Kişilerin temel hak ve özgürlüklerini koruyan, kişisel verileri işleyenlerin uyacağı usul ve esasları düzenleyen KVKK’nın kabul edilmesiyle, kişisel verilerin korunması hakkı somut bir hukuki düzenlemeye kavuştu. Ancak KVKK’nın özellikle yurt dışına veri aktarımına dair düzenlemeleri uygulama konusu tartışmalara neden oldu ama 12 Mart 2024 tarihinde KVKK’da değişiklik öngören hükümler yürürlüğe girdi.
Her sektör için acil çözümü beklenen yurt dışına veri aktarımında; açık rıza alma yönetimi genel bir aktarım sebebi olmaktan çıkarılarak 3 aşamalı bir sistem kabul edildi. Böylelikle kişisel verilerin aktarımı; (a) Yeterlilik kararına dayalı aktarım, (b) Yeterlilik kararı bulunmayan ülkelere 3 koşulun[1] varlığı halinde uygun güvencelere[2] dayalı aktarım, (c) Yeterlilik kararı veya güvencenin bulunmaması hâlinde tek seferlik veya geçici olarak veri aktarımının yapılabileceği arızi durumlara dayalı aktarım yoluyla mümkün oldu. 1 Eylül 2024 itibarıyla yürürlüğe girecek bu değişiklikle birlikte, yurt dışına veri aktarımı açık rızaya dayanılarak sadece arızi aktarım yolu için kabul edildi. Açık rızaya dayalı aktarım ise bu tarihe kadar uygulanmaya devam edecek.
Kimlik, iletişim, finansal,özel nitelikli veriler de dahil olmak üzere, veriye dayalı işlemlerin yoğun olarak gerçekleştirildiği bankacılık sektörü için KVKK kritik bir düzenleme oldu. Bankacılık Kanunu’nda değişiklik yapılarak “müşteri sırrı” tanımına yer verildi. Bankalarla müşteri ilişkisi kurulduktan sonra gerçek ve tüzel kişilere ait verilerin müşteri sırrı hâline geleceği, sır saklama yükümlülüğünden istisna tutulan hâller haricinde, müşterinin açık rızası alınsa dahi müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamayacağı ve aktarılamayacağı şeklinde düzenlendi.
Halihazırda bankaların, müşteri sırrı niteliğindeki bilgilerin yurt dışına aktarımında müşterinin açık rızasının alınması müşterinin talimatının ya da talebinin olması ve KVKK’nın yurt dışına veri aktarımına ilişkin gerekliliklerin sağlanması şartı aranıyor. Yeterlilik kararının yayımlanmaması halinde, süreklilik arz eden bir aktarım söz konusuysa kanunda öngörülen güvencelere dayalı aktarım yöntemlerinden birinin seçilmesi gerekecek. AB’de sıklıkla kullanılan ve taslak olarak kamuoyu görüşüne sunulan standart sözleşme yönteminin çoğunlukla tercih edileceği dikkate alındığında; KVKK’nın 5. ve 6. maddelerinde yer alan hukuki işlem sebeplerine dayanılarak verinin aktarıldığı üçüncü tarafla standart sözleşme imzalanmasıyla yurt dışına aktarım mümkün hale gelecektir.
Bugüne kadar güvenli ülke listesinin olmaması, bağlayıcı şirket kuralları veya taahhütname yoluyla veri aktarımı için yapılan başvuruların çok az bir kısmının onaylanması nedeniyle tüm sektörler nezdinde çoğunlukla açık rızaya dayalı aktarım yöntemi tercih ediliyor. Bu değişiklikle Kanun’a uygun, daha kolay aktarımın yapılacağı öngörülüyor. Aktarımın daha kolay olacağı düşünülse de teknik ve idari tedbirleri sağlama, hukuki şartlara uyum, aktarım boyunca etki analizinin yapılması veri sorumluları tarafından dikkatle gözetilmelidir.
Özetle, veri aktarımı için Bankacılık Kanunu’na göre müşterinin açık rızasının yanında talep ve talimatına dayalı bir uygulamanın devamı bankacılık özelinde dezavantaj yaratacak. Daha önce KVKK hükümleri doğrultusunda düzenlenen bu maddenin yeni değişiklikler kapsamında güncellenmesi gerekecek.
[1] i. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin bulunması, ii. Aktarımın yapılacağı ülkede de ilgili kişi haklarının kullanılabilmesinin mümkün olması ve iii. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânı bulunması
[2] a.Kamu kurumları arası anlaşmalar ve Kurul tarafından aktarıma izin verilmesi,
b.Kurul tarafından onaylanmış bağlayıcı şirket kuralları,
c.Kurul tarafından ilan edilen standart sözleşmenin imzalanması ve Kurul’a 5 gün içerisinde bildirilmesi,
d.Yeterli koruma sağlayacak yazılı bir taahhütnamelerin imzalanması ve Kurul tarafından onaylanması
* Av. Tuğçe Gültekin'in Capital Dergisi için hazırladığı makaleden alınmıştır.
Makaledeki bilgi ve açıklamalardan dolayı EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye sorumluluk iddiasında bulunulamaz. Mevzuatın sık değiştirilen ve farklı anlayışlarla yorumlanabilen yapısı nedeniyle, herhangi bir konuda uygulama yapılmadan önce konunun uzmanlarından profesyonel yardım alınmasını tavsiye ederiz.