A-USULE İLİŞKİN DİKKAT EDİLMESİ GEREKEN HUSUSLAR
Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır. Örneğin “Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirecektir.” gibi.
B-ESASA İLİŞKİN DİKKAT EDİLMESİ GEREKEN HUSUSLAR
Veri işleyen ise, Kanunun 3 üncü maddesinin birinci fıkrasının (ğ) bendinde “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri işleyenin faaliyetleri, veri işlemenin daha çok teknik kısımları ile ilgilidir. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri işleyen, veri sorumlusu adına kişisel verileri işlemekte olup, veri sorumlusunun belirlemiş olduğu temel amaç ve araçlar kapsamında ve veri sorumlusunun verdiği yetki doğrultusunda veri işleme faaliyetini gerçekleştirmektedir. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.
Yukarıda yer alan açıklamalar ışığında, veri sorumlusundan veri işleyene aktarımlarda, veri sorumlusunun ve veri işleyenin gerçekleştirmekte olduğu hizmetler ile veri aktarımına ilişkin faaliyetlerinin, net bir şekilde anlaşılabilmesini teminen anlaşılır detayda açıklama yapılması gerekmektedir.
Sonuç olarak, veri sorumlusundan veri sorumlusuna veya veri sorumlusundan veri işleyene yapılacak aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde Taahhütname ile gönderilmesi önem arz etmektedir.
Anılan maddenin ikinci fıkrasının (c) bendinde yer alan “Belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.
Diğer taraftan, anılan maddenin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre ise, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Diğer bir deyişle ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
Bu çerçevede, Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel verilerin işlenme amacına ilişkin yukarıda belirtilen ilkeler başta olmak üzere, Kanunun 4 üncü maddesinde yer alan genel ilkelerin gözetilmesi gerekmektedir.
Veri konusu kişi ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel, …” gibi muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
“Veri kategorileri” belirlenirken, özellikle Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin ikinci fıkrasının (ç) bendinde yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine riayet edilmelidir. Bu anlamda, ancak belirli, açık ve meşru bir veri aktarımı amacıyla bağlantılı, sınırlı ve ölçülü olacak şekilde veri kategorileri belirlenmelidir. Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurulmak suretiyle, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
Veri aktarımının amaçları, “Veri Kategorileri” başlığında belirtilen veri kategorileri ile bağ kurulmak suretiyle açıklanmalıdır. Bununla birlikte, Kanunun 4 üncü maddesine göre kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. Belirli, açık ve meşru amaçlar için işlenme ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bu çerçevede, ilgili bölümde kişisel verilerin işlenme amacı sınırları belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.
Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.
Kanunun 6 ncı maddesinin birinci fıkrasında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlanmıştır. Bu anlamda, sağlık verilerinin ve diğer özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurt dışına aktarımında öncelikli olarak 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında tahdidi olarak sayılan işleme şartlarından birinin mevcut olması gerekmektedir. Bu çerçevede, söz konusu işleme şartlarının mevcut olmadığı durumlarda, özel nitelikli kişisel verilerin yurt dışına aktarımı ancak ilgili kişilerin hukuka uygun bir şekilde açık rızalarının alınması ile mümkün olabilecektir ki, açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilmemektedir.
“İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayanılarak gerçekleştirilecek aktarımlarda, Kurumumuz resmi internet sitesinde yayımlanan Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 sayılı kararında yer verilen denge testi uygulanmalı ve çıkan olumlu sonuç ortaya konulmalıdır. Bu kapsamda, veri sorumluları tarafından; söz konusu veri işleme/aktarım faaliyetinin ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyeceği hususu, veri işleme/aktarımı dolayısıyla veri sorumlusu olarak ilgili kişinin temel hak ve özgürlükleriyle yarışır düzeyde ne tür bir meşru menfaatin elde edileceği, veri işlemeden/aktarımından elde edilecek meşru menfaatin tesisi için söz konusu veri işlemenin/aktarımının neden zorunlu olduğunun her bir veri konusu kişi grubu ve veri kategorisi bakımından somut faaliyet özelinde anlaşılır detayda açıklanması gerekmektedir.
“Alıcı ve alıcı grupları”, veri alıcısı tarafından örneğin verilerin ifşası veya aktarılması suretiyle gerçekleştirilecek sonraki devam eden aktarımlarda veri alıcısının bulunduğu ülkede mukim olan veri sorumlusu veya veri işleyeni ifade etmektedir. Ayrıca belirtmekte fayda görülmektedir ki, sonraki devam eden aktarıma taraf veri sorumlularının veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması gerekmektedir. Örneğin, aktarımın gerçekleşeceği ülkede yetkili kamu kurum ve kuruluşları ile mahkemeler bu kapsamda değerlendirilmektedir. Bununla birlikte, yetkili kamu kurum ve kuruluşlarının rekabet, telekomünikasyon otoritesi gibi belirlenebilir olması halinde bunların açıkça ortaya konulması gerekmektedir.
Öte yandan, Taahhütnameye taraf veri alıcısından, alıcının mukim olduğu ülkede yerleşik başka yukarıda belirtilenlerden farklı bir veri sorumlusuna ya da veri alıcısının mukim olduğu ülkeden başka bir ülkede yerleşik veri sorumlusu veya veri işleyene, Taahhütname kapsamında sonraki devam eden veri aktarımı gerçekleşemeyecektir. Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname imzalanması gerekmektedir. Böyle bir durumda, aktarımın amacı ve niteliğine uygun düştüğü ölçüde, farklılıklar varsa bu farklılıklar da her bir veri sorumlusu ya da veri işleyen bakımından açık ve net bir şekilde ortaya konulmak suretiyle tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması da mümkündür.
İlgili bölüm düzenlenirken, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla hazırlanan ve Kurumumuz resmi internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler)”nin dikkate alınması, taahhüt edilen teknik ve idari tedbirlerin ayrı başlıklar halinde açıklanarak, bu tedbirlere ilişkin tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
İlgili bölüm düzenlenirken, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirleri tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
Kayıt yükümlülüğünün bulunup bulunmadığı bilgisinin gerekçesi ile birlikte açıklanması ve kayıt yükümlülüğünün bulunması halinde VERBİS bilgilerine bu başlık altında yer verilmesi gerekmektedir.
Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup; kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir. Ayrıca, sürelerin belirlenmesinde Kanunun 4 üncü maddesinin ikinci fıkrasının (d) bendinde yer alan, “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkesinin gözetilmesi gerekmektedir.
Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.
Taahhütname ekinde yer alan başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler” başlığı altında açıklanmalıdır.
İrtibat kişisine ait bilgiler bu başlık altında yer almalıdır.
Bu başlıklar altında yapılacak açıklamalarda veri sorumlusu ve veri işleyenin faaliyet alanlarının açıklanması ile veri sorumlusunun veri aktarımına, veri işleyenin ise aktarım sonrasında gerçekleştireceği işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konulması gerekmektedir.
Aktarılan kişisel verilerin aktarım amacıyla bağlantılı olacak şekilde ne tür bir işleme faaliyetine tabi tutulacağı hususu somut aktarım özelinde anlaşılır detayda ve netlikte ortaya konulmalıdır.