Otomotiv sektöründe faaliyet gösteren bir firmanın müşterilerine mesaj atması ve müşterilerden birinin Kişisel Verileri Koruma Kurulu (Kurul)’na şikâyette bulunması üzerine, Kurul 4 Eylül Cuma günü yurt dışına kişisel veri aktarımıyla ilgili oldukça kritik bir karar yayınladı. Bu kararla konuya ilişkin Türkiye ‘nin taraf olduğu sözleşmeler değerlendirildi.

A) Yurt dışına kişisel veri aktarımı konusu iç hukukumuzda 6698 Sayılı KVKK’nın 9 uncu maddesinde düzenlenmektedir. Bu düzenlemeye göre kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak;
– Açık rıza yoksa, Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı halinde kişisel veriler,
* aktarımın yapılacağı ülkede yeterli korumanın bulunması şartıyla,
* yeterli koruma bulunmuyorsa, veriyi aktaran ile yurt dışındaki veri alıcısının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve bu taahhüdün Kişisel Verileri Koruma Kurulu tarafından onaylanması suretiyle,
yurt dışına aktarılabilir.

B) Türkiye’ nin de taraf olduğu uluslararası sözleşmelerden olan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme) ‘nin 12 inci maddesine göre: “Taraflar sadece özel yaşamın korunması amacıyla, kişisel verilerin diğer bir tarafa sınır ötesi aktarımını yasaklayamaz veya özel bir izne tabi tutamaz.” Ancak;
-Diğer tarafın uygulamalarının ilgili tarafın mevcut yasal düzenlemelerinde belirli kategorideki kişisel veriler için öngördüğü uygulamalarıyla eşdeğer bir koruma içermemesi halinde,
-Taraf olan bir ülke üzerinden taraf olmayan başka bir ülkeye aktarım yapılarak aktaran ülke mevzuatındaki boşlukların kullanılması halinde,
yurt dışına aktarım yapılmasına yasaklama getirilebilir veya yurt dışına aktarıma ilişkin eş şartlar konulabilir.

C) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol’ün (181 sayılı ek protokol) 2 nci maddesine göre ise;
-Sözleşmeye taraf olmayan devletin veri aktarımının yeterli seviyede korunmasını garanti etmesi şartıyla veya,
-Veri sahibi veya kamunun üstün menfaatleri varsa yahut,
-Özellikle akdi hükümlerden kaynaklanabilecek güvencenin transferden sorumlu kontrolör tarafından sağlanması ve iç hukuka uygun olarak bunların yetkili makamlarca yeterli bulunması halinde yurt dışına aktarım yapılabilir.

D) Anayasa’nın 90 ıncı maddesinin (5) numaralı fıkrasında “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğu ve temel hak ve hürriyetlerle ilgili Milletlerarası Antlaşmalarla Kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası Antlaşma hükümlerinin esas alınacağı” belirtilmiştir.

Konu hakkında yapılan düzenlemeleri incelediğimizde, 108 Sayılı Sözleşme ve 181 Sayılı Ek Protokol’de, yurt dışına veri aktarımında kural serbestlik iken; KVKK ‘nın uncu maddesine göre ülkemizdeki uygulamada kural, verilerin yurt dışına aktarımının şarta bağlanmasıdır.

Kişinin yurt dışına veri aktarımı konusunda açıkça rızası var ise, paylaşımın hukuka uygun bir şekilde yapılabileceği hususunda tereddüt bulunmamaktadır.

Aktarımın yapılacağı ülke 108 Sayılı Sözleşme’ye taraf olmayan bir ülke ise, veriler üzerinde Türkiye ile eşdeğer koruma sağlaması gerektiği ve yapılacak aktarımın Kurul’un iznine tabi tutulacağı yönünde bir tereddüt yaşanmamaktadır.

Ancak, 108 Sayılı Sözleşme’ye taraf olan diğer ülkelere karşı veri aktarımının hangi şartlarda yapılacağı konusunda ülkemizde ciddi tartışmalar yaşanmaktadır.

Kurul, Cuma günü verdiği kararında 108 Sayılı Sözleşme’ye taraf olmayı yurt dışına veri aktarımı konusunda tek başına yeterli saymamış ancak önemli kriterlerden biri olarak değerlendirmiştir. Kurul kararının devamında, 108 Sayılı Sözleşme’ye taraf olmanın yanı sıra aktarıma konu kişisel verilerin niteliği, verilerin işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması, bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler, ve ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumlarını da dikkat ettiği kriterler arasında saymaktadır. Kurul, bu duruşunu Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) hükümlerine dayandırmaktadır. GVKT’de, 108 Sayılı Sözleşme’ye taraf olmanın herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip olma anlamına gelmediği, yalnızca yeterlilik değerlendirmesinde dikkate alınacak bir kriter olarak kabul edildiği belirtilmiştir.

KVKK ‘nın 9 uncu maddesi açık bir şekilde 108 Sayılı Sözleşme ile uyuşmayan hükümler içermektedir. Anayasamızın 90 ‘ıncı maddesi 5 inci fıkrasına göre, Kurul 108 Sayılı Sözleşme ve 181 Sayılı Ek Protokol’deki hükümlere göre karar vermelidir.

Hans Kensel piramitindeki normlar hiyerarşisine göre en üstte anayasa altında uluslararası anlaşmalar ve kanunlar olduğunu görmekteyiz. Bunun anlamı anayasanın, kanunlara ve uluslararası anlaşmalara göre öncelikli uygulamaya sahip olacağıdır. Anayasanın ardından kanun ve uluslararası anlaşmalar eşit öncelikte uygulanmaktadır. Anayasa’mızın 11 inci maddesinde de kanunların Anayasa’ya aykırı olamayacağı belirtilmiştir. Burada dikkat edilmesi gereken nokta, Anayasa m.90 da belirtildiği üzere aynı konulara farklı uygulamalar öngören uluslararası anlaşma ve kanun olması ihtimalinde uluslararası anlaşma hükümleri esas alınacaktır.

Kurul kararındaki veri aktarımı Avrupa Birliği üyesi ve 108 Sayılı Sözleşme’ye taraf bir devlet ülkesine yapılmış olup, aktarıma sınırlama getirebilmek için 108 Sayılı Sözleşme’nin 12 inci maddesine göre istisna kapsamına giren bir durum olup olmadığı incelenmelidir. Bu konuda, KVKK ile olayda verilerin aktarılacağı taraf ülke mevzuatının verilerle ilgili getirdiği düzenlemelerin ve Avrupa Birliği üye devletleri için bağlayıcı olan Genel Veri Koruma Tüzüğü’ndeki koruyucu düzenlemelerin buna eşdeğer düzeyde olduğunu söyleyebiliriz. Dolayısıyla ortada 12 nci maddede yer alan istisnai durumlardan biri de mevcut değildir. Bu doğrultuda, olayda yurt dışına veri aktarımına ilişkin açık rıza alınmamış olsa dahi 108 Sayılı Sözleşme açısından kişisel verilerin aktarılmasının mümkün olması gerekirdi.

Her ne kadar Kurul kararında, KVKK ‘nın 9 uncu maddesi ile 108 Sayılı Sözleşme’nin 12 nci maddesinin çelişmediğini, aksine birbirini tamamladığını ifade etmiş ise de, 108 Sayılı Sözleşme ‘ye göre, sözleşmeye taraf devletler arasında veri akışını kolaylaştırmak için yukarıda belirtilen istisnalar dışında herhangi bir yasaklama ya da kısıtlama getirilemeyeceği açıktır.

O halde, Kurul kararındaki yurt dışında bulunan veri sorumlusundan alınması gereken taahhütnamenin 181 Sayılı Ek Protokol’e, dolayısıyla Anayasa ‘nın 90 ıncı maddesinin (5) fıkrasına aykırı olacağı ortadadır. Bu yönde verilen Kurul kararlarına karşı önümüzdeki günlerde tarafların hukuki süreç başlattıklarına şahit olabiliriz.

Kurul kararından çıkarılacak sonuç, yurt dışına veri aktarımındaki en akılcı ve net çözümün ilgili kişiden açık rıza alınarak veri aktarımının gerçekleştirilmesi olacaktır. Buradaki açık rızanın da özgür iradeye ve bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru içermesi gerekmektedir.