Madde 8

Kişisel verilerin aktarımı, veri işleme faaliyetinin özgün bir görünümü olarak Kanun'un 8. maddesinde düzenlenmiştir.1 Aktarım kavramı, kişisel verilerin veri sorumlusu dışındaki üçüncü kişilere iletilmesini ifade etmekte olup bu işlemin hukuka uygunluğu için belirli şartların sağlanması gerekmektedir.

Kanun koyucu, yurt içi aktarım açısından genel işleme şartlarıyla paralel bir düzenleme öngörmekte ve böylece aktarımın ancak Kanun'un 5. ve 6. maddelerinde belirtilen hukuka uygunluk sebeplerinden birine dayanması halinde gerçekleştirilebileceğini ortaya koymaktadır.2

Aktarım, müstakil bir işleme şekli olmayıp mevcut hukuki dayanaklara tabi bir veri işleme faaliyeti niteliğindedir.

Yurt içi aktarımın hukuka uygunluğu, Kanun'un 5. ve 6. maddelerinde öngörülen şartlara tabidir. İlgili kişinin açık rızası alınmışsa aktarım gerçekleştirilebilir. Aktarımı zorunlu kılan bir yasal düzenleme mevcutsa kanunda açıkça öngörülme şartı karşılanmış olur. Taraflar arasındaki sözleşmenin ifa edilmesi için gerekli ise sözleşmenin ifası kapsamında aktarım yapılabilir. Veri sorumlusunun yasal bir yükümlülüğünü yerine getirmesi için zorunlu ise hukuki yükümlülük şartı sağlanmış olur. Son olarak veri sorumlusunun meşru menfaati kapsamında, ilgili kişinin haklarına zarar vermemek kaydıyla aktarım mümkündür.

Aktarım yapılacak üçüncü kişinin de veri güvenliği yükümlülüklerine uyması gerekmektedir.

Aktarımın muhatabı olan üçüncü kişiler, veri sorumlusu veya veri işleyen sıfatına sahip olabilir.

Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. Veri sorumlusu ile veri işleyen arasındaki ilişkinin yazılı şekilde düzenlenmesi gerekmektedir.

Müşterek veri sorumluluğu kavramı her ne kadar Kanun'da açıkça düzenlenmemiş olsa da birden fazla veri sorumlusunun birlikte amaç ve araç belirlemesi halinde gündeme gelmektedir. Bu durumda taraflar arasındaki görev dağılımı ve kanundan doğan yükümlülüklerin nasıl yerine getirileceği yazılı olarak tespit edilmelidir.

Müşterek sorumluluk bakımından Kanun'un 12. maddesinin 2. fıkrası, veri sorumlusu ile veri işleyen arasında gerekli tedbirlerin alınması noktasında müşterek sorumluluk öngörmektedir.

Kişisel verilerin aktarılması kavramı, Kanun'un 8. maddesinde müstakil bir veri işleme türü olarak düzenlenmemiş; bilakis genel işleme şartlarına tabi kılınmıştır. Bu tercih, aktarımın özünde bir "işleme" faaliyeti olduğu kabulüne dayanmaktadır. Nitekim Kanun'un 3. maddesinde veri işleme, kişisel verilerin "aktarılmasını da kapsayan her türlü işlem" olarak tanımlanmaktadır.

Aktarım kavramının hukuki niteliği, teknik bir veri iletiminden farklıdır. Hukuki anlamda aktarımdan söz edebilmek için verinin, veri sorumlusunun organizasyon yapısı dışına çıkması ve üçüncü bir kişinin fiili erişimine açılması gerekmektedir. Dolayısıyla aynı veri sorumlusunun bünyesindeki birimler arasında gerçekleştirilen veri paylaşımları, teknik açıdan bir iletim niteliği taşısa dahi hukuki anlamda aktarım olarak değerlendirilmeyecektir.

Aktarımın yöneldiği muhatap açısından bir ayrım yapılması icap etmektedir. Veri sorumlusuna aktarım halinde, alıcı taraf artık bağımsız bir veri sorumlusu sıfatıyla kendi amaçları doğrultusunda verileri işleyebilecektir. Veri işleyene aktarım halinde ise alıcı, yalnızca veri sorumlusunun belirlediği amaç ve kapsamla sınırlı olarak veri işleme yetkisine sahip olacaktır.

Madde 8/2 hükmü, yurt içi aktarımın hukuka uygunluğunu doğrudan madde 5/2'de sayılan işleme şartlarına bağlamaktadır. Bu atıf, aktarımın müstakil bir işlem olmayıp genel veri işleme rejiminin bir parçası olduğunu teyit etmektedir. Söz konusu hukuka uygunluk sebeplerinin aktarım bağlamında nasıl tatbik edileceği ise ayrıca değerlendirilmelidir.

Kanunlarda açıkça öngörülme şartı (m.5/2-a) bakımından, aktarımı zorunlu kılan yasal bir düzenlemenin mevcudiyeti aranmaktadır. Vergi mevzuatı kapsamında Maliye Bakanlığı'na yapılan bildirimler, sosyal güvenlik mevzuatı çerçevesinde SGK'ya iletilen veriler ve icra takibi süreçlerinde icra dairelerine aktarılan bilgiler bu kategoride değerlendirilebilir.

Sözleşmenin kurulması veya ifası şartı (m.5/2-c) açısından, aktarımın sözleşmesel ilişkinin zorunlu bir unsuru olması gerekmektedir. Kargo şirketine teslimat için adres bilgisinin iletilmesi, sigorta poliçesi düzenlenmesi için acenteye aktarım yahut banka havalesi için alıcı IBAN bilgisinin paylaşılması bu kapsamda meşru kabul edilecektir.

Meşru menfaat şartı (m.5/2-f) çerçevesinde aktarım gerçekleştirilmesi, en titiz değerlendirmeyi gerektiren hukuka uygunluk sebebidir. Veri sorumlusunun aktarımdaki meşru menfaatinin, ilgili kişinin temel hak ve özgürlüklerine üstün gelmemesi icap etmektedir. Grup şirketleri arasında müşteri verisi paylaşımı, bu dengeleme testinin somut olarak uygulanmasını gerektiren tipik örneklerden birini teşkil etmektedir.

Özel nitelikli kişisel verilerin aktarılması, madde 8/2(b) hükmü gereğince madde 6/3'te öngörülen şartlara tabidir. Bu düzenleme, hassas verilerin üçüncü kişilere iletilmesinde daha katı bir koruma rejimi öngörmektedir. Söz konusu verilerin aktarımında yalnızca hukuka uygunluk sebebinin mevcut olması yeterli olmayıp, ayrıca Kurul tarafından belirlenen yeterli önlemlerin de alınması zaruridir.

Sağlık verilerinin aktarımı, bu alandaki en kritik uygulama alanını oluşturmaktadır. Hastaneler arası hasta dosyası transferi, laboratuvar sonuçlarının hekimlerle paylaşılması veya sigorta şirketlerine tedavi bilgilerinin iletilmesi gibi işlemler, hem kamu sağlığının korunması hem de sır saklama yükümlülüğü perspektifinden değerlendirilmelidir. Bu bağlamda aktarımın, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi amaçlarıyla sınırlı tutulması gerekmektedir.

Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerin aktarımı ise münhasıran yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilebilecektir. Bu kategorideki verilerin özel sektör aktörlerine aktarılması, ilgili kişinin açık rızası bulunsa dahi hukuka aykırılık teşkil edecektir.

Veri sorumlusundan veri işleyene gerçekleştirilen veri iletiminin hukuki niteliği, aktarım kavramının en tartışmalı boyutlarından birini oluşturmaktadır. Teknik açıdan bir veri paylaşımı söz konusu olmakla birlikte, veri işleyenin bağımsız bir işleme amacı bulunmadığından bu ilişkinin klasik aktarım kategorisine dahil edilip edilmeyeceği doktrinde tartışmalıdır.

Kanun'un 12. maddesinin 2. fıkrası, veri sorumlusu ile veri işleyen arasındaki ilişkiyi düzenlemekte ve her iki tarafın gerekli güvenlik tedbirlerinin alınması hususunda müştereken sorumlu olduğunu hükme bağlamaktadır. Bu düzenleme, veri işleyene yapılan iletimin de belirli bir kontrol mekanizmasına tabi tutulması gerektiğine işaret etmektedir.

Uygulamada veri işleyen ilişkisinin tespiti, taraflar arasındaki sözleşmenin lafzından ziyade fiili durumun incelenmesini gerektirmektedir. Veri işleyen sıfatındaki tarafın, işleme amaç ve araçlarını belirleme yetkisine sahip olması halinde, söz konusu taraf artık bağımsız veri sorumlusu olarak addedilecek ve yapılan iletim madde 8 kapsamında bir aktarım niteliği kazanacaktır.

Kişisel Verileri Koruma Kurulu, çeşitli kararlarında yurt içi aktarımın sınırlarını somutlaştırmıştır. Bu kararlar, madde 8'in uygulanmasında yol gösterici nitelik taşımakta ve veri sorumlularının aktarım işlemlerini yapılandırırken dikkate almaları gereken ilkeleri ortaya koymaktadır.

Kurul'un yerleşik içtihadına göre, aktarımın meşruiyeti yalnızca bir hukuka uygunluk sebebinin varlığıyla değil, aynı zamanda ölçülülük ilkesiyle de sınırlandırılmaktadır. Aktarılan verinin kapsamı, aktarım amacını gerçekleştirmeye yeterli asgari düzeyde tutulmalı; gereksiz yere geniş kapsamlı veri paylaşımından kaçınılmalıdır. Bu husus bilhassa pazarlama amaçlı veri paylaşımlarında ve grup şirketleri arasındaki transferlerde önem arz etmektedir.

Alıcı tarafın güvenlik tedbirleri de Kurul değerlendirmelerinde belirleyici bir unsur olarak karşımıza çıkmaktadır. Veri sorumlusu, aktarım gerçekleştireceği üçüncü kişinin yeterli veri güvenliği altyapısına sahip olduğunu teyit etmekle mükelleftir. Aksi halde meydana gelebilecek ihlallerden, aktarımı gerçekleştiren veri sorumlusu da sorumlu tutulabilecektir.

Genel Veri Koruma Tüzüğü'nde (GDPR) yurt içi aktarım, müstakil bir düzenlemeye konu edilmemiştir. Tüzük'ün sistematiğinde aktarım kavramı, yalnızca üçüncü ülkelere veya uluslararası kuruluşlara yapılan transferler bağlamında (Bölüm V, Art. 44-49) özel olarak ele alınmaktadır. Birlik içindeki aktarımlar ise genel işleme şartlarına (Art. 6) tabidir.

KVKK'nın madde 8 düzenlemesi, bu açıdan GDPR'dan farklı bir sistematik tercih yansıtmaktadır. Türk kanun koyucusu, yurt içi aktarımı ayrı bir madde olarak düzenlemekle birlikte, hukuka uygunluk şartları bakımından genel işleme rejimine atıf yapmıştır. Sonuç itibariyle her iki sistemde de aktarımın meşruiyeti, genel veri işleme şartlarının sağlanmasına bağlıdır; ancak KVKK bu hususta daha açık bir normatif çerçeve sunmaktadır.