1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kişisel verilerin yurt içinde üçüncü kişilerle (başka şirketler, kamu kurumları, iş ortakları veya taşeronlar) paylaşılmasını, yani "Veri Aktarımı" (Data Transfer) faaliyetini düzenleyen usul ve esasa dair normdur. Veri aktarımı, veri işleme sürecinin en yüksek risk barındıran halkasıdır. Zira veri, başlangıçta onu toplayan veri sorumlusunun doğrudan teknik ve fiziki denetim alanından çıkarak, güvenlik seviyesi bilinmeyen üçüncü bir aktörün egemenlik alanına geçmektedir. Yasa koyucu bu riski dengelemek amacıyla, aktarımı kural olarak ilgili kişinin açık rızasına bağlamış (m. 8/1); rızasız aktarımı ise ancak Madde 5 ve Madde 6'daki emredici yasal şartların (sözleşme ifası, kanuni zorunluluk, meşru menfaat vb.) varlığı halinde mümkün kılmıştır (m. 8/2).
2. Maddedeki Kavramların Analizi
- Veri Aktarımı: Verilerin üçüncü kişilere e-posta, entegrasyon (API), fiziksel evrak teslimi, bulut paylaşımı veya sisteme uzaktan erişim izni verilmesi (görüntüleme yetkisi) gibi yollarla iletilmesi veya erişilebilir kılınmasıdır.
- Rızasız Aktarım Rejimi (m. 8/2):
- Genel Veriler İçin (m. 8/2-a): Madde 5/2'deki 7 alternatif şarttan (kanun, sözleşme, hukuki yükümlülük, meşru menfaat vb.) birinin varlığı halinde, ilgili kişiden açık rıza alınmaksızın aktarım yapılabilir.
- Özel Nitelikli (Hassas) Veriler İçin (m. 8/2-b): 7499 sayılı Kanunla güncellenen Madde 6/3'teki yasal şartlardan (İSG/istihdam, kamu sağlığı, hak tesisi vb.) birinin varlığı ve ayrıca Kurulca belirlenen yeterli önlemlerin alınmış olması kaydıyla rızasız aktarım mümkündür.
- Grup Şirketleri / Holdinglerin "Üçüncü Kişi" Statüsü: KVKK uygulamasında en çok ihlal edilen konulardan biridir. Aynı holdinge veya gruba bağlı farklı tüzel kişilikteki şirketler (ana ortaklık-yavru ortaklıklar), hukuk karşısında birbirine göre "Üçüncü Kişi" sayılır. "Biz aynı gruptayız, ortak veri tabanı kullanabiliriz" mantığıyla müşterilerin veya çalışanların verilerini rızasız/yasal dayanaksız paylaşmak açık bir KVKK ihlalidir. Her bir aktarım için bağımsız hukuka uygunluk nedeni bulunmalıdır.
- Diğer Kanunların Saklılığı (m. 8/3): Diğer yasalardaki emredici aktarım kuralları (örn: TCK uyarınca adli makamlara bilgi verme, Bankacılık Kanunu sır saklama istisnaları, SGK mevzuatı aktarımları) saklıdır ve öncelikle uygulanır.
3. Sistematik İlişkiler
Madde 8; Kanunun m. 5 ve m. 6 işleme şartlarına doğrudan atıfta bulunarak onlarla ayrılmaz bir maddi hukuk bütünlüğü oluşturur. Ceza yaptırımı yönünden Türk Ceza Kanunu'nun 136. maddesi (Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu) ve idari cezalar yönünden KVKK m. 18 hükümleriyle doğrudan ilişkilidir.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
- TCK 136 Kapsamında Ağır Ceza Yaptırımları: Yargıtay ceza daireleri, bir kişinin cep telefonu numarasını, fotoğrafını veya adresini onun rızası olmaksızın WhatsApp gruplarında paylaşan veya üçüncü bir kişiye sözlü/yazılı olarak aktaran sanıklar hakkında, TCK m. 136 uyarınca 2 yıldan 4 yıla kadar hapis cezası mahkumiyetlerini istikrarlı olarak onamaktadır. Aktarım faaliyeti doğrudan ceza davası konusudur.
- Grup İçi Veri Paylaşımı Cezaları: KVKK Kurulu, holdinglerin kurduğu ortak veri tabanlarında (CRM sistemleri vb.), grup şirketlerinin müşterilerinin rızasını almadan veya yasal dayanak göstermeden birbirlerine veri aktarmasını ağır ihlal saymakta ve bu holding şirketlerine milyonlarca liralık idari para cezaları uygulamaktadır.
5. Pratik Örnek Olaylar
Örnek 1 (Hukuka Uygun Aktarım): Banka B, borcunu ödemeyen müşteri M hakkında yasal takip başlatacaktır. Banka, M'nin kimlik ve borç bilgilerini icra takibini yürütmesi için dış kaynaklı anlaştığı Avukat A'ya aktarmıştır. Bu aktarım, Madde 8/2-a yollamasıyla m. 5/2-e (bir hakkın tesisi, kullanılması veya korunması) kapsamında tamamen hukuka uygundur. Bankanın M'den ayrıca rıza alması gerekmez.
Örnek 2 (Hukuka Aykırı Aktarım): Bir hastane, doğum yapan hastalarının (özel nitelikli sağlık verisi) listesini ve iletişim bilgilerini, bebek bezi ve mama reklamı yapması için bir kozmetik firması K'ye aktarmıştır. Hastane hastaların rızasını almadığı gibi, bu aktarımı haklı kılacak hiçbir Madde 6/3 istisnası da yoktur. Bu aktarım net bir KVKK ve TCK m. 136 ihlalidir. Hastaneye ağır idari para cezası kesilir ve sorumlular hakkında ceza davası açılır.
6. Pratik Uygulama Notları
- Veri Aktarım Sözleşmesi (DTA) İmzalayın: İki bağımsız veri sorumlusu arasında veya bir iş ortaklığında veri paylaşımı yapılacağı zaman, taraflar arasında mutlaka "Veri Aktarım Sözleşmesi" (Data Transfer Agreement) imzalanmalıdır. Bu sözleşmede veriyi alan tarafın verileri sadece belirlenen amaçla işleyeceği, başkasına aktarmayacağı ve siber güvenlik önlemlerini alacağı taahhüt edilmelidir.
7. Eleştirel Değerlendirme
- Grup Şirketleri İçin "Bağlayıcı Şirket Kuralları" İhtiyacı: Modern küresel ekonomide holding yapıları, müşteri deneyimini artırmak ve veri sinerjisi yaratmak için grup içi veri akışına muhtaçtır. KVKK'nın grup şirketlerini tamamen yabancı üçüncü kişiler gibi konumlandıran katı yaklaşımı, ticari verimliliği baltalamaktadır. Yurt dışı aktarımlarında (m. 9) kabul edilen "Bağlayıcı Şirket Kuralları" (Binding Corporate Rules - BCR) mekanizmasının, benzer standartlar ve Kurul onayıyla yurt içindeki holding/grup şirketleri arasında da uygulanabilmesi yönünde mevzuat esneklikleri getirilmesi, hem veri güvenliğini koruyacak hem de dijital ekonomiyi canlandıracaktır.
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin yurt içi aktarım rejimini, rızasız aktarımın yasal sınırlarını, grup şirketlerinin üçüncü kişi statüsünü ve veri aktarım sözleşmelerinin usuli sıhhatini 6698 sayılı Kanun'un 8. maddesi ve ceza hukuku yaptırımları çerçevesinde Av. Fethi Güzel'in analitik yaklaşımlarıyla tahlil etmektedir.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, kişisel verilerin yurt içinde üçüncü kişilerle (başka şirketler, kamu kurumları, iş ortakları veya taşeronlar) paylaşılmasını, yani "Veri Aktarımı" (Data Transfer) faaliyetini düzenleyen usul ve esasa dair normdur. Veri aktarımı, veri işleme sürecinin en yüksek risk barındıran halkasıdır. Zira veri, başlangıçta onu toplayan veri sorumlusunun doğrudan teknik ve fiziki denetim alanından çıkarak, güvenlik seviyesi bilinmeyen üçüncü bir aktörün egemenlik alanına geçmektedir. Yasa koyucu bu riski dengelemek amacıyla, aktarımı kural olarak ilgili kişinin açık rızasına bağlamış (m. 8/1); rızasız aktarımı ise ancak Madde 5 ve Madde 6'daki emredici yasal şartların (sözleşme ifası, kanuni zorunluluk, meşru menfaat vb.) varlığı halinde mümkün kılmıştır (m. 8/2).
2. Maddedeki Kavramların Analizi
3. Sistematik İlişkiler
Madde 8; Kanunun m. 5 ve m. 6 işleme şartlarına doğrudan atıfta bulunarak onlarla ayrılmaz bir maddi hukuk bütünlüğü oluşturur. Ceza yaptırımı yönünden Türk Ceza Kanunu'nun 136. maddesi (Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu) ve idari cezalar yönünden KVKK m. 18 hükümleriyle doğrudan ilişkilidir.
4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı
5. Pratik Örnek Olaylar
Örnek 1 (Hukuka Uygun Aktarım): Banka B, borcunu ödemeyen müşteri M hakkında yasal takip başlatacaktır. Banka, M'nin kimlik ve borç bilgilerini icra takibini yürütmesi için dış kaynaklı anlaştığı Avukat A'ya aktarmıştır. Bu aktarım, Madde 8/2-a yollamasıyla m. 5/2-e (bir hakkın tesisi, kullanılması veya korunması) kapsamında tamamen hukuka uygundur. Bankanın M'den ayrıca rıza alması gerekmez.
Örnek 2 (Hukuka Aykırı Aktarım): Bir hastane, doğum yapan hastalarının (özel nitelikli sağlık verisi) listesini ve iletişim bilgilerini, bebek bezi ve mama reklamı yapması için bir kozmetik firması K'ye aktarmıştır. Hastane hastaların rızasını almadığı gibi, bu aktarımı haklı kılacak hiçbir Madde 6/3 istisnası da yoktur. Bu aktarım net bir KVKK ve TCK m. 136 ihlalidir. Hastaneye ağır idari para cezası kesilir ve sorumlular hakkında ceza davası açılır.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz, kişisel verilerin yurt içi aktarım rejimini, rızasız aktarımın yasal sınırlarını, grup şirketlerinin üçüncü kişi statüsünü ve veri aktarım sözleşmelerinin usuli sıhhatini 6698 sayılı Kanun'un 8. maddesi ve ceza hukuku yaptırımları çerçevesinde Av. Fethi Güzel'in analitik yaklaşımlarıyla tahlil etmektedir.