Yurtdışına Veri Aktarımı
Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
İlgili kişinin açık rızasının bulunması,- Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması,
- Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
6698 sayılı Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması bakımından aynı şartları aramakla birlikte kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Buna göre, kişisel verilerin yurtdışına aktarılması için 6698 sayılı Kanunda belirlenmiş şartlar maddeler halinde aşağıda detaylandırılmıştır.
1- İlgili kişinin açık rızasının bulunması- İlgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. Açık rıza alınması hakkında detaylı bilgi için tıklayınız.
2- Yeterli korumanın bulunması
- Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;
a) Aktarılacak veri özel nitelikli kişisel veri değilse;
6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
b) Aktarılacak veri özel nitelikli kişisel veri ise;
6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde
yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
3- Yeterli korumanın bulunmaması halinde
Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;
Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında , özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı. Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.