Kişisel verilerin uluslararası transferinde hangi hukuki kurallar uygulanmalı?

BİLGİ Bilişim ve Teknoloji Hukuku Enstitüsü ve BİLGİ Hukuk Fakültesi tarafından düzenlenen “Avrupa Konseyi 108+ Konvansiyonu ve GDPR: Dünya Çapında Kişisel Verilerin Korunmasına Modernize Edilmiş Bir Yaklaşım” başlıklı sempozyumda Türkiye’nin gündem konusu olan uluslararası veri transferine ilişkin düzenlemeler ve atacağı adımlar ele alındı.

Kişisel Verilerin Korunması Kanunu, AB Genel Veri Koruma Tüzüğü (GDPR) ve Avrupa Konseyi’nin 108+ Konvansiyonu çerçevesinde, kişisel verilerin uluslararası dolaşıma açılması ve bu dolaşımı mümkün kılan mekanizmaların yeterliliği global ölçekte değerlendirildi.

Etkinliğin açılış konuşmasını yapan BİLGİ Vekil Rektörü Prof. Dr. Kübra Doğan Yenisey, “Yapay zeka, derin öğrenme gibi gelişmeler karşısında özel hayatı gizli tutmak, kişilik haklarının korunması giderek güç hale geliyor. Verinin bir ekonomik değer haline gelmesi ve küreselleşmesi, hukuki koruma mekanizmalarının güncellenmesini gerektiriyor” dedi.

Uluslararası veri transferinin tüm dünyadaki ekonomik ilişkilerin temel noktası haline geldiğini belirten Prof. Dr. Doğan Yenisey, “2018’de yürürlüğe giren Avrupa veri koruma regülasyonu kişisel verilerin korunmasında en üst düzey korumayı sağlıyor. 108+ Konvansiyonu’na bugün 38 ülke taraf. Bu konvansiyonun ülkemizdeki 6698 Sayılı Kanunla başlayan uluslararası veri transferi süreçlerine de ışık tutmasını temenni ederim” şeklinde konuştu.

'GDPR globalde altın standart'

Avrupa Birliği Komisyonu tarafından yapılan veri korumasına ilişkin düzenlemelerde ve Komisyon tarafından verilen güvenli ülke kararlarında aktif rol alan Avrupa Birliği Komisyonu Uluslararası Veri Akışı ve Koruması Departmanı Başkanı Ralf Sauer, “Veri gizliliği temel bir insan hakkıdır. Kişisel verilerin yayılması çok hızlı ve kolay gerçekleşiyor. Ancak Avrupa Birliği olarak veri koruması konusunda aldığımız önlemler sayesinde ekonomik operatörler Avrupa pazarına erişim sağlayabiliyorlar. Üçüncü ülkelerle yapılan veri transferinde, ek bir güvenlik tedbirine gerek duyulmaksızın hayata geçirdiğimiz GDPR globalde altın standart olarak değerlendiriliyor. Kamu erişimine açık bilgiler için özellikle titiz çalışılıyor. Üçüncü ülkeler için yaptığımız değerlendirmeler ve rehberlik hizmetlerimizle alana katkı sunuyoruz. Bu noktada Avrupa Birliği’ne üye ülkelerde üçüncü tarafların da bu düzeyde bir önlem almasını bekliyoruz” dedi.

'Türkiye de konvansiyonu onaylamalı'

Avrupa Konseyi Kişisel Verilerin Korunması Departmanı Başkanı Sophie Kwasny ise “1981 yılında Türkiye tarafından da imzalanan 108+ Konvansiyonu ile verinin serbestçe güven ilkesine dayalı bir şekilde dolaşabilmesi amaçlanmış. Şu an toplam 55 ülke yasalarına bu kanunları yerleştirdi. 108+ Konvansiyonu günümüzde de önemini koruyan bir metin. Özellikle uluslararası anlaşmalarda iki taraflı tam uyumluluk sağlanması gerekiyor. Taraflar arasında serbest veri akışı olmalı” dedi.

108+ Konvansiyonu’nun kapsamına dikkat çeken Kwasny, “Türkiye’nin de bu konvansiyonu en azından imzalaması uluslararası işbirliği ve GDPR ile uyumlu uluslararası veri transferi gibi konularda kritik önem taşıyor” diye konuştu.

Leuven Üniversitesi Bilişim ve Teknoloji Hukuku Merkezi’nden Öğretim Üyesi Dr. Jos Dumortier, “Türkiye veriyi tamamen kendi kontrolünde tutmak istiyor, ancak bu tamamen bir yanlış anlamadan kaynaklı. Sınır ötesi veri transferi, verinin bir bölgeden diğer bölgeye koruma esasına dayalı ve insan haklarını gözetir bir şekilde aktarımını ifade ediyor. Tüm bu süreçlerde veriler yasal yaptırımlarla korunmakta” dedi.

Özellikle tıp alanındaki verilerin tüm dünyanın kullanımına açılmasının önemine değinen Prof. Dr. Dumortier, “Veri aktarımını kolaylaştırabilirsek açık bir ekonomi olur daha verimli çalışırız” diye belirtti. 

Küresel veri hacmi 5 yılda 175 Zeta Byte artacak

Sempozyumun moderasyonunu yürüten İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Kurucusu Doç. Dr. Leyla Keser ve Enstitü ve Bilişim ve Teknoloji Hukuku Master Programı Öğretim Görevlisi Av. Yasin Beceni (LL.M.) ise şu noktalara dikkat çekti:

“Verinin niteliği, süresine göre dayandığınız tüm hukuki enstrümanlar değişiyor. Ülkemizde iki enstrüman var; biri açık rıza diğeri Kişisel Verileri Koruma Kurulu’ndan izin almak. Bu süreç uluslararası veri transferi yapamayacağınızı gösteriyor. Her yıl küresel veri hacmi önceki yıla göre iki kat artıyor. 2025 yılındaysa 175 Zeta Byte’lık bir artış bekleniyor. Dijital ekonomiye giden yolda bizim de uluslararası veri transferini kolaylaştırmak açısından AB’deki gibi çoklu seçeneklerden oluşan veya en azından tarafı olduğumuz 108 Sayılı Sözleşme ve 181 Sayılı Ek Protokolü ile Açıklayıcı Raporu’nda belirtilen çerçevede bir sistem oluşturmamız gerekir.”