Geri Dön

Kişisel verilerin yurt dışına aktarılmasına ilişkin yöntemler ve hukuki sebepler

Legal measures and procedures for international personal data transfers

  1. Tez No: 724475
  2. Yazar: DENİZ ŞEN
  3. Danışmanlar: DR. ÖĞR. ÜYESİ MEHMET BEDİİ KAYA
  4. Tez Türü: Yüksek Lisans
  5. Konular: Hukuk, Uluslararası İlişkiler, Law, International Relations
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2021
  8. Dil: Türkçe
  9. Üniversite: İstanbul Bilgi Üniversitesi
  10. Enstitü: Lisansüstü Programlar Enstitüsü
  11. Ana Bilim Dalı: Hukuk Ana Bilim Dalı
  12. Bilim Dalı: Bilişim ve Teknoloji Hukuku Bilim Dalı
  13. Sayfa Sayısı: 172

Özet

Kişisel verilerin sınırlar arası aktarımı elektronik ticaret, uluslararası adli yardım ve polis yardımı ile uluslararası ticaret başta olmak üzere pek çok ulusal ve uluslararası faaliyetin ayrılmaz bir parçasıdır. Ancak çok uluslu yapısı gereği, aktarımı düzenleyen uluslararası mevzuatın birbiriyle tam uyumundan söz edilemeyecektir. Bu sebeple, pek çok denklemde kişisel veri aktarımı gerçekleştiren tarafların uyması gereken birden çok düzenleme mevcut olmaktadır. 108 Sayılı Sözleşme'nin modernize edilmesi gibi güncel gelişmeler ışığında uluslararası düzlemde, kademeli bir sistem üzerinden veri aktarımına ilişkin pek çok seçenek barındıran ve veri güvenliği ile gizliliğini azami şekilde korumayı amaçlayan Genel Veri Koruma Tüzüğü (“GVKT”)'ne yaklaşan bir şekilde ilişkili mevzuatın uyumlaştırılmasına yönelik bir eğilim olduğu gözlemlenebilmektedir. Bu denklemde özellikle Avrupa Birliği'nde (“AB”) görülen yeni taslak standart sözleşme hükümleri gibi gelişmeler de gözetilerek sınırlar arası kişisel veri aktarımına ilişkin uygulanabilir mekanizmaların yaratılmasıyla, uluslararası düzlemde veri güvenliği ve gizliliğinin sağlanmasının amaçlandığı yönünde genel bir eğilim olduğu savunulabilecektir. GVKT uyarınca belirlenen kademeli sistem uyarınca, ilk aşamada kişisel verilerin aktarılacağı tarafın bulunduğu ülke, bölge veya sektörel grup özelinde Avrupa Birliği Komisyonu tarafından alınmış bir yeterlilik kararı olması halinde kişisel verilerin aktarımının gerçekleştirilebileceği düzenlenmiştir. Yeterlilik kararının bulunmaması halinde ise, standart sözleşme hükümleri veya bağlayıcı şirket kuralları (“BŞK”) gibi yöntemler kullanılmak suretiyle tarafların uygun güvenlik tedbirlerini sağlaması halinde kişisel veriler aktarılabilecektir. Bu koşulların hiçbirisinin sağlanamadığı hallerde ise, yalnızca bazı spesifik haller için istisnai aktarım koşulları öngörülmüştür. GVKT'deki kademeli sistemin aksine, Türk kişisel verilerin korunması mevzuatına ilişkin güncel uygulama incelendiğinde uygulanabilir tek bir sınırlar arası veri aktarım yöntemi olduğu savunulabilecektir. Türk kişisel verilerin korunması mevzuatı uyarınca, 108 Sayılı Sözleşme gibi kişisel verilerin korunmasına ilişkin uluslararası antlaşmaların varlığı veya aktarımın gerçekleştirileceği ülke veya bölgeye ilişkin yeterlilik kararlarının varlığı hallerinde kişisel veriler yurtdışına aktarılabilecektir. Ne var ki Kişisel Verileri Koruma Kurulu'nun (“Kurul”) açıklama ve kararlarıyla da desteklenebileceği üzere, bu iki seçenek güncel olarak veri aktarım faaliyetlerinde kullanılamamaktadır. Ancak kişisel veri aktaran taraflar BŞK'lere başvurmak veya aralarında yeterli korumayı sağlamak amacıyla gerekli önlemlerin alınacağına ilişkin taahhütnameleri imzaya almak suretiyle de sınırlar arası veri aktarımı faaliyetlerini yürütebilecektir. Fakat bu iki seçenek zor uygulanabilir ve diğer uygulamalara kıyasla yeni düzenleme alanı bulmuş olması gerekçeleriyle, hayli sınırlı uygulama örnekleri olan düzenlemelerdir. Kişisel verileri aktarılacak olan ilgili kişilerin verilerin sınırlar arası aktarımına ilişkin açık rızasının varlığı halinde de kişisel verilerin yurtdışına aktarılabileceği düzenlenmiştir. Ne var ki, pek çok örnekte bahse konu açık rıza, açık rızanın hukuka uygunluk temellerini sağlayamadığından, aktarıma ilişkin hukuka uygun ve geçerli bir rızanın varlığından da söz edilemeyecektir. Bu doğrultuda Türk kişisel verilerin korunması mevzuatının mevcut yapısının hukuka aykırı veya uygulanamayacak uygulamalara sebebiyet verdiği tezine dayanarak bilhassa kişisel verilerin sınırlar arası aktarımı hususunda ivedilikle bir güncellemeye ihtiyaç duyduğu savunulabilecektir. Benzer şekilde uluslararası düzlemde genel yönelimin GVKT'ye ve modernize edilmiş olan 108 Sayılı Sözleşme'ye (“108+ Sayılı Sözleşme”) doğru olduğu ve veri güvenliğine verilen önemin arttığı gözetilerek, Türk kişisel verilerin korunması mevzuatının da ilişkili AB mevzuatı ve uluslararası düzenlemelerle, bu düzenlemelerde var olan güncel gelişmeler de gözetilmek suretiyle uyumlaştırılması gerektiği savunulmaktadır.

Özet (Çeviri)

International personal data transfers are an inseparable part of many international and national transactions including e-commerce, international judicial or police cooperation and international trade. However, due to its multinational nature, the multitude of legislation may not fully align. Therefore, in many cases, the transferring parties are often obliged to comply with more then one set of rules governing the subject. The modernization of Convention No. 108 and other recent developments in the international field are showing a trend of a tendency to align the governing rules in accordance with the General Data Protection Regulation (“GDPR”), which offers a wide range of possibilities and a graded system that aims to maximize data privacy and safety in terms of international data transfers. Further, especially considering the current developments like the newly drafted standart contractual clauses in the European Union, it could be argued that the general trend is to maximize personal data privacy and safety while creating feasible international data transfer mechanisms. According to GDPR, personal data could be transferred internationally, if the recipient's country, region or a specific sector group is declared to ensure an adequate level of protection by the European Commission. If such an adequacy decision is absent, then transfers could be based on the existence of appropriate safeguards, where the safeguards are provided by either the usage of standard contractual clauses, binding corporate rules or other appropriate methods. Finally, if none of the abovementioned methods could be fitted, for specific situations some derogations are also set. On the contrary, according to Turkish personal data protection legislation currently it could be argued that there is only one practicable option to transfer personal data outside of Turkey. Relevant Turkish legislation sets the existence of adequacy decisions or binding international agreements governing personal data protection such as Convention No. 108 could be the legal ground for international data transfers. However, as it could be supported by the Turkish Data Protection Board's current decisions and opinions, those two options are currently not useable for the transferring parties. However, transferring parties may choose to use binding corporate rules or legally binding contracts to ensure that both parties will take necessary measures to ensure adequate level of protection. Yet, since these processes are not feasible and relatively new, there are only a few examples of transfer based on binding corporate rules or contracts as well. Finally, transferring parties may transfer personal data if the data subject has explicitly consented to the transfer, but in many cases, the aforementioned consent would fail to fulfill all the legal requirements of a legally binding consent; and therefore, would be invalid. Hence, it could be argued that the Turkish data protection legislation needs an immediate renovation in terms of international personal data transfers, since it could be suggested that the existing set of rules are creating impracticable or unlawful outcomes. Moreover, it could be asserted that the Turkish data protection legislation should be in harmonization with GDPR and modernized Convention No. 108, including the current developments, since the international trends are often showing such harmonization tendencies as well.

Benzer Tezler

  1. Kişisel verilerin yurt dışına aktarılmasında bağlayıcı şirket kuralları

    Binding corporate rules in cross border data transfer

    MELİSA TELSAÇ

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    HukukBahçeşehir Üniversitesi

    Sermaye Piyasası ve Ticaret Hukuku Ana Bilim Dalı

    DR. AYŞE ÇİĞDEM AYÖZGER ÖNGÜN

  2. Hizmet öncesi Türkçe öğretmenlerinin öğretmeye yönelik endişeleri ve özyeterlik inançları

    Teaching concerns and self-efficacy beliefs of pre-service Turkish teachers

    TUBA YURTSEVEN

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Eğitim ve ÖğretimPamukkale Üniversitesi

    Türkçe ve Sosyal Bilimler Eğitimi Ana Bilim Dalı

    PROF. DR. DERYA YAYLI

  3. 6698 sayılı kişisel verilerin korunması kanunu ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında kişisel verilerin yurt dışına aktarılması

    Transfer of personal data abroad in the scope of personal data protection law numbered 6698 and general data protection regulation numbered 2016/679

    IŞIL ÇELİK

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    Hukukİstanbul Üniversitesi

    Özel Hukuk Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ NAFİYE YÜCEDAĞ

  4. Kişisel verilerin KVKK ve GDPR kapsamında yurt dışına aktarılması

    Transfer of personal data abroad within the scope of data protection law and GDPR

    ÖZLEM BUDAK

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    HukukMarmara Üniversitesi

    Özel Hukuk Ana Bilim Dalı

    PROF. DR. FULYA ERLÜLE

  5. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin yurtdışına aktarılması ve aktarım koşullarının değerlendirilmesi

    Transfer of personel date abroad and eveluation of data transter conditions under Personel Data Protection Law no 6698

    SEDA KUYUMCU

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    HukukGalatasaray Üniversitesi

    Özel Hukuk Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEHTAP İPEK İŞLETEN