TÜRK HUKUKUNDA KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI SORUNU: AÇIK RIZA KAPSAMINDA BİR DEĞERLENDİRME

Yıl 2021, Cilt: 1 Sayı: 1, 82 - 115, 30.04.2021

Sevgi Erarslan

Öz

Küresel bir dünyada yaşıyor olmamızdan mütevellit oldukça önem arz eden kişisel verilerin yurt dışına aktarılması konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenen başlıklardan biridir. Belirli veya belirlenebilir kişilere ait verilerin aktarılması, verileri silmek, anonim hale getirmek, depolamak gibi kişisel verilerin işlenme yöntemlerinden biridir. Ancak bu işlemi, diğer işleme yöntemlerinden ayıran birtakım özellikler vardır. Kişisel verilerin yurt dışına aktarılması uygulamada birçok belirsizliğe yol açan, kapsamı, sınırları tartışılan, bu hususta çok az uygulama örneği olmasından mütevellit de birçok soruna yol açan bir konudur. Bu gerçek de kişisel verilerin aktarılması kurallarını ayrıca ortaya koymamızı gerektirmektedir. Bu anlamda çalışmamız kişisel verilerin yurt dışına aktarılmasına hasredilmiştir. Uygulamada kişisel verilerin aktarılmasının hukuka uygunluğunu tespit etmek oldukça zordur. Zira kişisel verilerin aktarılmasına dair kurallar, yeterince açıklanmamasından veya eksik açıklanmasından mütevellit uygulayıcıları bir çıkmaza sürüklemektedir. Bu anlamda 6698 sayılı Kişisel Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu tarafından belirlenen sınırları açıklamak, belirlenmeyen ve eksik bırakılan noktaları ise kişisel verilerin korunması ışığında yorumlamak gerekmektedir. Bu nispetle çalışmamızda, öncelikle kişisel verilerden ne anlaşılması ve bu veriler yurt dışına aktarılırken hangi ilkelere uyulması gerektiği ortaya konulmuştur. Devamında ise kişisel verilerin yurt dışına aktarılmasına esas, ana araç olan “açık rıza”nın mahiyeti, bu rızanın, aktarımı nasıl yasal zemine oturtacağı açıklanmış, son olarak ise açık rızanın yokluğu halinde aktarımın hangi şartlarla hukuka uygun hale getirilebileceği açıklanmaya çalışılmıştır.

Anahtar Kelimeler

Kişisel Veri, Kişisel Verilerin Aktarılması, Açık Rıza, Veri Transferi, Veri Aktarım İlkeleri

THE ISSUE OF TRANSFER OF PERSONAL DATA TO ABROAD IN TURKISH LAW: AN EVALUATION WITHIN THE SCOPE OF OPEN CONSENT

Öz

The issue of transfer of personal data to abroad, which is very important due to the fact that we live in a global world, is one of the issues regulated in the Turkish Personal Data Protection Law No. 6698. Transferring data belonging to certain or identifiable persons is one of the methods of processing personal data such as, deleting, anonymizing, and storing the data. However, there are some features that distinguish this method of process from other data processing methods. The transfer of personal data to abroad is an issue that causes many uncertainties in practice and which its scope, and limits are discussed, and which causes many problems due to the fact that there are very few examples of practice in this regard. This fact also requires us to reveal the rules of transferring personal data. In this sense, our work is devoted to the transfer of personal data abroad. In practice, it is very difficult to determine the lawfulness of the transfer of personal data. Because the rules on the transfer of personal data bring to a deadlock for the practitioners due to their lack of clarity or incomplete disclosure. In this sense, it is necessary to explain the limits set by the Personal Data Protection Law No.6698 and the Personal Data Protection Authority, and to interpret the undetermined and missing points in the light of the protection of personal data. Hence, first of all, what should be understood from personal data and which principles should be followed when transferring these data to abroad were explained in our study. Furthermore, the nature of the “open consent”, which is the basis for the transfer of personal data to abroad, and how this consent will put the transfer on a legal basis was explained. Finally the conditions under which the transfer can be made in accordance with the law were explained in the absence of open consent.

Anahtar Kelimeler

Personal Data, Transfer of Personal Data, Open Consent, Data Transfer, Data Transfer Principles

Kaynakça

• Akgül, Aydın, “Kişisel Verilerin Korunması Açısından İdarenin Hukuki Sorumluluğu ve Yargısal Denetimi”, Doktora Tezi, Kocaeli, 2013.
• Aksoy, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Ankara: Çakmak Yayınevi, 2010.
• Anı, Nevzat Ali, “Kişisel Verilerin İşlenmesi ve Açık Rıza”, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2018.
• Article 29 Data Protection Working Party, “Opinion 15/2011 on the Definition Of Consent”, 13 Temmuz 2011, (Çevrimiçi), http://ec.europa.eu/justice/policies/privacy/index_en.htm 17 Ocak 2021.
• Avcıoğlu, Nur Halet, “Türk Hukukunda Kişisel Verilerin Korunması Hakkı”, Yayımlanmamış Yüksek Lisans Tezi, Konya, 2018.
• Aydın, Sedat Erdem, AİHM İçtihatları Bağlamında Kişisel Verilerin Kaydedilmesi Suçu, İstanbul: On İki Levha Yayıncılık, 2015.
• Ayözger, Ayşe Çiğdem, “Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması”, Yayımlanmamış Doktora Tezi, İstanbul, 2016.
• Başalp, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara: Yetkin Yayınları, 2004.
• Boz, Ahmet, “Kişisel Verilerin Korunması: Türkiye, ABD ve AB Örnekleri”, Yayımlanmamış Yüksek Lisans Tezi, Ankara, 2014.
• Çekin, Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, İstanbul: On İki Levha Yayıncılık, 2018.
• Dinkci, Fatih, “Kişisel Verilerin Korunmasında Uluslararası Düzenlemeler ve Türkiye Örneği”, Yayımlanmamış Yüksek Lisans Tezi, Samsun, 2014.
• Dural, Mustafa / Öğüz, Tufan, Türk Özel Hukuku: Kişiler Hukuku, C.II, 19.Baskı, İstanbul: Filiz Kitabevi, 2018.
• Dülger, Murat Volkan, Kişisel Verilerin Korunması Hukuku, İstanbul: Hukuk Akademisi, 2019.
• Erdinç, Göksu Hazar, “Bilgi Güvenliği, Kişisel Verilerin Korunması ve Biyometrik Verilerin İşlenmesine İlişkin Öneriler”, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2017.
• European Union Agency for Fundamental Rights/ Council of Europe, Handbook on European Data Protection Law, Lüksemburg, Publications Office of the European Union, 2018.
• GDPR, “Conditions for Consent”, Recital 32, (Çevrimiçi), https://gdpr-info.eu/recitals/no-32/ 29 Ocak 2021.
• GDPR, “Principles of Data Processing”, Recital 39 (Çevrimiçi) https://gdpr-info.eu/recitals/no-39/ 29 Ocak 2021.
• Henkoğlu, Türkay, “Hassas Bilgi Varlıklarının ve Kişisel Verilerin Hukuksal Düzenlemeler ile Korunması ve Bu Kapsamda Üniversiteler İçin Bilgi Güvenliği Politikasının Geliştirilmesi”, Doktora Tezi, Ankara, 2015.
• Henkoğlu, Türkay / Yılmaz, Bülent, “Avrupa Birliği (AB) Bilgi Güvenliği Politikaları -European Union (EU) Information Security Policies”, Türk Kütüphaneciliği Dergisi, C.XXVII, No:3, 2013, s. 451-471.
• Information Commissioner’s Office (ICO), “Guide to Data Protection”, 07 Temmuz 2017 http://www.inf.ed.ac.uk/teaching/courses/pi/2017_2018/PDFs/guide-to-data-protection-2-9.pdf 18.Ocak 2021.
• Kişisel Verileri Koruma Kurumu, “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”, Ankara: KVKK Yayınları, 2018, (Çevrimiçi), https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf 29 Ocak 2021.
• Küçük, Tevfik Sönmez, “Kişisel Verilerin Korunması Hakkı Çerçevesinde Kamuya Açık Alanların Kamu Tüzel Kişileri Tarafından Video Kamera Aracılığı İle Önleyici Amaçla İzlenmesi”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C.XV, No:1, 2018, s.49-87.
• Küzeci, Elif, Kişisel Verilerin Korunması, 3.Baskı, Ankara: Turhan Kitabevi, 2019.
• Şimşek, Oğuz, Anayasa Hukukunda Kişisel Verilerin Korunması, Ankara: Beta Yayınevi, 2008.
• Lambert, Paul B., The Data Protection Officer: Profession, Rules, and Role, New York, CRC Press Taylor & Francis Group, 2017.
• Lambert, Paul B., Understanding the New European Data Protection Rules, New York, CRC Press Taylor & Francis Group, 2018, (Lambert, Data Protection Rules).
• Mason, John, “VPN Beginner’s Guide”, 26 Şubat 2019, (Çevrimiçi), https://thebestvpn.com/what-is-vpn-beginners-guide/ 29 Ocak 2021.
• Özdemir, Hayrunnisa, “Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması”, Doktora Tezi, Ankara, 2009.
• Privacy International, “The Keys to Data Protection: A Guide for Policy Engagement on Data Protection”, Birleşik Krallık, 2018, (Çevrimiçi), https://privacyinternational.org/sites/default/files/2018-09/Data%20Protection%20COMPLETE.pdf 17 Ocak 2021.
• Raul, Alan Charles, “Global Overview”, The Privacy, Data Protection and Cybersecurity Law Review, Ed. Alan Charles Raul, 4.Baskı, Londra, Law Business Research Ltd, 2017.
• Room, Stewart, Data Protection and Compliance: in Context, Birleşik Krallık, British Informatics Society Limited, 2007.
• Sarıusta, Kader, “Kişisel Verilerin Ceza Hukuku Yoluyla Korunması”, Yayımlanmamış Yüksek Lisans Tezi, Gaziantep, 2018.
• Taştan, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. Baskı, İstanbul: On İki Levha Yayıncılık, 2017.
• United Nations General Assembly, “Guidelines for the Regulation of Computerized Personal Data Files (Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri)”, 14 Aralık 1990, (Çevrimiçi), https://www.refworld.org/pdfid/3ddcafaac.pdf 12 Ocak 2021.
• Uygun, Murat, “Avrupa Birliğinin 95/46 Sayılı Veri Koruma Yönergesi Işığında Kişisel Verilerin Korunması”, Yayımlanmamış Yüksek Lisans Tezi, Ankara, 2010.
• Voigt, Paul / Bussche, Axel Von Dem, The EU General Data Protection Regulation(GDPR):A Practical Guide, Almanya, Springer International Publishing, 2017.
• Yılmaz, Sabire Sanem, “Tıp Alanında Kişisel Verilerin Hukuka Aykırı Olarak Verilmesinin Ceza Hukuku Açısından Değerlendirilmesi (Sır Saklama Yükümlülüğü Kapsamında)”, Yüksek Lisans Tezi, İstanbul, 2014.