GRUP ŞİRKETLER ARASINDA KİŞİSEL VERİ AKTARIMI

26 Şubat 2020

Günümüzde kurumlar ve kuruluşlar her gün binlerce kişiye ait kişisel verilere ulaşabilmektedir. Kişisel verilerin hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Ayrıntılar için yazımızı okuyabilirsiniz.


GRUP ŞİRKETLER ARASINDA KİŞİSEL VERİ AKTARIMI

Günümüzde kurumlar ve kuruluşlar her gün binlerce kişiye ait kişisel verilere ulaşabilmektedir. Elde edilen kişisel veriler, teknolojide yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Kişisel verilerin işlenmesi mal ve hizmet sunan kurum ve kuruluşlara birtakım avantajlar sağlasa da bu durum, kişisel verilerin hukuka uygun amaçlar dışında kullanılması riskini de beraberinde getirmektedir.

Kişisel Verileri Koruma Kanunu uyarınca kişisel veri aktarımının tanımı açık bir şekilde yapılmamakla birlikte, kişisel veri aktarımı “yurt içi aktarım” ve “yurt dışı aktarım” olmak üzere iki başlık altında ele alınmıştır. KVKK’ da belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır. Kanun, kişisel verilerin işlenmesi ile bu verilerin aktarılması bakımından aynı şartları aramaktadır. 

Kişisel verilerin hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Kanunun kişisel verilerin aktarılması başlıklı 8.maddesinde 5.ve 6.maddelere yapılan atıf gereği, bu maddelerde yazan şartların da ayrıca aranması gerekmektedir.

 

Kişisel verilerin aktarılması

 

 

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 

Grup şirketler içerisinde yer alan şirketlerin devamlı süreçlerinden biri de şirketler arası veri aktarımıdır. Grup Şirketlerin de kendi aralarında veri aktarımı yapmalarında ilgili prosedürleri takip etmeleri esas kuraldır çünkü her bir şirket ayrı bir tüzel kişiliktir. Kişisel Verileri Koruma Kurulu’nun 02.08.2018 tarihinde yayınlanan karar özetinde:  

‘’Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,

İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.’’

Kurul, karar özetinde grup şirketler arasında veri aktarımı yapılmasında da Kanun’un 8.maddesinde yazan şartlara uyulması gerektiğine yönelik atıf yapmıştır. Grup şirketler arasında veri aktarımı yapılabilmesi için her durumda ilgili kişiden açık rıza alınmasının gerekip gerekmeyeceği konusunda hukukumuzda herhangi bir düzenleme yer almamaktadır. KVKK’nın ve 95/46 Sayılı Veri Koruma Direktifi’nin kişisel veri aktarımını düzenleyen hükümleri, aralarında organik bağ bulunan kurum ve kuruluşlar, birçok kuruluş ile birlikte  çalışan kamu idareleri ve birden fazla şirketi tek çatı altında birleştiren holdinglerin veya grup şirketlerin hızlı ve güvenli kişisel veri aktarımı ihtiyacına cevap verememektedir. Avrupa Birliği Genel Veri Koruma Tüzüğüne (GDPR) baktığımızda bu konu ile ilgili Resital 48’de:

‘’ Bir merkezi yapıya bağlı bir teşebbüs topluluğu veya kurumların bir parçası olan veri sorumluları, müşterilerinin veya çalışanlarının kişisel verilerinin işlenmesi dahil olmak üzere şirket içi idari amaçlar için teşebbüs grubu içerisinde kişisel verilerin aktarılmasında meşru menfaate sahip olabilir. Kişisel verilerin üçüncü bir ülkedeki grup içi teşebbüse aktarılmasına ilişkin genel prensipler saklıdır.” ibaresi yer almaktadır.

GDPR’ da kişisel veri aktarımı ile ilgili getirilen düzenlemede aktarımın meşru menfaat kapsamında değerlendirilebileceği düzenlenmiştir. Buradan yola çıkarak 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında grup şirketler arasındaki veri aktarımının da meşru menfaat kapsamında değerlendirilip değerlendirilemeyeceği tartışılabilecektir. Bu değerlendirme yapılırken veri aktarımının meşru bir amaç için yapılıp yapılmadığı, bu veri aktarımının amaç için gerekli olup olmadığı ve ilgili kişinin menfaati ile veri sorumlusunun menfaati arasında orantı olup olmadığı hususlarının ayrı ayrı değerlendirilerek veri aktarımının hukuka uygunluğu konusunda karar verilebilecektir. Kurul’un yukarıda yazılı kararında adayın açık rızası olmadan kişisel verilerinin şirketler topluluğu içerisinde aktarılması hukuka aykırı bulunmuş ve şirkete idari para cezası yaptırımı uygulanmıştır. Kurul, kararını özet şeklinde yayınlamış ve kişisel veri ihlalinin ayrıntılarına yer vermemişse de meşru menfaat ve diğer hukuka uygun aktarım koşulları konusunda herhangi bir değerlendirme yapmamıştır. Uygulamada, veri aktarımını meşru menfaat kapsamında değerlendirebilmek için yukarıda belirtmiş olduğumuz kriterler doğru şekilde tespit edilmeli ve meşru menfaat kavramı, veri aktarımını hukuka uygun hale getirebilmek için geniş şekilde yorumlanmamalıdır.

Kişisel veri işleyen ve bu kişisel verileri aktaran veri sorumluları bu aktarımı yukarıda yazılı şartlara uygun olarak gerçekleştirse dahi yükümlülükleri sona ermemektedir. Şöyle ki Kanun’un 12.maddesinde veri sorumlularına veri güvenliğine ilişkin yükümlülükler getirilmiştir. Buna göre, veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdürler. Alınacak olan idari tedbirlerden biri de; kişisel veri aktarımı yapan ve aktarım yapılan şirketler arasında kişisel verilerin korunması için kişisel verilerin korunmasına dair taahhütnamelerin imzalanmasıdır. Tek bir çatı altında toplanan grup şirketler arasında veri aktarımı yapıldığında da Kanun’un 8. ve 9. maddelerinin amaçları doğrultusunda Grup şirketler arasında ileride yaşanabilecek olan hukuki süreçler değerlendirilerek “Gizlilik Taahhütnameleri” hazırlanmalı ve imzalanmalıdır.

Günümüzde özellikle, ortak veri tabanı ile çalışan ve yürüttükleri işler ve ticari faaliyetler çerçevesinde hızlı ve az masraflı veri aktarımı gereksinimi duyan kurum ve kuruluşların faaliyetlerini Kanun’a uygun ve hızlı bir şekilde yürütebilmeleri için bu konuda hazırlanan bir düzenlemeye ihtiyaç duydukları açıktır. Yukarıda belirttiğimiz üzere Kanun, veri sorumlularının yurt içine ve yurt dışına kişisel veri aktarımını sıkı şekil şartlarına bağlamıştır. Kişisel verilerin aktarımını hukuki bir zemine oturtmak için kabul edilen bu şekil şartları, veri aktarım güvenliğini sağlayacak olsa da aralarında organik bağ olan veya Holding çatısı altında birleşen kurumlar ile birçok kurum ile çalışan idarelerin hızlı ve kolay veri aktarımı ihtiyacına cevap verememektedir. Bu konuda geliştirilebilecek olan bir veri aktarım sistemi ile Kişisel veri işleyen kurum ve kuruluşların, ortak ekonomik faaliyet yürüten ve aralarında organik bağlantı olan diğer kurumlara, bağlı bulunduğu holdinge ve birlikte çalıştığı kamu idarelerine veri aktarımı kolaylaştırılabilir. Böylelikle hem kurumların Kanun’a uyum süreci hızlandırılmış hem de ticari hayatın işleyişi kişisel veri aktarım prosedürü sebebiyle olumsuz etkilenmemiş olacaktır. Bu konuda yeni yasal düzenlemeler oluşturulması ve Kurul’un ilke kararları ile bu konuyu netliğe kavuşturmasına kadar Grup şirketlerin veri aktarımı sırasında Kanun’da belirtilen şartlara uygun hareket ederek kişisel veri aktarımını hukuka uygun zeminde yürütmeleri gerektiği aşikardır.

 

AV. DİLARA ÖNSUR