KKTC’den diğer ülkelere kişisel verilerin transferi için yeni kararlar belirlendi. Alınan yeni kararlara göre, Transfer Ruhsatı şartı aranacak ve verileri aktarılacak kişinin onayı gerekecek...
Kişisel Verileri Koruma Kurulu, KKTC’den diğer ülkelere kişisel veri transferi için Güvenli Ülke kıstaslarını belirledi.
Buna göre, kişisel verilerin aktarımı, ilgili ülkenin yeterli seviyede koruma sağlaması ve Kurulun ücret karşılığında vereceği “Transfer Ruhsatı”na tabi tutulacak.
Herhangi bir kişinin veri transferi için, o kişinin rızası alınacak ve hayati çıkarlarının korunması ön planda tutulacak.
İŞTE O RAPOR…
Raporda şunlar ifade edildi:
Bu kriterler, veri transferinde bir ülkenin güvenli/yeterli kabul edilmesi için 89/2007 sayılı Yasa, AB Veri Koruma Tüzüğü (GDPR) ve önceki AB 95/46/EC sayılı AB Direktifi ve Çalışma Grubu Raporlarına göre KKTC Kişisel Verileri Koruma Kurulu için temel unsurları oluşturmaktadır.
GENEL ESASLAR
Kişisel verinin yurt dışına aktarılabilmesi için 89/2007 sayılı Yasa’nın 11 inci maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
1) Transfer edilecek kişisel verinin 89/2007sayılı Yasa’nın Kanunun 6’ncı veya 7’inci maddesinde belirtilen işleme şartlarını taşıması,
2) Kurul, ancak ilgili ülkenin yeterli seviyede koruma sağlaması ve Kurulun ücret karşılığında vereceği “Transfer Ruhsatı”
3) Yeterli düzeyde koruma sağlamayan bir ülkeye transferine, aşağıdaki koşullardan bir veya daha fazlasının yerine getirilmesi halinde izin verilir;
-
Bilgiye konu kişinin, herhangi bir kuşkuya yer bırakmayacak şekilde ve hukuka veya kabul edilmiş ahlak değerlerine aykırı olmayacak şekilde alınmış olmak kaydıyla transfere onay vermesi
-
Bilgiye konu kişinin hayati çıkarlarının korunması
-
Bilgiye konu kişi ile kontrolör veya kontrolörle üçüncü taraf arasında, bilgiye konu kişinin çıkarı için yapılmış olan bir sözleşmenin tamamlanması veya kurallarının yerine getirilmesi
-
Bilgiye konu kişinin talebi üzerine alınan, bilgiye konu kişi ile kontrolör arasında yapılacak sözleşme öncesi önlemlerin uygulanması
-
Transferin önemli kamu çıkarı, özellikle diğer ülkenin kamu makamlarıyla iş birliğine ilişkin sözleşmenin kurallarının yerine getirilmesi nedeniyle gerekli olması veya bu nedenlerle transfere hukuken ihtiyaç duyulması.
-
Transferin bir mahkemeye yöneltilecek hukuki iddiaların oluşturulması, öne sürülmesi ve savunulması için gerekli olması.
-
Transferin, ilgili yasa uyarınca kamuya bilgi veren ve kamuya veya meşru çıkarı olan herkese açık olan bir kamu kayıt merkezinden, kayıt merkezine erişimin yasal olarak mümkün olması halinde, yapılması.
-
Kurul, yeterli düzeyde koruma sağlamayan bir ülkeye, kontrolörün özel ve temel hakların korunmasına ilişkin yeterli teminat vermesi ve bu hakların ve teminatın uygun sözleşme kurallarından kaynaklanması halinde, veri transferine izin verebilir. (Veri transferi yapan kontrolör transfer edeceği ülkede bulunan kontrolör arasında temel hakların korunması ve kişisel verilerin korunması bağlamında yeterli koruma olduğuna dair yazılı olarak taahhüt ettikleri bir sözleşme olmalı ve Kurul bu sözleşmeye istinaden izin verebilir).
VERİ TRANSFERİNDE KİŞİSEL VERİLERİN TRANSFERİ İÇİN GÜVENLİ/YETERLİ ÜLKE STATÜSÜ İÇİN DİKKATE ALINACAK KRİTERLER
Yasa’nın (11.Maddesi) ilgili hükümleri ile GDPR ve AB 95/46/EC sayılı AB Direktifi ve Çalışma Grubu Raporlarına göre kişisel verilerin korunması hakkı bağlamında yeterli korumayı sağlayan güvenli bir ülke (Kişisel Verilerin Korunması Hakkı Açısından Yeterli Koruması olan Güvenli Ülke Statüsü) olarak kabulü için aranabilecek kıstaslar;
(A) HUKUKUN ÜSTÜNLÜĞÜNE İLİŞKİN KRİTERLER
1) Kişisel verilerin korunmasının veya özel hayatın gizliliğinin/mahremiyetin korunmasının Anayasal bir hak olması,
2) İnsan haklarının anayasal düzeyde korunması ve/veya insan haklarının korunması adına yargısal/idari vb. hak arama yollarının ulusal/uluslararası alanda açık olması,
3) Kişisel verilerin korunmasına ilişkin temel bir yasanın bulunması ve Yasanın yürürlük tarihi açısından güncel olup olmadığı,
4) Kişisel verilerin korunmasına ilişkin İkincil düzenlemeleri olup olmadığı,
(B) VERİ KORUMA İLKELERİ VE ŞEFFAFLIK
1) Hukuka Uygun İşleme: Verilerin, açık bir hukuki temele dayalı olarak işlenmesi gerekmektedir.
-
a) Yasa ve ikincil düzenlemelerin AB, Avrupa Konseyi, BM ve/veya KKTC mevzuatıyla uyumu,
-
b) İlgili ülkenin Kişisel Verilerin Korunması ile ilgili Genel İlkeler, Kişisel veri işleme şartları ve Hassas verilerin işlenmesi konusunda KKTC Hukuku ve 89/2007 sayılı Yasa ile uyumu (Hassas kişisel verilerin işlenmesi bakımından ek güvenlik tedbirlerinin bulunup bulunmadığı)
-
c) Kişisel veri işlenmesinin 89/2007 sayılı Yasa’da öngörülen İşleme şartlarına ilişkin ilkelere uygunluğu,
-
d) Amaç Sınırlaması: Veri işleme faaliyetlerinin belirli ve meşru amaçlarla sınırlı olup olmadığı hususuna dikkat edilmesi, (Verilerin belirli, açık ve meşru amaçlar için toplanması ve bu amaçlarla tutarlı bir şekilde işlenmesi gerekmektedir)
2) Veri Kalitesi: Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması, (Verilerin doğru, güncel ve işlenme amacına uygun olması sağlanmalıdır.)
3) Veri Saklama: Veri işleme faaliyetlerinin veri minimizasyonu ilkesine uygun olarak gerçekleştirilmesi (Verilerin, işleme amacı için gerekli olduğu süreden daha uzun süre saklanmaması gerekmektedir).
4) Güvenlik ve Gizlilik: Verilerin yetkisiz erişim, işleme veya ifşaya karşı korunması için uygun teknik ve organizasyonel önlemler alınmalıdır.
-
a) Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınması zorunluluğu i. Teknik tedbirler ii. İdari Tedbirler
5) Veri ihlallerine karşı idari ve/veya cezai yaptırımların uygulanma durumu ile veri ihlallerinin önüne geçilmesini sağlayacak diğer mekanizmalar
(C) BİLGİYE KONU KİŞİNİN HAKLARI
Bireylere, kişisel verilerine erişim, düzeltme, silme ve itiraz etme hakları tanınmalıdır.
1) Şeffaflık: Veri sahiplerinin, veri işleme faaliyetleri hakkında bilgilendirilme hakkının bulunması, Veri sahiplerine, kişisel verilerinin nasıl işlendiği hakkında açık ve anlaşılır bilgi sağlanıp sağlanmadığı,
2) İlgili kişilerin veri sorumlusuna başvuru hakkı ve veri koruma otoritesine şikâyet hakkı
3) Kişisel veriler ile ilgili hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı bulunması
4) Veri aktarım sistemi
(D)BAĞIMSIZ DENETİM OTORİTELERİ/KURULLAR/ORGANLAR
Veri koruma kurallarının etkin bir şekilde uygulanmasını sağlayan mekanizmaların varlığı, veri koruma sisteminin güvenilirliğini artırır.
1) Bağımsız veri koruma otoritesinin bulunması A. Kurulun Yapısı B. Bağımsız İdari Otorite Durumu C. Görev ve yetkileri- Denetim/inceleme yetkisi D. Kararlarına karşı başvuru yolunun bulunup bulunmadığı
2) Kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu: 108 ve 181 sayılı sözleşmeler, AİHS gibi.
3) Referans niteliğinde uygulamaya ilişkin rehberler/yayınların olup olmadığı,
(E) DİĞER KOŞULLAR
1) Veri transferi yapılacak ülke ile KKTC’nin uluslararası ilişkileri,
2) Uluslararası veri transferi konusundaki anlaşmaların olup olmadığı,
3) Mütekabiliyet
4) İki ülke arasındaki ticari, sosyal, hukuki ilişkilerin durumu esas alınarak bir ülkeye kişisel verilerin hukuka uygun bir biçimde veri transferi yapılabilmesi için güvenli/yeterli ülke statüsü verilebilir. KKTC KVKK Bu kriterler esas alınmak suretiyle bir ülkenin güvenli/yeterli korumayı sağladığına ilişkin kararlar alabilecektir. İlk etapta bu Kararların alınmasında esas alınacak bu kriterlerin güncellenmesi en kısa sürede sağlanacaktır. Güncellenen kriterlere ilişkin Kurulun alacağı kararlar, İlke Kararı olarak yayımlanarak duyurulacaktır.