Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da yürürlüğe girmesinden beri, kişisel verilerin yurt dışına aktarımı tam bir muammadan ibaret. Çünkü güvenli olmayan ülkelere veri aktarımı yapılabilmesi için Kurul’a kişisel verilerin korunduğuna ve korunacağına ilişkin bir taahhütname ile başvurarak izin alınması gerekmekte. Ancak (Kurul’a sayıları çok olmamakla birlikte bazı veri sorumluları tarafından izin başvurusunda bulunulduğu biliniyor) Kurul’a bu zamana kadar yapılan başvurulardan herhangi bir sonuç elde edilemedi. Sonuç elde edilemediği gibi Kurul güvenli olan ülkelerin listesini de hala açıklamadı. Böyle bir durumda yurt dışına kişisel veri aktarımı yapmak isteyen veri sorumlularının elinde tek seçenek kaldı o da açık rıza. Ne yazık ki bu yol da teoride mümkün iken uygulamada (çalışanların açık rızalarının özgür iradeyle alınması sorunu, açık rızaların her zaman geri alınabilmesi gibi nedenlerle) imkansıza yakın. Tabi ki bu cümlelerden Kurul’un kötü çalıştığı sonucu çıkarılmamalıdır. Kurul’un kişisel verilerin korunması mevzuatının Türkiye’de yerleşmesi için yoğun ve başarılı bir şekilde çalıştığı kabul edilmelidir. Ancak şu anda gerçekleştirilen yurt dışı aktarımların büyük çoğunluğunun hukuka aykırı bir şekilde gerçekleştirildiği de (Kanun’un dört yıl önce yürürlüğe girdiğini göz önüne aldığımızda) unutulmamalıdır. Kurul’un takdir edilmesi gereken noktaları olduğu gibi eleştirilmesi gereken noktaları da vardır. Açıkçası (kişisel verilerin korunması mevzuatına ve uygulamadaki sorunların çözümüne katkısı olduğunu düşündüğümüzden) bu tarz yapıcı eleştirilerin de gerekli olduğunu düşünüyoruz. Güvenli olan ve olmayan ülkelerin açıklanmasının “karşılıklılık” ilkesinden dolayı zaman alması kabul edilebilir olsa da taahhütnamelere geri dönüşlerin olmaması ve veri sorumlularına hukuka uygun bir yurt dışı aktarımı için (açık rıza dışında) yol gösterilmemesi Kanun’un amacına ters düşmektedir.

logo-footer