Kişisel verilerin yurt dışına aktarılması konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”)’nun 9. maddesinde[1] düzenlenmiştir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yurt dışında ikamet eden T.C. vatandaşlarının ayni ve nakdi kişisel verilerinin başta Avrupa Birliği üyesi ülkeler olmak üzere diğer ülkelerin kurum ve kuruluşlarıyla paylaşılmaması talepli başvurulara ilişkin olarak kamuoyu duyurusu yayınlanmıştır.

Vatandaşlar tarafından iletilen başvuruların kapsamını, i) finansal hesap bilgilerinin yurt dışına aktarılmaması, ii) finansal hesap bilgileri ile sınırlı olmamak üzere ayrım yapılmaksızın genel olarak kişisel verilerinin yurt dışına aktarılmaması oluşturmaktadır.

Kurum tarafından yapılan duyuruda, Kişisel Verileri Koruma Kurulu’nun 07.07.2021 tarih ve 693 sayılı kararı (“Kurul Kararı”) kapsamında yukarıda iki başlıkta değinilen başvurulara ilişkin değerlendirmelerde bulunulmuştur. Kurul Kararı kapsamında finansal hesap bilgilerinin yurt dışına aktarılmamasını talep eden vatandaşlara ilişkin olarak,

- Başvuruya konu taleplerin ülkemizin dahil olduğu ekonomik Kalkınma ve İşbirliği Teşkilatı (OECD)’na üye ülkeler tarafından 3 Kasım 2011 tarihinde imzalanan ve 03.05.2017 tarihli ve 7018 sayılı Kanun ile onaylanan “Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesi” ile bu sözleşme kapsamında 2017 yılında imzalanan, 31.12.2019 tarih ve 30995 sayılı Resmi Gazete’de yayımlanan “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması” na dayanılarak gerçekleştirildiği,

- Ülkemizde otomatik bilgi değişimi kapsamında bilgi topla ve paylaşma yetkisinin, Hazine ve Maliye Bakanlığına bağlı Gelir İdaresi Başkanlığı’na ait olduğu bu nedenle ilgili başvuru dilekçelerinin Bakanlığa intikal ettirildiği belirtilmiştir.

Açıklama yapılan nedenlerden ötürü işbu başvurulara ilişkin olarak 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Kurul Kararı kapsamında herhangi bir ayrım yapılmaksızın kişisel verilerinin yurt dışına iletilmemesini talep eden vatandaşlar bakımından ise,

- 6698 sayılı Kanun’un 13. maddesinin birinci fıkrası uyarınca başvurularını veri sorumlularına iletmeleri gerektiği,

- Yine 6698 sayılı Kanun’un 14. maddesinin birinci fıkrasında düzenlenen durumlardan birisinin mevcudiyeti halinde Kişisel Verileri Koruma Kurulu’na şikayette bulunabileceği fakat ilgili kişiler tarafından bu şartların yerine getirilmediği,

- Kendilerine yapılan başvuruların herhangi bir veri sorumlusuna ilişkin olmadığı ve taleplerin soyut nitelikte olduğu belirtilmiştir.

Değinilen bu hususlardan ötürü herhangi ayrım yapılmaksızın kişisel verilerin yurt dışına iletilmemesine ilişkin başvuruların incelemeye alınamayacağına karar verilmiştir.

6698 sayılı Kanun’un 13. maddesinin birinci fıkrası “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” şeklindedir. Buna göre Kurul Kararı’nda değinildiği üzere ilgili kişilerin öncelikle veri sorumlusuna başvurması gerekmektedir. İlgili kişilerin veri sorumlusuna başvuru yapması doğrudan Kurul’a şikayet hakkını vermemektedir. Şöyle ki, 6698 sayılı Kanun’un Kurula Şikayet kenar başlıklı 14. maddesinin birinci fıkrası, “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.” hükmünü havidir. Görüleceği üzere ilgili kişiler, veri sorumlusuna yaptıkları başvuruya verilen cevabın yetersiz bulunması, süresinde başvuruya cevap verilmemesi halinde Kurul’a şikayette bulunabilecektir. Kurul’a şikayette bulunma süreleri de anılan maddede açıkça düzenlenmiştir.

Bunun yanı sıra ilgili kişilerin veri sorumlusuna yapacakları başvuru belirli usulüe tabi tutulmuştur. Başvurunun usulü, 6698 sayılı Kanun’un 13. maddesine dayanılarak hazırlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de düzenlenmiştir. Tebliğ’in Başvuru Usulü kenar başlıklı 5. maddesi, “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” şeklindedir. Veri sorumlusuna başvuruda bulunacak ilgili kişilerin, değinilen Tebliğ maddesini dikkate alarak başvurularını yapması, mevzuata uygunluk bakımından yerinde olacaktır.

Duyuru içeriğinde değinilen Kurul kararının yanı sıra ilgili kişilerin aynı konuya dair bundan sonra Kurum’a yapacakları başvurulara yönelik de açıklamalarda bulunulmuştur. Açıklama kapsamında, duyurunun yayımlandığı 09.08.2021 tarihine kadar yapılan ve bu tarihten sonra yapılacak benzer nitelikteki başvuruların açıklanan nedenlerle değerlendirmeye alınmayacağı ve başvuru sahiplerine Kurum tarafından ayrıca cevap verilmeyeceği duyurulmuştur.

Sonuç olarak, Kurul tarafından i) finansal hesap bilgilerinin yurt dışına aktarılmaması talebine ilişkin başvuruların ilgili bakanlık olan Hazine ve Maliye Bakanlığına iletilmesine ve başvurulara ilişkin olarak 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına, ii) herhangi bir ayrım yapılmaksızın kişisel verilerinin yurt dışına iletilmemesi taleplerine ilişkin olarak veri sorumlusuna başvuru koşulu sağlanmadan şikayette bulunulmasından ötürü incelemeye alınamayacağına karar verilmiştir.

-------------

[1] Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.