Kişisel verilerin yurtdışına aktarılmasına ilişkin yöntemler ve hukuki sebepler

dc.contributor.advisorKaya, Mehmet Bedii
dc.contributor.authorŞen, Deniz
dc.date.accessioned2021-11-22T15:09:28Z
dc.date.available2021-11-22T15:09:28Z
dc.date.issued2021
dc.departmentEnstitüler, Lisansüstü Programlar Enstitüsü, Bilişim ve Teknoloji Hukuku Ana Bilim Dalıen_US
dc.description.abstractÖZET: Kişisel verilerin sınırlar arası aktarımı elektronik ticaret, uluslararası adli yardım ve polis yardımı ile uluslararası ticaret başta olmak üzere pek çok ulusal ve uluslararası faaliyetin ayrılmaz bir parçasıdır. Ancak çok uluslu yapısı gereği, aktarımı düzenleyen uluslararası mevzuatın birbiriyle tam uyumundan söz edilemeyecektir. Bu sebeple, pek çok denklemde kişisel veri aktarımı gerçekleştiren tarafların uyması gereken birden çok düzenleme mevcut olmaktadır. 108 Sayılı Sözleşme’nin modernize edilmesi gibi güncel gelişmeler ışığında uluslararası düzlemde, kademeli bir sistem üzerinden veri aktarımına ilişkin pek çok seçenek barındıran ve veri güvenliği ile gizliliğini azami şekilde korumayı amaçlayan Genel Veri Koruma Tüzüğü (“GVKT”)’ne yaklaşan bir şekilde ilişkili mevzuatın uyumlaştırılmasına yönelik bir eğilim olduğu gözlemlenebilmektedir. Bu denklemde özellikle Avrupa Birliği’nde (“AB”) görülen yeni taslak standart sözleşme hükümleri gibi gelişmeler de gözetilerek sınırlar arası kişisel veri aktarımına ilişkin uygulanabilir mekanizmaların yaratılmasıyla, uluslararası düzlemde veri güvenliği ve gizliliğinin sağlanmasının amaçlandığı yönünde genel bir eğilim olduğu savunulabilecektir. GVKT uyarınca belirlenen kademeli sistem uyarınca, ilk aşamada kişisel verilerin aktarılacağı tarafın bulunduğu ülke, bölge veya sektörel grup özelinde Avrupa Birliği Komisyonu tarafından alınmış bir yeterlilik kararı olması halinde kişisel verilerin aktarımının gerçekleştirilebileceği düzenlenmiştir. Yeterlilik kararının bulunmaması halinde ise, standart sözleşme hükümleri veya bağlayıcı şirket kuralları (“BŞK”) gibi yöntemler kullanılmak suretiyle tarafların uygun güvenlik tedbirlerini sağlaması halinde kişisel veriler aktarılabilecektir. Bu koşulların hiçbirisinin sağlanamadığı hallerde ise, yalnızca bazı spesifik haller için istisnai aktarım koşulları öngörülmüştür. GVKT’deki kademeli sistemin aksine, Türk kişisel verilerin korunması mevzuatına ilişkin güncel uygulama incelendiğinde uygulanabilir tek bir sınırlar arası veri aktarım yöntemi olduğu savunulabilecektir. Türk kişisel verilerin korunması mevzuatı uyarınca, 108 Sayılı Sözleşme gibi kişisel verilerin korunmasına ilişkin uluslararası antlaşmaların varlığı veya aktarımın gerçekleştirileceği ülke veya bölgeye ilişkin yeterlilik kararlarının varlığı hallerinde kişisel veriler yurtdışına aktarılabilecektir. Ne var ki Kişisel Verileri Koruma Kurulu’nun (“Kurul”) açıklama ve kararlarıyla da desteklenebileceği üzere, bu iki seçenek güncel olarak veri aktarım faaliyetlerinde kullanılamamaktadır. Ancak kişisel veri aktaran taraflar BŞK’lere başvurmak veya aralarında yeterli korumayı sağlamak amacıyla gerekli önlemlerin alınacağına ilişkin taahhütnameleri imzaya almak suretiyle de sınırlar arası veri aktarımı faaliyetlerini yürütebilecektir. Fakat bu iki seçenek zor uygulanabilir ve diğer uygulamalara kıyasla yeni düzenleme alanı bulmuş olması gerekçeleriyle, hayli sınırlı uygulama örnekleri olan düzenlemelerdir. Kişisel verileri aktarılacak olan ilgili kişilerin verilerin sınırlar arası aktarımına ilişkin açık rızasının varlığı halinde de kişisel verilerin yurtdışına aktarılabileceği düzenlenmiştir. Ne var ki, pek çok örnekte bahse konu açık rıza, açık rızanın hukuka uygunluk temellerini sağlayamadığından, aktarıma ilişkin hukuka uygun ve geçerli bir rızanın varlığından da söz edilemeyecektir. Bu doğrultuda Türk kişisel verilerin korunması mevzuatının mevcut yapısının hukuka aykırı veya uygulanamayacak uygulamalara sebebiyet verdiği tezine dayanarak bilhassa kişisel verilerin sınırlar arası aktarımı hususunda ivedilikle bir güncellemeye ihtiyaç duyduğu savunulabilecektir. Benzer şekilde uluslararası düzlemde genel yönelimin GVKT’ye ve modernize edilmiş olan 108 Sayılı Sözleşme’ye (“108+ Sayılı Sözleşme”) doğru olduğu ve veri güvenliğine verilen önemin arttığı gözetilerek, Türk kişisel verilerin korunması mevzuatının da ilişkili AB mevzuatı ve uluslararası düzenlemelerle, bu düzenlemelerde var olan güncel gelişmeler de gözetilmek suretiyle uyumlaştırılması gerektiği savunulmaktadır.en_US
dc.description.abstractABSTRACT: International personal data transfers are an inseparable part of many international and national transactions including e-commerce, international judicial or police cooperation and international trade. However, due to its multinational nature, the multitude of legislation may not fully align. Therefore, in many cases, the transferring parties are often obliged to comply with more then one set of rules governing the subject. The modernization of Convention No. 108 and other recent developments in the international field are showing a trend of a tendency to align the governing rules in accordance with the General Data Protection Regulation (“GDPR”), which offers a wide range of possibilities and a graded system that aims to maximize data privacy and safety in terms of international data transfers. Further, especially considering the current developments like the newly drafted standart contractual clauses in the European Union, it could be argued that the general trend is to maximize personal data privacy and safety while creating feasible international data transfer mechanisms. According to GDPR, personal data could be transferred internationally, if the recipient’s country, region or a specific sector group is declared to ensure an adequate level of protection by the European Commission. If such an adequacy decision is absent, then transfers could be based on the existence of appropriate safeguards, where the safeguards are provided by either the usage of standard contractual clauses, binding corporate rules or other appropriate methods. Finally, if none of the abovementioned methods could be fitted, for specific situations some derogations are also set. On the contrary, according to Turkish personal data protection legislation currently it could be argued that there is only one practicable option to transfer personal data outside of Turkey. Relevant Turkish legislation sets the existence of adequacy decisions or binding international agreements governing personal data protection such as Convention No. 108 could be the legal ground for international data transfers. However, as it could be supported by the Turkish Data Protection Board’s current decisions and opinions, those two options are currently not useable for the transferring parties. However, transferring parties may choose to use binding corporate rules or legally binding contracts to ensure that both parties will take necessary measures to ensure adequate level of protection. Yet, since these processes are not feasible and relatively new, there are only a few examples of transfer based on binding corporate rules or contracts as well. Finally, transferring parties may transfer personal data if the data subject has explicitly consented to the transfer, but in many cases, the aforementioned consent would fail to fulfill all the legal requirements of a legally binding consent; and therefore, would be invalid. Hence, it could be argued that the Turkish data protection legislation needs an immediate renovation in terms of international personal data transfers, since it could be suggested that the existing set of rules are creating impracticable or unlawful outcomes. Moreover, it could be asserted that the Turkish data protection legislation should be in harmonization with GDPR and modernized Convention No. 108, including the current developments, since the international trends are often showing such harmonization tendencies as well.en_US
dc.identifier.urihttps://hdl.handle.net/11411/4047
dc.identifier.urihttps://tez.yok.gov.tr/UlusalTezMerkezi/TezGoster?key=CG8WvdvvxJP04Unr7Yecf9N-Zcn2R0oihstjh-PLEjM4VyhmbeKPt0tncjqjM0_o
dc.identifier.yoktezid724475en_US
dc.language.isotren_US
dc.nationalNationalen_US
dc.programBilişim ve Teknoloji Hukukuen_US
dc.publisherİstanbul Bilgi Üniversitesien_US
dc.relation.publicationcategoryTezen_US
dc.rightsinfo:eu-repo/semantics/openAccessen
dc.sponsored.EUNoen_US
dc.sponsored.TUBITAKNoen_US
dc.subjectKişisel Verilerin Korunmasıen_US
dc.subjectKişisel Verilerin Yurtdışına Aktarımıen_US
dc.subjectAvrupa Genel Veri Koruma Tüzüğü Beşinci Bölümen_US
dc.subject6698 Sayılı Kanun Madde Dokuzen_US
dc.subjectSchrems II Kararıen_US
dc.subjectPersonal Data Protectionen_US
dc.subjectInternational Personal Data Transfersen_US
dc.subjectGeneral Data Protection Regulation Chapter Fiveen_US
dc.subjectLaw No. 6698 Article Nineen_US
dc.subjectSchrems II Decisionen_US
dc.titleKişisel verilerin yurtdışına aktarılmasına ilişkin yöntemler ve hukuki sebepleren_US
dc.title.alternativeLegal measures and procedures for ınternatıonal personal data transfersen_US
dc.typeMaster Thesisen_US

Dosyalar

Orijinal paket
Listeleniyor 1 - 1 / 1
Yükleniyor...
Küçük Resim
İsim:
Kişisel verilerin yurtdışına aktarılmasına ilişkin yöntemler ve hukuki sebepler.pdf
Boyut:
1.15 MB
Biçim:
Adobe Portable Document Format
Açıklama:
Lisans paketi
Listeleniyor 1 - 1 / 1
Küçük Resim Yok
İsim:
license.txt
Boyut:
1.71 KB
Biçim:
Item-specific license agreed upon to submission
Açıklama: