VERİ KORUMA HUKUKU ÜZERİNE DEĞERLENDİRMELER –2: GDPR Kapsamında “Veri Taşıma Hakkı”

Veri Taşıma Hakkı, ulusal mevzuatımız 6698 sayılı Kişisel Verileri Koruma Kanunu’ndan (“KVKK”) ayrıksı olarak Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında düzenlenen ve GDPR hükümlerine tabi tüzel kişilerin, gerektiğinde tabiiyetine ve coğrafi merkezine bakmaksızın kullanıcılarına/müşterilerine sunmakla yükümlü oldukları bir haktır.

Veri taşıma hakkı GDPR’nin 20. maddesi ile GDPR’nin 68. resitalinde düzenlenmektedir. GDPR’nin 20. maddesine göre:

“1.Aşağıdaki hallerde, veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur:

  • işleme faaliyetinin 6(1) maddesinin (a) bendi veya 9(2) maddesinin (a) bendi uyarınca bir rızaya veya 6(1) maddesinin (b) bendi uyarınca bir sözleşmeye dayanması ve
  • işleme faaliyetinin otomatik yollarla gerçekleştirilmesi.

2. paragraf uyarınca veri taşınabilirliği hakkını kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur.

3. Bu maddenin 1. paragrafında atıfta bulunulan hakkın kullanımı ile 17. maddeye halel gelmez. Söz konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.

4.  1. paragrafta atıfta bulunulan hak başkalarının hakları ve özgürlüklerini olumsuz yönde etkilemez.”

GDPR’nin lafzi düzenlemesi incelendiğinde görülmektedir ki veri taşınabilirliği hakkı, bilgi toplumu hizmetlerinin sunulmasına yönelik kişinin kendi verisini software bir ortamdan diğerine kolayca taşıması, kopyalaması veya aktarabilmesini gerektirmektedir. Kişiler bu haklarını daha iyi bir teklif/ürün bulmak için kullanabilecekleri gibi kişisel alışkanlıklarını anlamalarına yardımcı olacak uygulama ve hizmetlerden yararlanmak için de kullanabilecektirler.

Veri Taşıma Hakkının Veri Sahibine Sağladığı Faydalar Nelerdir?

Veri taşıma hakkı, kişilerin kişisel verilerinin bir kopyasını elde etmelerini ve kişisel verilerinin bir veri sorumlusundan diğerine geçişini sağlamaktadır. Bu hak doğrultusunda kişiler, bu verilerini ileride kullanılmak üzere saklamak imkânına sahip olmaktadırlar.

Örnekle somutlaştırmak gerekirse bu hak kapsamında veri sahibi, X uygulamasında yıllar içinde oluşturduğu müzik listelerini Y uygulamasına taşıyarak bu uygulamada dinlemeye devam edebilecektir.

Veri Taşıma Hakkının Kullanım Şartları Nelerdir?

GDPR kapsamında veri taşıma hakkının kullanılabilmesi için veri işleme nedeni sözleşmesel veya rızaya dayalı olmalı ve taşıma işlemi otomatik şekilde yapılmalıdır. Sözleşmesel işleme nedeninden farklı bir veri işleme nedeni olması halinde ya da fiziksel veri (örneğin, kâğıt dosya) taşınması talebi halinde, kişinin veri taşıma talebi reddedilecektir.

Ek olarak belirtmek gerekir ki; veri sahibi, veri taşıma hakkı nedeniyle veri sorumlusundan sadece kendisinin sağlamış olduğu kişisel verilerinin taşınmasını talep edebilecektir.

İngiliz Veri Koruma Otoritesi’nin (“ICO”) açıklamalarında; kişi hakkında “tahmin edilmiş” ya da “türetilen” kişisel verilerin talep edilmesi halinde, kişinin sağladığı bilgi olduğu şeklinde değerlendirme yaparak veri taşıma hakkına dâhil olduğunu; ancak veri sorumlusunun bireyin sağladığı verilere dayanarak meydana getirdiği, kullanıcı profili oluşturması gibi ikincil nitelikli verilerin ise veri taşıma hakkına dâhil olmadığını vurgulamaktadır.

Kişinin, üçüncü bir kişinin verisini taşıma hakkının bulunup bulunmadığına hususunda yapılan değerlendirmelerde ise kişinin sadece kendi verisi hakkında taşınması tasarrufunda bulunabileceği kabul edilmektedir.

Aktarımın gerçekleştirilememesinin meşru sebepleri de olabilir. Örneğin, aktarım başkalarının haklarını ve özgürlüklerini olumsuz yönde etkiliyor ise veri sahibinin aktarım talebi reddedilebilecektir.

Veri Taşıma Esnasında Dikkat Edilmesi Gerekenler Nelerdir?

Öncelikle kendisine karşı veri taşınması hakkı kullanılan veri sorumlusu ile verilerin taşınacağı veri sorumlusunun organizasyonlarının teknik özellikleriyle birebir aynı olması aranmamakta olup taraflara bu şekilde bir yükümlülük atfedilmemiştir. Ancak GDPR’nin 68. resitali ve ICO uyarınca makul bir yaklaşım benimsenmeli ve bu aktarıma engel teşkil etmemelidir.

Aktarıma engel teşkil etmemesi, kişisel verilerin şahsa veya başka bir organizasyona iletilmesini yavaşlatan veya engelleyen herhangi bir yasal, teknik veya mali engelin bulunmaması gerektiği anlamına gelir.

Taşıma talebi karşısında, veri sorumlusunun, taşıdığı veriye ilişkin sorumluluğu aktarım işlemine ilişkindir. Veriyi taşıyan veri sorumlusu, taşınan verinin güvenli şekilde ve kendisinden talep edilen doğru hedefe iletildiğinden emin olmak için uygun önlemleri almalıdır. Ayrıca veri taşınan veri sorumlusunun, veri taşıma işlemi yapan veri sorumlusundan daha az güvenlikli bir sisteme sahip olduğu anlaşıldığı durumunda ise veri sahibine ilgili durum hakkında bilgi verilmelidir.

Bu kapsamda taşınması talep edilen verileri;

  • Yapılandırılmış,
  • Çoğunluklu kullanılan ve
  • Makine tarafından okunabilir

bir formatta diğer veri sorumlusuna taşıma yükümlülüğü bulunmaktadır.

Veri Taşınması (Taşınan Taraf) Talep Edildiğinde Dikkat Edilmesi Gerekenler Nelerdir?

Veri taşınması talebinin şekli unsuruna dair GDPR’nin 20. maddesinde öngörülen şekil ya da içerik şartı bulunmamaktadır. Dolayısıyla veri sahibi kişi, veri taşıma talebini sözlü veya yazılı olarak yapılabilir. Ayrıca veri sahibinin ileteceği talep, mutlak surette “GDPR’nin 20. maddesi uyarınca hakkımı kullanıyorum.” gibi ilgili maddeye atıfta bulunulmasını içermek zorunda değildir.

Bununla birlikte veri taşıma hakkına ilişkin başvuru usul ve yöntemlerine ilişkin tüzel kişi bünyesinde yönlendirici bir süreç tasarlanması, protokolünün yayımlanması ve çalışanlara bu konuda eğitim verilmesi önerilmektedir.

Veri sorumlusu, diğer veri sorumlusundan taşınan kişisel veriler alındığında, bu verilerin GDPR ile uyumlu olup olmadığı kontrol edilmeli ve bu veriler, GDPR hükümlerine uygun olarak işlenmelidir. Taşınan kişisel veriler, taşınan veri sorumlusunun amaçlarına uygun ve sadece amaçlarıyla bağlantılı olanları işlenmelidir. Taşıma talebine konu verilerin, taşınacak veri sorumlusu tarafından kabulü halinde, bu verilerin GDPR hükümlerine uygun işleme ve saklama yükümlülüğü taşınan taraf veri sorumlusuna ait olmaktadır.

Veri Taşıma Talebinin Reddedilebilir mi?

Veri sorumlusuna iletilen veri taşıma talebi, açıkça asılsız veya aşırı ve tekrar eden nitelikte ise veri taşıma talebini karşılamak için makul bir ücret talep edilebilir ya da veri taşıma talebi reddedilebilir. Ancak her iki durumda da veri sorumlusu tarafından açıklama yapılması gerekecektir.

Veri sorumlusu tarafından ücret talep edilmesi halinde, öncelikle bu talebi karşılamanın idari maliyetlerini ortaya çıkarmalıdır. Akabinde ise ilgili kişiyle derhal iletişime geçerek maliyet hakkında bilgi vermelidir. Veri sorumlusu ücret kendisine ödenene kadar veri taşıma talebini karşılamaktan imtina edebilecektir.

Eğer veri sorumlusu, veri taşıma talebini reddetmek isterse ilgili talebi aldıktan sonra gecikme olmaksızın ve en fazla bir (1) aylık süre içinde talebi ileten veri sahibine karar hakkında bilgi vermelidir. Veri sahibine yapılacak bu bilgilendirmede, talebin neden reddedildiğine dair haklı nedenler ile ilgili kişinin haklarına dair aydınlatma içermelidir.

Avrupa Birliği Sınırları İçerisinde Yerleşik Olmayan Şirketler de Yükümlülük Kapsamında mıdır?

GDPR, yapısı itibari ile sınırlar ötesi uygulama alanına sahiptir. Veri taşıma hakkının ihlal edilmesi halinde veri koruma otoriteleri ciddi yaptırımlar uygulamakta olup özellikle Avrupa Birliği’nde yerleşik olmayan şirketler beklemedikleri yaptırımlar ile karşılaşabilmektedir. Veri taşıma hakkı hususunda GDPR’nin fiziki sınırları aşan uygulama alanı göz önüne alınmalı ve GDPR’ye uyum yükümlülüğü taşıyan şirketler tarafından titizlikle uygulanmalıdır.

Daha fazla bilgi için lütfen irtibata geçin;

Furkan Ökse | furkan.okse@kyolegal.com