Gelişen dünya düzeninde her alanda oldukça dikkate değer yenilikler yaşanmaktadır. Aynı durum çok büyük öneme sahip kişisel verilerimiz konusunda da kendisini göstermektedir. Hatta en fazla yenilik ve değişiklik bu alanda yaşanıyor diyebiliriz. Zira kişisel veriler kullanılarak birçok alanda öne geçilmektedir. Bu da kişisel verilerin önemini bir kat daha artırmaktadır.
Bizler de bu derece öneme sahip ve oldukça geniş olan bu alanda kişisel verilerin yurt dışına aktarılmasında uyulacak esaslara değineceğiz Diğer alanlarda olduğu gibi kişisel verilerin korunması ve özellikle yurtdışına aktarılmasında ülkemizde çağın gereklerine uygun olarak koruma tedbirleri alınmış ve 6698 Sayılı kişisel verilerin korunması kanununda yurtdışına aktarmada sıkı önlem alma yoluna gidilmiştir Söz konusu kanunda belirtildiği gibi kişisel verilerin korunması, işlenmesi veri sorumlusundan veri sorumlusuna aktarılması, saklanması ve nihayetinde anonim hale getirilmesi yahut silinmesi ayrı ayrı düzenlenmiştir.
2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerimizi korumak adına birçok alanda yeni düzenlemeler yapmıştır. Bunlardan biri de verilerimizi paylaştığımız kurum, şirket ve benzerlerinin söz konusu verileri yurt dışına aktarıp aktaramayacağı aktarabilecekse hangi şart ve usullerde bunu gerçekleştirebileceği ile ilgilidir. Bu açıdan kanun kişisel verilerin işlenmesi için bazı şartlar gerekmektedir.
Kanunun 5. Ve 6 maddelerindeki hükümlerin yanı sıra özel bir takım şartlar getirmiştir Kişisel Verilerin Korunması kanunun 5. Maddesine göre Kişisel Verilerin İşlenmesi:
(1)Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez (2)Aşağıdaki şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi b)Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması d)İlgili kişinin kendisi tarafından alenileştirilmiş olması e)Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması f)İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Bu maddede belirtildiği gibi kişisel verilerin işlenebilmesi için öncelikli şart kişinin açık rızasının varlığıdır. Eğer bu şart sağlandı ise duruma göre diğer şartlar bulunmadan işleme gerçekleşebilir. Kanunun 6 maddesinde ise özel nitelikli kişisel verilerin işlenme şartları belirtilmiştir.
Buna göre MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kanunun 9. maddesinde ise kişisel verilerin yurt dışına aktarılması düzenlenmiştir. 9. Maddeye göre: MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. Bu maddede belirtildiği gibi yurt dışına veri aktarılabilmesi için öncelikle kişisel verisi aktarılacak kişiden açık rıza alınması gerekir Ancak 5. Maddenin ikinci fıkrasındaki ve 6. Maddenin 3. Fıkrasındaki şartlar varsa, verinin aktarılacağı ülkede yeterli koruma varsa, yeterli koruma olmamakla birlikte Türkiye de bulunan veri sorumlusu yeterli korumayı taahhüt ediyorsa bu durumlarda da veri sahibinin rızası aranmaksızın yurt dışına veri aktarımı yapılabilecektir. Diğer taraftan yeterli korumanın bulunduğu ülkeler her ne kadar kanun lafzında kurulca belirlenip açıklanacağı bildirilmiş ise de çalışmalar devam etmekte olup henüz kurul tarafından yeterli korumanın bulunduğu ülkeler belirlenip ilan edilmemiştir Bununla birlikte kurul yeterli korumaya sahip ülkelerin belirlenmesinde esas alınarak kriterleri belirleyip yine bunu kurumun resmi sayfasında bir form ile yayınlamıştır. Önemle belirtmek gerekir ki kurul yine 9 Mart 2021 tarihinde kendisine gelen taahhütname başvurularında eksiklikleri ve dikkat edilmesi gerekenleri belirleyip yayınlamıştır. Bir diğeri ise kurul yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterleri şöyle belirlemiştir: - Karşılıklılık durumu - İlgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulanması - Bağımsız veri koruma otoritelerinin bulunması -Kişisel verilerin korunması ile ilgili uluslararası anlaşmalara taraf olma ve uluslararası kuruluşlara üye olma durumu -Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu -İlgili ülke ile yürütülen ticaret hacmi Diğer taraftan kişisel verilerin aktarılmasında ilgili esaslara uyulmamasının TCK açısından da ciddi yaptırımları vardır. Türk Ceza Kanunun 135,136,137 maddelerinde konunun cezai boyutu düzenlenmiş ve çeşitli hapis cezaları öngörülmüştür. Konunun idari ceza boyutu ise KVKK 12 maddede düzenlenmiştir Sonuç olarak tüm dünyada olduğu gibi ülkemizde de kişisel verilerin yurt dışına aktarılmasında oldukça ciddi çalışmalar yapılmakta ve bu çalışmalar titizlikle yürütülmektedir. Bu çalışmalardaki amaç ise kişisel verilerin mümkün olduğunca paylaşımının engellenmesi eğer paylaşımı gerekiyorsa da bunun kişinin temel hak ve özgürlüklerine zarar vermeden yapılması. kişinin özel ve hayatına müdahale edilmemesidir. AKSİ durumda ise paylaşımı yapanlar başta hapis ve para cezası olmak üzere ciddi yaptırımlarla karşılaşacaklarıdır.