Ulaştırma ve Lojistik Kongreleri

Kişisel Verilerin Korunması Kanunu’nun Deniz Taşımacılığına Etkileri ve Güncel Sorunlar

Çağrı Üstünoğlu
Av., Çimentaş İzmir Çimento Fabrikası Türk A.Ş., İzmir, Türkiye

Dünyada ve Ülkemizde en büyük sorunlardan birini teşkil eden kişisel veri güvenliğinin genel bir tanımını yaparak kişisel verilerin korunmasının taşıma sektörüne etkilerini ve güncel sonuçlarını değerlendirmek bu kapsamda Avrupa Birliğinin kişisel veri korunması uygulamaları ile Türkiye’de uygulanmakta olan sistemi değerlendirerek, Türkiyede’ki kişisel veri koruma politikalarının özellikle deniş taşıma sektöründe daha iyi işleyebilmesi için çözüm önerileri getirmek, çalışmamızın amacını oluşturmaktadır. 6698 Sayılı Kişisel Verilerin Korunması Kanunun 1. Maddese uyarınca Kanunun amacı belirtilmektedir. Buna göre amaç, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Ayrıca kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir. Bunların yansıra, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesi de Kanunun amaçları arasında yer almaktadır Günümüz teknoloji çağında, bilginin çok hızlı şekilde toplanması, işlenmesi ve aktarılmasının kişinin mahremiyet, rahatsız edilmeme, anonim kalma gibi özellikle manevi varlığına ilişkin haklarını tehdit etmesiyle birlikte, dünya üzerinde kişinin aidiyetini belirleyen kişisel verilerinin korunması gerektiği fikri ortaya çıkmıştır. Elektronik cihazlar ve sistemlerle bilginin otomatik hâlde işlenmesi bu fikrin tohumlarının atılmasına sebep olurken internetin icat edilmesi ve çok hızlı bir şekilde toplumların gündelik yaşamlarında kullanılmaya başlaması ise bu gerekliliği hayatî hâle getirmiştir. Avrupa’da 1960’lı yıllarda atılan ilk adımlardan sonra, 108 sayılı Sözleşme ve 95/46/EC sayılı Yönerge ile kişisel verilerin korunması bağlayıcı yasal bir çerçeveye kavuşturulmuştur. Deniz Taşıma gibi global çapta operasyonları olan sektörlerde en büyük sorun verilerin yurt dışına nasıl ve hangi koşullarda aktarıldığını belirlenmesi olacaktır. Bu noktada Kişisel Verilerin Korunması Kanun’un 9. maddesine göre, yurt dışına veri aktarımı; İlgili kişinin açık rızasının bulunması, Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler), Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir. Mevzuata uygun bir şekilde Kanun’un 4. maddesinde belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin 9. madde hükmü uyarınca ilgili kişisinin açık rızası alınmak suretiyle yurt dışına aktarılabileceği hükme bağlanmıştır. Kanun kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde ise, 9. Maddenin 2. fıkrası çerçevesinde kişisel veriler açık rıza olmaksızın yurt dışına aktarılabilecektir. Kanun, yurt dışına veri aktarımında da kişisel verilerin işlenme şartlarını aramaktadır. Buna göre yeterli korumanın bulunması halinde (md. 9/2);Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel veriler yurtdışına aktarılabilmektedir. Yine kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir. Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir. Bununla birlikte, bir ülkenin yeterli korumaya sahip ülkeler listesinde olmaması durumunda dahi yukarıda belirtilen şartlardan birinin gerçekleşmesi halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması üzerine o ülkeye veri aktarımında bulunulabilecektir. Öncelikle, veri aktarımının yapılacağı ülke ile Türkiye’nin taraf olduğu herhangi bir uluslararası sözleşmenin olmaması halinde, verilerin yurtdışına aktarımına ilişkin veri sahibinin açık rızasının olup olmadığına bakılmalıdır. Açık rıza mevcut değilse; verilerin normal veya özel nitelikli olmasına bağlı olarak KVKK madde 5/2 veya madde 6/3de sayılan şartların sağlanıp sağlanmadığına bakılacaktır. Bu şartlar sağlanıyor ise aktarımın yapılacağı ülkenin Kurul tarafında belirlenen “güvenli ülkeler” listesinde olup olmadığı kontrol edilmelidir. Şayet aktarım yapılan ülke “güvenli ülke” değil ise, veri aktarımına ilişkin yazılı bir taahhüdünün olup olmadığına bakılacaktır. Eğer böyle bir taahhüt mevcutsa Kurul’dan izin alınması gereklidir. Kurul da izin vermiş ise, kişisel veri yurt dışına ayrıca veri sahibinin rızası aranmaksızın aktarılabilecektir. Hali hazırda güvenli ülkeler listesi ilan edilmediği için, yukarıda açıklanan yol izlenerek yurtdışına veri aktarımı gerçekleştirilmeli ve Kurul tarafından ilan edilen asgari unsurları içeren sözleşmeler imzalanmış ve Kurul’dan izin alınmış olmalıdır. Bunun dışından her zaman veri sahibinin açık rızasının alınması şartıyla veri aktarımı yapılabilir. Ancak rızanın veri sahibi tarafından herhangi bir zaman geri alınabileceği ve geri alınması halinde aktarımın yapılamayacağı unutulmamalıdır. Sektörel anlamda değerlendirildiğinde tüm deniz taşıma sözleşmesi taraflarının yukarıdaki şartları yerine getirerek operasyonlarını yürütüyor olmaları çok mümkün gözükmemektedir. Söz konusu kuralların deniz taşıması ve uluslar arası ticareti sınırlayacağı aşikardır. Ancak Türkiye’deki mevzuatın global gereklilikler de dikakte alınarak değiştirilmesi gerektiği de ortadadır.

Anahtar Kelimeler: KVKK, Yurtdışına Aktarım, Deniz Taşımacılığı, Kişisel Verilerin Korunması Kanunu