKK’daki istisnalar, halihazırda Türkiye’de kişisel verilere sağlanan koruma ile ilgili tartışılan konular arasında.

[31] Ahmet Ceran, Melis Bostanoğlu, “İKV Değerlendirme Notu AB Veri Güvenliği Ekosisteminin Yörüngesindeki Türkiye’den Notlar” (Çevrimiçi) https://www.ikv.org.tr/images/files/IKV_Degerlendirme%20Notu_204_.pdf, 2 Temmuz 2018 s. 13; Türkiye ile Avrupa Birliği arasındaki vize serbestliği görüşmelerinde de kişisel verilerin korunması gündemdeki konular arasında.

Tags: AIPPI, Avrupa Birliği, data processor, data protection, GDPR, kişisel veri, kişisel verilerin korunması, KVKK, personal data