logosticky-logologologo
  • Overview
    • Our Values
      • As we navigate the oceans with our clients, we take pride to be innovative and at the same time remain strongly attached to our core values.
    • Our Competencies
      • Since 1996, we have been providing value-added services to our customers via our offices in Turkey and across the world through our qualified experts as well as innovative business models and cutting-edge digital solutions.
    • Our Board of Directors
      • With our experienced and dedicated senior staff and teams, we aspire to be beneficial to the society and we want to create sustainable added value.
    • Our Journey
      • In 1996, we set sail on a small boat. Today, we are navigating the ocean with the goal of creating sustainable added value on a global scale while sticking firmly to our core values.
  • Our Solutions
    • COMPLIANCE
      • Tax-Audit
      • Legislation- Risk and Process Management
      • Technical Payroll and Personnel Incentive Solutions
      • Financial Consultancy and Accounting Solutions
      • Patent Applications and Process Management
    • Consultancys
      • Tax Consultancy
      • Legislation and Risk Management Consultancy
      • R&D and Innovation Management
      • National & International Fund Resources Management
      • Patent Valuation and Commercialization
      • M&A and Corporate Finance Consultancy
    • Globalization
      • Localization
      • Market Research Report
      • Business Development
      • Incentives and Grants for Turkey and Target Countries
      • M&A (Mergers and Acquisitions)
      • Global Health Sector Opportunities
    • Our Digital Solutions
      • Online Consulting
      • eDanışman
      • Argera
      • Arge Finans
      • Advantage Compass
      • Ask About R & D
      • SİBA
      • Wecover
  • Library
    • Training and Events
    • V-Blog
    • Guidelines
    • Newsletter
    • Articles
  • Career
    • Our HR Strategy
    • Become a Team Member
  • Contact Us
  • Online Payment
  • Dil
    • TR
    • EN
BİYOMETRİK VERİ İŞLEME FAALİYETLERİNDE YASAL UYUM
10 June 2020
ALAN ADI UYUŞMAZLIKLARI
10 June 2020
10 June 2020

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile yakından ilgilenen veya KVKK hakkında farkındalığı bulunan organizasyonlar ve özellikle uygulayıcılar bakımından yurt dışı aktarımı, içerisinde birçok belirsizliği barındıran kanayan bir yaradır. Esasında konu ile ilgili uluslararası düzenlemeler ve çeşitli yurt dışına aktarım yöntemleri bulunmasına rağmen, Kişisel Verileri Koruma Kurulu (“Kurul”) konu ile ilgili vermiş olduğu son Amazon Türkiye kararı ile aslında hâlihazırda süreci hukuka uygun hale getirebilecek tek yöntemin  “ilgili kişinin açık rızasının alınması” olduğunu ortaya koymuştur. Amazon Türkiye kararı, bir yandan “yurt dışı aktarımında daha önce ceza verilmediği” algısını ortadan kaldırmaya çalışırken bir yandan da KVKK madde 9 (2) kapsamında yurt dışına aktarım yöntemlerinden biri olan veri aktarım taahhütnameleri ile ilgili uygulamadaki bazı soru işaretlerini gidermeyi hedeflemektedir. Nitekim, veri aktarım taahhütnamesi sunmuş ve onay bekleyen bir organizasyonun, süreç askıdayken diğer yurt dışı aktarım yöntemleri ile süreci hukuka uygun hale getirmiş olmasının beklendiği ve taahhütname sunulmasının idari yaptırımı hafifletici bir etken olamayacağı görülmüştür. Zira, Kurul’un taahhütnamenin onay sürecinde olması nedeniyle, süreci hukuka uygun hale getirebilmesi için veri sorumlusuna belirli bir süre vererek talimatlandırma seçeneğini tercih etmediği anlaşılmaktadır.

Peki, uygulamada yurt dışı aktarımının hangi şekillerde gerçekleştiği düşünülürse, operasyonel olarak ilgili kişinin açık rızasını almak ne kadar mümkün müdür?

Bu soruları yanıtlayabilmek için öncelikle, uygulamada sıklıkla yurt dışı aktarımı hangi şekillerde gerçekleşmektedir? sorusunu düşünmek gerekir. İlk etapta, global ölçekli ana merkezi yurt dışında olan ve Türkiye’de iştiraki bulunan bir şirketin, Türkiye’de bulunan iştiraki tarafından ana merkeze kişisel veri aktarımı gerçekleştirilmesi düşünülebilir. Genellikle, yönetim ve karar alma mekanizmalarının ana merkezde bulunması nedeniyle Türkiye’deki iştirak tarafından içeriğinde kişisel veri bulunan iş süreçlerinde raporlama yapılması gerekebilmektedir. İkinci olarak da uygulamada en sık karşılaştığımız, organizasyonların kurumsal e-posta hizmeti kullanımı bakımından sunucuları yurt dışında bulunan bir hizmet kullanması akla gelmektedir. Nitekim, hem küçük veya orta ölçekli işletmeler hem de büyük ölçekli organizasyonlar bakımından özellikle hizmet kalitesi ve veri güvenliği gerekçeleri ile bahse konu hizmetlerin tercih edilmesi söz konusudur.

Hem sunucuları yurt dışında bulunan hizmetleri kullanan hem de ana merkezi yurt dışında bulunan organizasyonlar bakımından Amazon kararı sonrasında uygulanması önem arz eden hususlar bulunmaktadır. Öncelikle, KVKK’ya uyum projesini gerçekleştirmiş veya gerçekleştiren bir organizasyonun yurt dışına aktarım niteliğinde kabul edilebilecek araçları tespit etmesi veya tespit edilmiş ise gözden geçirmesi gerekir. Sonrasında, ilgili araçlar ile kişisel verisi aktarılan ilgili kişiler, aktarılan veri kategorileri ve aktarım amaçlarının tespiti gereklidir. Yapılan inceleme ve tespitlerden sonra, daha önce düzenlenmiş aydınlatma metinlerinin yurt dışı aktarımına uygun olarak güncellenmesi ve bu metinlere referans verecek şekilde ayrı açık rıza metinleri ile sürecin kurgulanması söz konusu olmalıdır. Gerekli görülen durumlarda, mevcuttaki aydınlatma metinleri yerine, sadece yurt dışına aktarıma özgü aydınlatma ve açık rıza metni ile süreç yürütülebilir; ancak, genel anlamda yurt dışı aktarımı, ilgili iş sürecinin bir parçası olduğundan mevcut metinlerin güncellemesi ile ilerleyebilmek söz konusu olabilecektir. Bu noktada, açık rızanın kurgusu kilit nokta olacağından ilgili uyarlamalar yapılırken Amazon Kararındaki hususlar dikkate alınmalıdır.

Nitekim, Kurul’un rehberlerine de bakıldığında, açık rızanın aşağıdaki unsurları taşıması gerektiği görülmektedir:

  • Rızanın belirli bir konuya ilişkin olması,
  • Rızanın bilgilendirmeye dayalı olması,
  • Özgür irade ile açıklanması.

Amazon Türkiye kararında da gördüğümüz üzere, genellikle aydınlatma metinlerinde birden fazla hukuki sebebin bir arada bulunması nedeniyle ilgili metin üzerinde açık rızanın unsurlarını sakatlamayacak şekilde ifadeler kullanılmalı ve ilgili kişinin ayırt edebileceği bir bilgilendirme formatı tercih edilmelidir.

Yine açık rıza metninde de kullanılan ifadenin ilgili aydınlatmaya uygun olması, ilgili işlemi aşar nitelikte genel olmaması ve özellikle açık rızanın ilgili kişinin “olumlu irade beyanı” ile alındığının ispat edilebilir olması gerekmektedir.

Kurul’un 31.05.2019 tarihli G-mail kararından yaklaşık bir yıl sonra verdiği Amazon Türkiye kararı sonrası, her ne kadar açık rıza yurt dışı aktarımında tek geçerli yöntem olarak belirtilmiş ise de uygulanabilir bir geçerli yöntem olduğu tartışmalıdır. Şöyle ki, teorik olarak yukarıda belirtilen hususlara dikkat edilerek açık rıza almak çözüm gibi görülse de, pratikte açık rıza her duruma uygun bir yöntem olamayabilecektir. Örneğin, e-posta hizmeti bakımından düşünüldüğünde, e-posta içerisinde aktarılan ve/veya aktarılabilecek kişisel verileri tam ve eksiksiz olarak tespit etmek dahi mümkün olamayabilecektir. Yurt dışı aktarımına ilişkin araçlar ve sürecin gerektirdiği ilgili tüm tespitin yapılmış olması halinde ise, her bir ilgili kişi grubundan (çalışan, müşteri, tedarikçi vb.) kişisel veri aktarımı öncesi teknik anlamda açık rızanın unsurlarını sakatlamadan farklı bir araç ile açık rıza alınması operasyonel olarak pek uygulanabilir görünmemektedir. Üstelik açık rızanın mümkün olduğu durumlar yaratılsa bile, “açık rızanın hiçbir gerekçe göstermeden geri alınabilir” niteliğinin bulunması, organizasyonlar bakımından ilgili iş sürecini aksatabilecektir. Bu durumda, alternatif yöntemler uygulanabilir olana kadar, mümkün olan en kısa sürede organizasyonlar tarafından söz konusu ticari riskin nasıl yönetileceği ile ilgili aksiyon planı oluşturulması gerekecektir.

01.06.2020

Av. Damla Yılmaz, LL.M.

Share

Related posts

25 June 2020

IMPACTS OF COVID-19 PANDEMIC ON JUDICIAL AND ADMINISTRATIVE PROCEEDINGS IN TURKEY: RECENT DEVELOPMENTS AND THE SUSPENSION OF DEADLINES


Read more
10 June 2020

BİYOMETRİK VERİ İŞLEME FAALİYETLERİNDE YASAL UYUM


Read more
10 June 2020

TİCARİ ELEKTRONİK İLETİLERDE YENİ DÖNEM: İLETİ YÖNETİM SİSTEMİ


Read more

Related Links    Privacy Policy    Protection of Personal Data    Legal    Contact Us

© 2020 SG. All Rights Reserved. by EY08
This website uses cookies to improve your experience, but you can disable it if you wish.Privacy PolicyACCEPT
Privacy Policy & GDPR

Çerezlere Genel Bakış

This website uses cookies to improve your experience while browsing the website. Of these cookies, cookies that are categorized as necessary are stored in your browser as they are necessary for the basic functions of the website to work. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your permission. You also have the option to disable these cookies. However, disabling some of these cookies may affect your browsing experience.
Necessary
Always Enabled

The necessary cookies are absolutely necessary for the website to function properly. This category only includes cookies that provide the basic functions and security features of the website. These cookies do not store any personal information.

Non-necessary

Cookies that are not particularly necessary for web-based work, and especially analysis, advertisements, rechargeable embedded content are used. You must obtain the necessary consent before operating these cookies on your website.