Son günlerde günlük hayatımızda sık sık karşılaştığımız kavramlardan biri de 'kişisel verilerin korunması' oluyor. Peki kişisel veri nedir? Kişisel veri, kişisel verilerin korunması kanunu kapsamında 'kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi' olarak tanımlanmıştır. Bu tanıma göre, kişisel veri çok geniş yorumlanmış ve kişiye ait her veri koruma altına alınmıştır. Bunun sonucu olarak kaydedilen güvenlik kamera görüntüleri, dinamik ip adresleri, gerçek kişiye ait evin satış değeri veya bir çocuğun yaptığı resim bile kişisel verilerin korunması kapsamına girebiliyor. Kişisel verinin işlenebilme şartı ise ilgili kişinin açık rızasının olması.

Ülkemizde her ne kadar son yıllarda öne çıkan bir kavram olsa da aslında düzenlemeler, 1970'li yıllardan itibaren Avrupa Konseyi'nin yapmış olduğu çalışmalara dayanıyor. Avrupa Konseyi tarafından Strasbourg'da imzaya açılan , tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme" 28 Ocak 1981 tarihinde imzalanmıştır. Sözleşmenin amacı, ''her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almak '' olarak ifade edilmiştir. Devletler bu sözleşme ile kamu ve özel sektörde ve otomatik bilgi işleme sistemlerine bu sözleşmeyi uygulayarak kişisel verileri korumayı Bu sözleşme , çok daha önce imzalanmış olmasına karşın 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak geç de olsa iç hukuka dâhil edilmiştir.

Hem Kişisel Verilerin Korunması Kanununun 9uncu maddesinde düzenlenen, hem Sözleşmenin 12inci maddesinde belirtilen önemli hususlardan biri de kişisel verilerin sınır ötesi akışı yani yurt dışına aktarılmasıdır. Sözleşme kapsamında konu,

'Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişilen verilerin her türlü yoldan ulusal sınırların ötesine transferinde' uygulanmak üzere düzenlenmiş ve sözleşme tarafı ülkenin kural olarak kişisel verilerin diğer bir taraf ülkeye sınır ötesi akışını yasaklamasının veya özel bir müdahaleye tabi tutmasının sözleşmeye aykırı olduğunu belirterek yasaklamıştır. Ancak madde devamında belirtilen istisnada, sınır ötesi akışın sınırlandırılması, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için veri veya dosyanın doğasından kaynaklanan özel düzenlemeler içermesi ancak verilerin veya dosyaların aktarılacağı diğer tarafın düzenlemelerinin eşdeğer bir koruma içermemesi durumunda mümkün olabilecektir.

İç hukukumuzda ise kişisel verilerin yurt dışına aktarılabilmesi, ilgilinin açık rızasının bulunmasına bağlanmıştır. Bununla birlikte kanun, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmasını, bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Ayrıca ilgili maddede yeterli korumanın bulunduğu ülkelerin Kurul tarafından belirlenerek ilan edileceği de yeterli koruma bulunabilecek ülkelerin şartları ile birlikte belirtilmiştir.

Konu, Kişisel Verilerin Korunması Kurulu'nun 'Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form" hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı ' ile son günlerde tekrar gündeme gelmiştir. Kurul henüz konu hakkında 'güvenli ülkeler' ilanında bulunmamış ancak güvenli ülkelerde aradığı şartları form yoluyla açıklamıştır.

Kişisel verilerin korunması ve yurt dışına aktarılmasının düzenlenmesi hiç şüphesiz ki en çok bilişim ve teknoloji alanında, şirketlerin otomatik veri kaydetme sistemleri ile birlikte incelenmektedir. Bunlardan en önemlisi de 'bulut bilişim sistemleri' olarak değerlendirilebilir. Bu sistem büyük verilerin otomatik olarak kaydedilmesi , depolanması ve sürekli erişilebilir olması amacıyla kurulmuş ve dünyanın bir çok farklı yerinde birçok kurum ve kuruluş tarafından kullanılmaktadır. Bu sistemi kullanan en büyük firmalardan biri ise 'Google' firmasına ait G-mail hizmeti ve Kişisel Verilerin Korunması Kurulu konu hakkında ilgi çeken bir karar verdi.

Türkiye'de bulunan kurum, firma veya benzer nitelikteki toplulukların iletişim amacıyla kullandığı kurumsal e-posta sistemleri, genellikle g-mail hizmet altyapısı ile kullanılmaktadır . Google firmasına ait g-mail e-posta hesapları kullanılırken ise firma tarafından kişisel veriler veri merkezlerinde tutulmakta , bununla birlikte dünyanın bir çok yerinde bulunan ''server'' ları aracılığıyla verileri kaydetmekte ve söz konusu uygulamada veriler ülke sınırları içinde değil genellikle yurt dışında depolamaktadır . Bunun sonucu olarak Türkiye'de bulunan kişisel veriler yurt dışına aktarılmış olmaktadır.

Buna göre Kurum , ''Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar'' içeriğinde bu sistemin yurt dışına veri aktarımı olarak değerlendirdiğini , bu sebeple veri sorumlularının söz konusu uygulamayı iç hukukumuzdaki Kişisel verilerin korunması kanununun 9uncu maddesi hükümlerine uygun olarak gerçekleştirilmesi gerektiğine hükmetmiştir.

Sonuç olarak 'bulut bilişim sistemi' kullanan firmalar, yurt dışındaki merkezlerinde kişisel verileri tutarken veya depolarken ,yurt dışına veri aktarılmasına ilişkin iç hukuk düzenlemesinde bulunan , ilgilinin açık rızasının bulunması başta olmak üzere tüm kurallara uymak zorunda kalacaklar.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.