KVKK MEVZUATI, VERİ PAYLAŞIMI, VERİNİN YURT DIŞINA AKTARIMI VE BULUT HİZMETLER KULLANIMI

KVKK MEVZUATI, VERİ PAYLAŞIMI, VERİNİN YURT DIŞINA AKTARIMI  VE BULUT HİZMETLER KULLANIMI

Kişisel verilerin korunması mevzuatının yürürlüğe girmesinin ardından en çok tartışılan ve üzeinde en az fikir birliği sağlanabilen konulardan birisi de veri sorumlusu konumunda olan şirketlerin veri sahibi konumundaki müşteri ve çalışan verileri için bulut tabanlı hizmetleri kullanmalarının mevzuata uygun olup olmadığı ve bu konuda izlenmesi gereken yol oldu. Bulut hizmetler hem maliyet avantajları hem de şirkete getirdikleri yönetim kolaylığı ve yeni teknolojilere uyum süreçlerini kısaltması nedenleriyle günümüzden en büyüğünden en küçüğüne kadar farklı sektörlerde hizmet veren bir çok şirket tarafından kullanılmakta. Konunun uzun süredir net bir zemine oturamamasının asıl nedeni henüz kurul tarafından bir güvenli ülke listesi hazırlanmamış olması ve veri paylaşımı ile ilgili alt mevzuatı düzenlememiş olmasından kaynaklanmakta ise de, bir yandan da kanunun yürürlüğe girmiş olması ve veri işleyenlerin yükümlülüklerinin bulunması nedeni ile bu konu tüm veri işleyenleri zor durumda bırakmaktadır. Bu konuda kurul güvenli ülkeleri henüz belirlememiş ve alt mevzuat hazırlamamıştır. sadece kurulun internet sitesinde bu konuda kısa bir bilgilendirme kitapçığı yayınlanmıştır. Bu kitapçığa https://kvkk.gov.tr/SharedFolderServer/CMSFiles/ca163cb6-39ad-4024-870a-8a9508c92387.pdf adresinden ulaşılabilir.

Konuyu öncelikle bulut hizmeti kullanımının yurt dışına aktarın ve/veya 3. Kişilerle paylaşım sayılıp sayılmayacağı yönünden inceleyip, paylaşım sayılma durumunda hangi, şartlarla paylaşılabilceğine bu şekilde karar vermek gerekecektir. Ayrıca hizmet alınan 3. Şahıs şirketin ihlallerinden sorumlu olunup olunmadığı da incelenmesi gereken bir diğer konudur.

3. a) verinin bulut tabanlı bir sistemde tutulması verinin 3. Şahıslara aktarılması mıdır?

Bu konuda yorum yaparken bulut türlerini göz önünde bulundurmak gerekir. Çünkü, verinin paylaşılmasından bahsedebilmek için verinin bir 3. Şahsın erişimine açılması veya sunulması gerekir. Bulut hizmetleri yazılımın (SaaS), altyapının (IaaS) veya platformun (PaaS) hizmet olarak alınması şeklinde farklılıklar gösterebilmektedir. Tüm bulut yapılarında veriye hizmet sağlayan 3. Şahıs şirket tarafından erişilmesine veri sorumlusu şirket tarafından izin verilip verilmediği, verildiği durumlarda erişimin sınırlanması ve denetlenmesi için gerekli çalışmaların yapılıp yapılmadığı, verilmediği durumlarda ise yetkisiz erişimi engellemek için hangi önlemlerin alındığı konu ile ilgili yorum yaparken ve karar verirken göz önünde bulundurulmalıdır.

Örneğin verinin kullanılıp işlenerek müşterilerinize veya firmanıza hizmet sunulması şeklindeki hizmetler (müşteri şikayet veya talep yönetimi sistemleri, ödeme sistemleri, e-mailing veya sms gönderim sistemleri gibi) zorunlu olarak hizmet sağlayıcının verinize erişmesini gerektirmektedir. Bu durumda veri  3. Şahıs bir şirketle (hizmet sağlayıcı) hizmet almak amacıyla verinin servis sağlayıcı tarafından görüntülenebileceği ve bazı durumlarda işlenebileceği bilinerek paylaşılmaktadır ve bu nedenle de verinin paylaşılmasına ilişkin düzenlemelere uyulması gerekmektedir.

Özellikle altyapı veya platform olarak hizmet alınması durumlarında hizmet sağlayıcının veriyi görmesi zorunluluğu olmayabilmektedir. Örneğin sunucu hizmeti alınan bir servis sağlayıcının müşterisinin müşteri veya çalışan verisini görmesi zorunlu olmadığı gibi, verinin hizmet sağlayıcının çalışanları tarafından görülmesini engelleyecek bir çok tedbirin de alınması mümkündür. Servis sağlayıcının veri sorumlusu konumunda olan müşterisinin talebi ve hatta rızası olmadan veriyi görmesi ve işlemesi veri sorumlusunun veriyi paylaşması olarak yorumlanmamalıdır. Burada veri sorumlusunun gerekli tedbirleri alıp almamasına bakarak veriyi koruma konusunda sorumluluğunu yerine getirip getirmediği tartışılabilir ancak bir paylaşım olmadığı ve dolayısı ile paylaşıma ilişkin mevzuata uyulması zorunluluğu olmadığı açıktır.

3. b) verinin bulut tabanlı bir sistemde tutulması veya SaaS, PaaS ve IaaS kullanımı verinin 3. Yurt dışına aktarılması mıdır?

Bulut sistemlerin en önemli niteliklerinden birisi de verinin veri sorumlusunun değil, ona hizmet sağlayan bir 3. Şahsın sunucularında tutulmasıdır. Bazı hizmet sağlayıcılar kullanılan sunucuların hangi coğrafi konumlarda veya hangi ülke veya ülkelerde olduğunu müşterilerine bildirmekte, müşteriye özel bulut hizmeti sunmakta hatta müşteriye bu bağlamda seçim hakkı tanımaktadırlar. Ancak diğer bazı servis sağlayıcılar verinin dağıtık bir şekilde farklı sunucularda tutulduğunu ve bu sunucuların farklı coğrafi konumlarda bulunabileceğini belirterek veri sorumlusu konumundaki müşterinin hangi verisinin hangi ülkede yer alan sunucuda barındırılacağını seçmesine olanak tanımamaktadır.

Verinin hangi ülke sınırlarındaki sunucunda barındırılacağının belli olduğu sistemler açısından eğer bu sunucu yurt dışında ise verinin yurt dışına aktarılacağı açıktır. Bu durumda aktarma ile ilgili hükümlere uyulmalıdır.

Verinin dağıtık bir sunucu yapısında tutulacağı ve servis sağlayıcının bu yapıda verinin hangi ülkelerde tutulacağı veya yurt dışına aktarılıp aktarılmayacağı konusunda bir taahhütte bulunmadığı sistemler açısından verinin yurt dışına aktarılabileceği de göz önünde bulundurularak ilgili hükümlere uyulmalıdır.

1. c) Yurt dışına aktarmanın şartları ve kurul izinleri

Kişisel verilerin korunması mevzuatı verinin yurt dışına çıkartılmasına bir yasaklama getirmemektedir. Bu konu pek çok veri sorumlusu tarafından yanlış anlaşıldığından, sanki mevzuat yürürlüğe girdikten sonra verinin yurt dışına çıkartılması veya yurt dışı sunucularda tutulması imkansız olacakmış gibi düşünülmektedir. Mevzuat verinin yurt dışına çıkartılmasını yasaklamamış, sadece işleme koşullarına da paralel olarak ana kural olarak veri sahibinin rızasına bağlamış, belirli istisnaların varlığı halinde rıza alınması zorunluluğu yerine getirilmeden de yurt dışına aktarılabilecektir. Dolayısıyla veri sahibinden yurt dışına aktarma için özel rıza alınması durumunda veriler herhangi bir ülkeye aktarılabilecektir. Aşağıdaki kurallar rıza alınmaksızın aktarma için getirilmiştir. Rıza alınmadan verinin yurt dışına aktarılmasının kuralları şunlardır:

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

1. a) Yeterli korumanın bulunması,
2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

Özetle kişisel verilerin rıza alınmadan yurt dışına aktarılması için arana istisnalar rıza alınmadan işlemenin istisnaları ile paraleldir. Yurt dışına çıkartılması için veri sahibinin rızası alınmış veriler açısından verinin yurt dışına aktarılması veya yurt dışındaki sunucularda, bulutta tutulması mevzuata aykırılık oluşturmayacaktır.

            Veri sahibin yurt dışına aktarma rızası olan durumlarda

Veri sahibinin verinin yurt dışına aktarılması için açık rızası olması durumunda aktarılan ülkenin yeterli koruma olduğu ilan edilen ülkelerden olup olmamasına bakılmaksızın ve madde 5/2 ve 6/3 deki istisnalar aranmaksızın veri aktarılabilecektir.

Madde 5/2 ve 6/3 teki istisnaların varlığı durumunda

5. maddedeki istisnalar incelendiğinde özellikle hizmetin veya ürünün yurt dışındaki bir şirketle birlikte sunulması ve yükümlülüğün yerine getirilmesi için bu şirketin de veri sahibinin verisine ulaşmasının zorunlu olduğu durumlarda rızanın aranmayacağı sonucuna varılabilir. Örneğin yurt dışındaki bir otelde konaklamak veya olulda eğitim almak için veri alan veri sorumlusunun hizmeti sunmak için bu veriyi yurt dışına aktarması zorunlu olduğundan rıza alma yükümlülüğünün istisnası olacağı açıktır.

Burada esas sorun uluslar arası şirketlerin Türkiye’de kurmuş oldukları şirketler ve yapılan işin bir yurt dışı ayağı olmamasına rağmen bulut kullanılması nedeni ile verinin yurt dışı sunucuda tutulması durumları olacaktır.

İlk durumda, örneğin XYZ isimli uluslar arası bir gıda şirketinin XYZ şirketi Türkiye’de Türk mevzuatınca kurulmuş ve sicile kayıtlı bir şirketse ortaklı yapısına veya yabancı bir grubun alt şirketi olmasına bakılmaksızın Türk şirketi sayılacaktır. Bu şirket KVKK mevzuatı gereği veri sorumlusu olacağından, müşteri, çalışan veya tedarikçilerinden alacağı kişisel verileri diğer ülke şirketler veya grup şirketleri ile paylaşması veya grubun ortak sunucu altyapısında tutması verinin yurt dışına çıkartılması olacak ve örneğin Türkiye’de şirketten indirimli alışveriş yapmak için verisini paylaşmış olan müşteri veri sahibi ile olan ilişkide verinin paylaşılması tarafların yükümlülüğünü ifası için veya işin yapılması için zorunlu olmadığından bu müşteri verisi diğer istisnalar yoksa rıza alınmaksızın grubun diğer şirketleri ile paylaşılamayacak, yurt dışındaki ortak sunucularda tutulamayacaktır. Şirketin çalışanları açısından bakıldığında, özellikle çalışanların bazılarının hiyerarşik yapıda yurt dışında bulunan bir yöneticiye bağlı olmaları ve veya dönem dönem yurt dışında da görevlendirilmeleri durumunda her olay bazında istisna kapsamında olup olmadıkları incelenmelidir.

İkinci durum yani işin zorunluluğu olmamasına rağmen kullanılan bulut altyapısının sunucularının fiilen başka bir ülkede olması nedeni ile yurt dışında tutulması durumunda 5. Maddenin 2. Fıkrasındaki rıza alma yükümlülüğünü ortadan kaldıran istisnalardan bahsetmek genellikle mümkün olmayacaktır. Burada 5/f de belirtilen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”  İstisnası kapsamında veri sorumlusunun meşru menfaatinin kullanmakta olduğu hizmeti kullanmaya devam etmek olduğu iddia edilebilecekse de, bunun zaten “torba madde” olarak yorumlanabilecek bir düzenlemenin çok zorlama bir yorumu olacağı görüşündeyim. Yine de her olayda ilgili sistemin kullanılmasının veri sahibi için ne derece zorunlu veya gerekli olduğu, alternatiflerin varlığı ve koşulları, ilgili yurt dışı sistemin daha önceden kullanılmakta olup olmadığı ve kullanılmakta ise yapılacak değişikliğin getireceği maddi yük ve teknik riskler değerlendirilmelidir.

Yukarıdaki istisnaların bulunması da verinin rıza alınmaksızın aktarılması için yeterli olmamakta, bu durumda aşağıdaki şartların da sayılan istisnalarla birlikte karşılanması aranmaktadır: (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

1. a) Yeterli korumanın bulunması,
2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

dolayısıyla yukarıda sayılan istisnaların bulunmaması durumunda yeterli korumanın bulunması veya kurulun izninin bulunması halinde bile veri sahibinin rızası bulunmadan kişisel veriler yurt dışına aktarılamayacaktır. Örnek vermek gerekirse, İngiltere yeterli koruma bulunan ülke olarak ilan edilse bile, mağazacılık alanında Türkiye’de faaliyet gösteren Türk veri sorumlusu veri sahibinin rızası olmadan veri sahibinin indirim/sadakat kartı için kendisine vermiş olduğu kişisel verisini IaaS hizmeti aldığı şirketin İngiltere’deki sunucusunda tutamayacaktır.

Kurulun yeterli koruma bulunan ülkeler listesinde yer alan ülkeler ve kurul özel izinleri açısından

Veri sahibinin rızasının bulunmaması durumunda kişisel veriler ancak ilgili istisnalar dahilinde olması ve aktarılacak ülkenin yeterli koruma bulunan ülke olması veya Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda yurt dışına aktarılabilir. Kurul henüz yeterli koruma bulunan ülkeler listesi açıklamadığından bu ülkelerin hangileri olduğu bilinmemekle birlikte kurul 9. Madde gereği bu ülkeleri belirlerken a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını göz önüne alacaktır. Bu kriterler zaman içerisinde değişiklik göstermesi mümkün kriterler olduklarından yeterli koruma bulunan ülkeler listesinin de değişebileceği ortadadır. Bu durumda bir dönem yeterli koruma bulunduğu kabul edilen ülkenin sonradan bu niteliğini yitirdiğinin ilan edilmesi durumunda bu ülkeye veri aktaracak şekilde altyapısını kurmuş şirketler önemli sorunlarla karşı karşıya gelebileceklerdir. Her ne kadar burada kazanılmış hakkın geri alınamayacağı prensibinin işletilmesi ve bu durumdaki şirketler için özel izin oluşturulması yoluna gidilmesi mümkün olabilecekse de,  zeminin oldukça kaygan olduğu ortadadır.

Kurulun açıklayacağı yeterli korumaya sahip olmayan ülkelere veri aktarılması ancak kurulun bu konudaki özel izni ile mümkün olacaktır. Bu iznin verilmesi konusunda alt mevzuat henüz  yayınlanmamışsa da, 9/4 c ve d maddeleri kurulun izin verip vermeme kararını alırken her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini ve Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri göz önüne alması gerektiği düzenlemesini getirmiştir.

Dağıtık yapısı gereği verinin hangi ülkedeki sunucuda tutulacağı belli olmayan sistemler

Yukarıda açıkladığımız gibi veri sahibinin verinin yurt dışına çıkartılması konusunda rızası olması durumunda verinin yeterli korumaya sahip olmayan ülkelere de aktarılması mevzuata aykırı olmadığından rıza alınmış veri açısından bu tür sistemlerde tutulma bir sorun yaratmayacaktır.

5/2 ve 6/3. Maddelerdeki istisnaları karşılayan ve dolayısıyla açık rıza alınması gerekmeyen durumlarda istisnanın varlığının yanında ve bununla birlikte verinin aktarılacağı ülkenin yeterli korumaya sahip ülke olması veya kurulun özel izni gerektiğinden verinin aktarılacağı ülkenin belli olmaması durumunda ülkenin yeterli korumaya sahip olmasından bahsedilemeyeceği açıktır. Bu durumda tek yol kurulun verinin bu sisteme aktarılması için izninin olması olacaktır. İznin ne kriterlerle verileceği konusunda alt mevzuat yayınlanmamışsa da, , 9/4 c ve d maddeleri kurulun izin verip vermeme kararını alırken her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini ve Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri göz önüne alması gerektiği düzenlemesini getirmiştir. Bu durumda akla ilk gelen soru SaaS, IaaS veya PaaS servis sağlayıcıları özelinde izin alınıp alınamayacağı olacaktır. Yani bir veri sorumlusu şirket XYZ IaaS şirketinin hizmetini kullanarak verisini işlemek için izin başvurusunda bulunup bu başvuruda verinin işlenme amaç ve süresini belirttiğinde ve başvuruya XYZ IaaS şirketinin verinin korunacağı her bir ülke ve sunucu ve aktarım sürecinin güvenliği için almış olduğu ve taahhüt ettiği önlemleri ekleyerek hizmet bazında izin istemesi durumunda kurulun bu tür bir izin verip vermeyeceği konusu son derece önemli olacaktır.

Bunun bir aşama sonrası kurulun yeterli koruma sağlayan ülkeler listesi benzeri bir yeterli koruma sağlayan hizmet sağlayıcılar veya hizmetler listesi açıklaması olacaktır. Ancak burada da kurulun rakipler arasındaki dengeyi gözetmesi, bu servis sağlayıcılardan bazılarının Türkiye ekonomisinde de önemli yer tutmaları nedeni ile bu servis sağlayıcıların pazardaki yerini korurken bir yandan da benimsenen haklı ilkeler gereği desteklenen yerli ve milli çözümleri de rekabetin dışına itmemesi gerekecektir.