AB’de Kişisel Verilerin Üçüncü Ülke ve Uluslararası Kuruluşlara Aktarılması
Transfer of Personal Data to Third Countries or International Organisations in the EU
Sevde PELEN
Kişisel verilerin yurt dışına aktarılması hem Türkiye’de hem de diğer ülkeler ve AB’de zorlu ve karmaşık bir alandır. En sık rastlanan sorunlar, bu konuyu, özellikle günümüz küresel ekonomik sisteminden kopuk ve yasakçı bir yaklaşımla ele almaktır. Kişisel verinin günümüz ekonomisinde bir hammadde niteliğini haiz olduğu unutulmamalıdır. Çoğunlukla ideal düzenleme olarak nitelendirilen Genel Veri Koruma Tüzüğü (GVKT) bile uygulamada yaşanan her soruna cevap verememektedir. Ancak buna rağmen yeterlilik kararı bulunmayan durumlar için öngördüğü uygun güvenlik tedbirlerinin çok çeşitli olması, bürokrasiyi azaltma çabası, açık rıza gibi istisnaların sadece son çare olarak ve belli şartların varlığı hâlinde başvurulabilecek mekanizmalar olarak düzenlenmesi nedeniyle GVKT, sınır ötesi veri akışlarında şimdiye kadarki en etkili mekanizmalar sisteminin kurulmasını sağlamıştır. AB hukukundaki ilgili düzenlemelerin anlaşılması, Türk hukukundaki uygulamada kişisel verilerin yurt dışına aktarılmasına ilişkin yaşanan sorunları daha net anlayabilmeyi sağlayacaktır. Bu amaçla, birinci bölümde AB hukukunda kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin düzenlemeler ile hem Türk hem AB hukuku ile etkileşim içinde olan AK sözleşme ve protokolleri ele alınmaktadır. İkinci bölümde ABAD kararları ve AVKK tavsiye kararı ışığında AB’deki uygulama irdelenmektedir.
Kişisel Verilerin Yurt Dışına Aktarımı, Sınır Ötesi Veri Aktarımı, AB Hukuku, GVKT, Yönerge.
The transfer of personal data abroad is a difficult and complex area both in Turkey, other countries and the EU. Handling this issue in isolation from the current global economic system and the prohibitive approach are among the most common problems. It should not be forgotten that personal data is a raw material in today’s economy. Even General Data Protection Regulation (GDPR), which is widely considered as the ideal regulation, cannot answer every problem experienced in practice. However, the GDPR has ensured the establishment of the most effective system of mechanisms in cross-border data flows to date, due to the wide variety of appropriate safeguards regulated for situations where there is no adequacy decision, the effort to reduce bureaucracy, regulating exceptions such as explicit consent as mechanisms that can be applied only as a last resort and in the presence of specific conditions. Having a good command of the relevant legislation in EU law will provide a clearer understanding of the problems experienced in the Turkish law regarding the transfer of personal data abroad. For this purpose, in the first chapter, the legislation regarding the transfer of personal data to third countries in EU law and the European Commission conventions and protocol that interact with both Turkish and EU law are discussed. In the second chapter, the practice in the EU is examined in the light of the decisions of the Court of the Justice of European Union, the recommendation of the EDPB.
Transfer of Personal Data Abroad, Trans-Border Data Transfer, EU Law, GDPR, Directive.
Giriş
Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girdiği 2016 yılından günümüze kişisel verilerin yurt dışına aktarılması Türkiye’de sorunlu bir konu olmuştur. Bu karmaşanın boyutu nedeniyle, yurt dışına kişisel verilerin aktarılması, şirketlerle yürütülen KVKK mevzuat uyum projelerinin anlaşılması en güç noktalarından birine dönüşmüştür. Hukukçular, tüm hukuki riskleri eleme ve mevcut sistemin gerektirdiği düzeni kurma gayesindeyken bu çabalar şirket yöneticileri tarafından günümüz küresel ekonomik sistemi ile uyuşmadığı eleştirisi ile karşılanmaktadır. Ayrıca gerçeklikten kopuk, ciddi boyutta müşteri ve gelir kaybına neden olabilecek aşırı idealist ve hayalci birer yaklaşımın ürünü olarak nitelendirilerek tepkiye neden olmaktadır. Anılan iki tutumun karşı karşıya geldiği yurt dışına kişisel veri aktarımı hususunda şirket yöneticileri müşteri ve gelir kaybı ile idari para cezası riski arasında seçim yapmaya başlamıştır. Dolayısıyla her ne kadar Kişisel Verileri Koruma Kurumu (Kurum) tarafından KVKK’da kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesinin gözetildiği belirtilse1 ve doktrinde bunun önemi vurgulansa2 da uygulamada bu dengeyi kurmak basit değildir.
Kişisel verilerin yurt dışına aktarılmasının Türkiye’de bu denli karmaşık ve riskli bir fenomene dönüşmesinin birçok nedeni vardır. KVKK’nın yeni bir mevzuat olması nedeniyle kişisel veriler ve bunların korunmasının tam ve doğru algılanmasında yaşanmaya devam eden sorunlar, bu alanın günümüz küresel ekonomik sisteminden kopuk ele alınabilmesinin mümkün olmaması, mevzuatın bu konuyu düzenleme biçimi ve Kişisel Verileri Koruma Kurulu’nun (Kurul) tutumu gibi örnekler çoğaltılabilir.
Bu alanda çalışmalar yaparken insanlık tarihinde Sanayi (Endüstri) 4.0 veya dijital devrim olarak anılan dördüncü sanayi devrimini yaşadığını3 unutmamak gerekmektedir. Bu dijital devrim sonucu ağ toplumunun da oluşması ile veri temelli ekonomi karşımıza çıkmaktadır.4 Günümüz küresel ekonomisinde dijital ticaret sınır ötesi veri akışı ile yakından bağlantılıdır.5 İstatistiksel ve detaylı raporlar dünyanın dijitalleşme hızı ile sınırlar arasındaki veri akışlarının ekonomiyi canlandırıcı etkisi ve küresel ekonomideki önemli yerini ortaya koymaktadır.6 Kaldı ki Kovid-19 pandemisi dünyadaki dijitalleşme hızının katlanarak artmasına, insanlığın yeni bir evreye geçmesine neden olmuş,7 dolayısıyla kişisel verilerin sınırlar arasındaki akışını da artırmıştır.
Günümüzde kişisel veri küresel ekonominin çok önemli bir ham maddesidir.8 Ağ toplumu olarak kullandığımız sosyal ağlar, arama motorları, bulutlar vb. araçlar kişisel verilerin korunması açısından uyum içerisindeki küresel kuralların eksikliği sorununu, iş zorluklarını ve teknik ile güvenlik zorluklarını da beraberinde getirmektedir.9 Tüm bu gelişmeler düzenleyici sistemlerde sınır ötesi veri akışlarına ilişkin artan bir baskı yaratmaktadır.10 Sonuç olarak hukukun teknolojinin hızına yetişemeyeceği genel olarak kabul görmektedir, ancak Christopher Kuner’in de vurguladığı üzere asıl soru hukuki düşünce ve bilginin uygun hukuki ilke ve kurallara dönüştürülmesini nasıl hızlandırabileceğimizdir.11 Unutulmamalıdır ki, veri ekosistemi dünyanın her yerinde muazzam değişiklikten geçmektedir ve bu bağlamda, birçok ülkenin örnek aldığı Genel Veri Koruma Tüzüğü (GVKT)12 dâhil kişisel verilerin korunmasını öngören kanunlar ilgili kişileri korumakta başarısız olmakla eleştirilmektedir.13 Bu nedenle bu alanda hukukumuzda ve uygulamada yaşanan zorluklar karşısında bu zorlukların bir kısmının küresel olduğunu hatırlamak, dünyadaki örnekleri ve gelişmeleri yakından takip etmek, yasal düzenlemeler ile uygulamayı eleştirerek daha etkili ve dengeli sonuçlara nasıl ulaşılabileceğini tartışmak önem arz etmektedir.
Bu çalışmanın amacı kişisel verilerin yurt dışına aktarılması kapsamında Türk hukukuna etkisi muazzam olan Avrupa Birliği (AB) hukuku ve uygulamasını incelemektir. Bu bağlamda, birinci bölümde AB hukukunda kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin düzenlemeler ile hem Türk hem AB hukuku ile etkileşim içinde olan Avrupa Konseyi (AK) düzenlemeleri ele alınmaktadır. İkinci bölümde ABAD kararları ve AVKK tavsiye kararı ışığında AB’deki uygulama irdelenmektedir.
I. Kişisel Verilerin Üçüncü Ülkelere Aktarılmasına İlişkin Düzenlemeler
Türk hukukunda kişisel verilerin korunmasına ilişkin düzenlemeler temelini AB hukukundan almaktadır. Kişisel verilerin korunması alanında öncü pozisyonundaki AB hukuku sadece Türk hukukunu değil, AB dışındaki birçok ülkenin hukukunu etkilemesi ve hatta uluslararası sözleşmelerde yol gösterici normlar görevini üstlenmesi ile ön plana çıkmaktadır. Türkiye’nin üyesi olduğu AK de kişisel verilerin korunması alanında AB sınırları dışına çıkan düzenlemeleri, modernleşme çalışmaları ve uluslararası kabul edilen yeknesak normlar yaratma gayesi nedeniyle özel önem arz eden düzenlemeler yapmıştır.
Kişisel verilerin yurt dışına aktarılmasına ilişkin Türk hukukundaki düzenlemeleri ve uygulamayı daha iyi anlamak ve nasıl geliştirilebileceğini öngörebilmek adına AB ve AK’nin bu kapsamdaki düzenlemelerini ve temelindeki mantığı bilmek bir zorunluluktur.
Bu bölümde üçüncü ülkelere kişisel verilerin aktarılması öncelikli olarak AB hukukundaki düzenlemeler, ardından AK sözleşme ve protokolleri kapsamında incelenecektir.
AB’nin İşleyişine İlişkin Sözleşme’nin Konsolide Versiyonu Madde 288 uyarınca AB çeşitli yasal düzenlemeler yapmaya yetkilidir. Bu madde uyarınca bir tüzük genel uygulama alanına sahiptir. Tüzük tüm AB üyesi devletlerde bütünüyle bağlayıcıdır ve doğrudan uygulanır. Yönerge ise, ulaşılması gerekli sonuçları itibarıyla, muhatap alınan her AB üyesi devlet için bağlayıcıdır. Ancak tüzükten farklı olarak yönerge, iç hukukta doğrudan etkiyi haiz değildir ve iç hukuka aktarmada biçim ile yöntem seçimini ulusal makamlara bırakmaktadır.
AB bünyesinde yürürlüğe giren ilk kişisel verilerin korunması düzenlemesi 95/46/EC sayılı AB Veri Saklama Yönergesi’dir (Yönerge). AB’nin kişisel verilerin korunması alanında düzenlediği ilk mevzuat olarak önemi nedeniyle bu çalışmada özetle değinilen Yönerge, 1995’ten 2018’e kadar yürürlükte kalmış, 25.05.2018 tarihinde GVKT’nin yürürlüğe girmesi ile mülga olmuştur.
GVKT’nin yürürlüğe girmesi AB içerisinde kişisel verilerin korunmasına ilişkin son yıllardaki en büyük yenilik olarak nitelendirilmiştir.14 Doktrinde Sanayi (Endüstri) 4.0 devrimi, bulut bilişim, büyük veri gibi veri işlemedeki hızlı teknik gelişmeler ve bunlarla bağlantılı, kişisel verilere yönelik olasılıklar ile tehditler bu yeniliğe gidilmesini gerekli kılan nedenler arasında gösterilmiştir.15 Ayrıca dinamik yapıya sahip günümüz dijital dünyasında 1995 yılından kalan Yönerge “antik” olarak nitelendirilmiştir.16 Belirtmek gerekir ki şimdiye kadar yürürlüğe giren en etkili veri koruma mevzuatı olan GVKT’nin etkisinin Avrupa sınırlarının ötesine geçmesi, özellikle gelişmekte olan ülkelerin bu mevzuatı kendi iç hukuklarına uyarlamaları beklenmektedir.17
Kişisel verileri koruma alanındaki yeni mevzuatın yönerge değil de tüzük olarak düzenlenmesi sonucunda, Yönerge döneminde sağlanamayan AB üye devletleri arasındaki yeknesaklığın GVKT döneminde AB’nin İşleyişine İlişkin Sözleşme uyarınca sağlanması amaçlanmıştır.18 Ancak bu, GVKT’nin amaçlarından sadece bir tanesidir. Bu çalışma kapsamında ise Yönerge ve GVKT’nin üçüncü ülkelere kişisel verilerin aktarılması bağlamındaki hükümleri incelenecektir.
Bu incelemeye başlamadan önce belirtmek gerekir ki üçüncü ülkelere aktarım ne Yönerge ne de GVKT’de tanımlanmıştır, sadece Yönerge’de 4. bölüm ve GVKT’de 5. bölüm altında düzenlenmiştir. Avrupa Veri Koruma Denetmeni (AVKD) ise yürürlükten kaldırılan 18 Aralık 2000 tarihli 45/2001 sayılı Kişisel Verilerin Topluluk Kurumları ve Organları Tarafından İşlenmesine İlişkin Olarak Bireylerin Korunmasına ve Bu Tür Verilerin Serbest Dolaşımına İlişkin Tüzük kapsamında kişisel veri aktarımı terimi ile normalde “kişisel veri gönderen tarafın bilgisi dâhilinde veya kastı ile kişisel verilerin bir veya daha fazla alıcının bu kişisel verilere erişebileceği şekilde iletilmesi, ifşa edilmesi veya başka bir şekilde kullanılabilir hâle getirilmesi”nin ima edildiğini belirtmektedir.19 Bu bağlamda, AVKD’nin kişisel verilerin uluslararası aktarımına ilişkin kısıtlı sayıda olmamak üzere verdiği örnekler aşağıdaki gibidir:20
