Bir çok şirket çalışanları , müşterileri tedarikçileri veya iş ortaklarının farklı ülkelerde bulunması sebebiyle veri aktarım/işleme faaliyeti gerçekleştirmek zorundadır. Genellikle firmalar bu tarz veri aktarımlarını gözden kaçırmaktadırlar. Bugüne kadar KVK Uyum Projelerinde en fazla atlanan konular arasında bu hususun da geldiğini söylemeliyim.
Şirketlerin uluslararası nitelikte faaliyetler göstermesi oldukça zordur. Zira iş ilişkisi içerisinde olan ülkelerin yasalarını, uluslararası düzenlemelerini, bankacılık başta olmak üzere ekonomisini, dilini, kültürünü ve diğer faktörlerinin incelenmesi gerekmektedir. Bütün bunların yanı sıra konumuz “veri” olduğu için Data Protection (Veri Koruma) konusuna da uyum sağlanması gerekmektedir.
GDPR uyarınca önemli soru şudur; Kişisel veriler hukuka uygun olarak Avrupa’dan diğer kıtalara AB üyesi olmayan ülkelere nasıl aktarılacaktır? AB üyesi devletler yeterli veri güvenliği sağlanmadığı takdirde Birlik dışındaki ülkelere kişisel veri gönderemezler. Bu kural merkezleri Avrupa dışında bulunan çok uluslu grup şirketlerini doğrudan etkiler; çünkü söz konusu şirketlerin AB’de bulunan iştiraklerinin çalışanları, yüklenicileri, müşterileri ve diğer irtibat kişilerine ilişkin kişisel verileri paylaşmaları yasaktır. Avrupa’da müşteri, tedarikçi ve diğer iş ortağı bulunan tüm şirketler de Avrupa’daki iş ortaklarının kişisel veri paylaşımları yasak olduğundan bu kuraldan etkilenirler. Ayrıca Avrupa verisi işleyen şirketlere hizmet sunan tüm şirketlerde bu yasaktan etkilenir.
Şirketlerin bir ülkeden başka bir ülkeye veri aktarırken aşağıdaki hususlara dikkat etmeleri gerekmektedir;
I-Kişisel verilerin toplanması ve işlenmesine ilişkin tüm ulusal yükümlülükleri yerine getirmek
II-Başka bir veri sorumlusuna veri aktarımını gerçekleştirmek veya veri alıcısı şirketin kabul edilen sözleşmesel kısıtlamalarla veri işleyen olarak konumlanmasını sağlamak.
III-Veri alıcısı şirketin uygun veri güvenliği düzeyini sağlayabileceğini taahhüt etmek.
Bunları incelersek;
I-Yerel uyum: Her veri toplama ve işleme faaliyetinin tabi olduğu adımlara ilişkindir. Avrupa’da usule ilişkin bir takım görevler (örneğin ilgili kişilere bildirim yapılması, idari izin ve başvuru süreçleri, veri koruma görevlisi (DPO) atanması ve veri güvenliği dokümantasyonunun hazırlanması) ve esasa ilişkin uyum tedbirleri (işleme kapsamı ve veri saklama sürelerinin azaltılması, veri bütünlüğü ile güvenliğinin sağlanması, bireylere verilerine erişim hakkı sağlanması vb.) bu kapsamdadır. Avrupa şirketleri verilerin yurtdışına aktarılmasından bağımsız olarak yerel kurallara uymakla yükümlü olmakla birlikte her aktarım da ulusal kurallara uyum bağlamında önem taşımaktadır. Bunun sebebi, şirketlerin ilgili kişiler ve veri koruma kurumlarına sağladıkları bildirimlerde uluslararası aktarımlara yer verme ve uluslararası aktarımlar ile ilgili olarak Veri Koruma Görevlisinden (DPO) görüş almak yükümlülüğü bulunmasıdır.
II-Veri Paylaşma Kısıtlamaları: Uluslararası aktarımdan bağımsız olarak veri aktarımına ilişkin bir gerekçe bulunmasını gerektirir. Avrupa şirketleri genellikle bordro hizmet sağlayıcılar gibi veri işleyenlere verilerin işlenmesi amacıyla veri aktarabilirler. Şirketlerin, Avrupa kanunları veya diğer kanunlar uyarınca hizmet sağlayıcılara veri aktarımlarını gerekçelendirmek için ek bir adım atmaları gerekmez. Ancak Avrupa şirketleri hukuken geçerli bir gerekçe olmadıkça Veri sorumlularına (AB içinde olsa bile) veri aktaramazlar (AB Standart Sözleşme maddeleri uyarınca veri işleyenlere yapılan kişisel veri aktarımı hariç).
III-AB dışı veri aktarımlarındaki sınırlamalar/istisnalar: Genel kural AB dışına veri aktarımın yasak olmasıdır. Bu üçüncü engel şirketlerin belirli uyum mekanizmalarını seçmeleri ve uygulamaya koymalarını gerektirir.
Avrupa Komisyonu tarafından Andora, Arjantin, Kanada, Faroe Adaları, Guernsey Adası, Man Adası, İsrail, İsviçre, Japonya, Jersey Adası, Uruguay ve Yeni Zelanda’nın yeterli güvenlik düzeyine sahip ülkeler olduğuna karar verilmiştir. Ayrıca AB-ABD Gizlilik Kalkanı Programıyla sınırlı olarak ABD’de bu kapsama girmektedir (AB-ABD Gizlilik Kalkanı Programı AB veri koruma kanunları model alınarak hazırlanmış hukuki gerekliliklerin uygulanmasını ve bu hukuki gerekliklerin ABD Kurumları, ABD Mahkemeleri ve AB Veri koruma kurumları tarafından ABD’de ABD şirketlerine karşı ileri sürülmesini sağlar). AB merkezli şirketler yeterli güvenlik düzeyi sağladığı kabul edilen devletlere serbestçe (AB içi aktarım gibi) veri aktarabilirler (Tabii ki ilk iki maddedeki şartların da yerine getirilmesi koşuluyla).
Tüm bu hususlar incelenip değerlendirildikten, gerekli adımlar atıldıktan sonra veri aktarımı yapılabilecektir.
Av. Onur ÖZDİKER
Not: Bu yazı Prof. Dr. Lothar Determann’ın (Çevirisi: Av. Hilal TEMEL tarafından yapılmış olan) Kişisel Verilerin Korunması -Uygulama Kılavuzu- kitabından yararlanılarak hazırlanmıştır. Yazıda adı geçen kitaptan alıntılar yer almaktadır.