Bölüm I: Yönetici Özeti ve Stratejik Bakış
1.1. Raporun Amacı ve Kapsamı
Bu rapor Azerbaycan Cumhuriyeti'nde kişisel verilerin korunmasına ilişkin yasal çerçevenin kapsamlı bir analizini sunmak amacıyla hazırlanmıştır. Raporun temel odak noktası, 11 Mayıs 2010 tarihli ve 998-IIIQ sayılı "Fərdi Məlumatlar Haqqında" (Kişisel Veriler Hakkında) Azerbaycan Cumhuriyeti Kanunu'nun incelenmesi, kanun metninin sunulması ve bu mevzuatın Türkiye'nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile karşılaştırmalı bir değerlendirmesini yapmaktır. Analiz her iki ülkedeki yasal yükümlülükleri, temel ilkeleri, veri sahibi haklarını ve uyum süreçlerini anlamak isteyen hukuk ve uyum liderleri için stratejik bir kaynak olmayı hedeflemektedir.
1.2. Hukuk ve Uyum Liderleri için Temel Bulgular
Bu analizin sonucunda ortaya çıkan en kritik bulgular aşağıda özetlenmiştir:
Tarihsel Bağlam ve Felsefe: Azerbaycan'ın 2010 tarihli Kişisel Veriler Hakkında Kanunu, Avrupa Birliği'nin Genel Veri Koruma Tüzüğü'nün (GDPR) küresel bir standart haline gelmesinden önce yürürlüğe girmiş, rıza odaklı ve devlet kontrolünü ön planda tutan bir veri koruma rejimi kurmaktadır. Bu durum, kanunun modern veri koruma kavramlarından (örneğin, veri taşınabilirliği) ziyade daha geleneksel gizlilik ilkelerine dayandığını göstermektedir.
Düzenleyici Yapı: Azerbaycan'daki düzenleyici ortam, Türkiye'nin idari ve mali özerkliğe sahip bağımsız Kişisel Verileri Koruma Kurumu'nun (KVKK) aksine, doğrudan ilgili bakanlık denetimi ve devlet güvenlik servislerinin katılımı ile karakterize edilir. Bu yapı, düzenleyici önceliklerin salt veri koruma ilkelerinden ziyade daha geniş devlet çıkarlarından etkilenebileceğini düşündürmektedir.
Uyum Modeli: Azerbaycan'da uyum, Türkiye'de görülen "veri sorumlusu" merkezli kayıt modelinden (VERBİS) temelden farklı olarak, benzersiz bir "bilgi sistemi" merkezli kayıt zorunluluğuna dayanmaktadır. Bu, uyum programlarının teknik altyapı odaklı ve proje bazlı olarak yapılandırılmasını gerektirir.
Sınır Ötesi Veri Aktarımı: Azerbaycan'dan sınır ötesi veri aktarımları, uluslararası kuruluşlar için belirgin bir risk kategorisi oluşturan geniş ve potansiyel olarak öngörülemeyen bir "ulusal güvenlik" veto yetkisine tabidir.Bu durum, Türkiye'nin daha yapılandırılmış ve öngörülebilir yaklaşımından önemli ölçüde ayrışmaktadır.
1.3. Bir Bakışta Karşılaştırma: Azerbaycan ve Türkiye
Bu bölüm iki ülkenin veri koruma rejimleri arasındaki en temel yapısal farklılıkları hızlı bir referans için özetlemektedir.
Azerbaycan’da veri koruma ile ilgili yasal düzenleme 11 Mayıs 2010 tarihinde yürürlüğe giren 998-IIIQ sayılı kanundur. Türkiye’de ise bu alandaki temel düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olup 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
Azerbaycan’ın veri koruma felsefesi rıza odaklı ve devlet kontrolündedir. Bu sistem GDPR öncesi yaklaşımları temel alır. Türkiye’nin sistemi ise Avrupa Birliği’nin 95/46/EC sayılı Direktifine dayanır, ancak GDPR sonrası dönemde hak temelli bir yaklaşım benimsenmiştir.
Azerbaycan’da düzenleyici kurum, Ulaştırma, Haberleşme ve Yüksek Teknolojiler Bakanlığı ile Devlet Güvenlik Servisleri gibi ilgili devlet kurumlarıdır. Türkiye’de ise bağımsız bir yapı olan Kişisel Verileri Koruma Kurumu (KVKK) bu alanda yetkilidir.
Kayıt yükümlülüğü açısından Azerbaycan’da kişisel veri bilgi sistemlerinin devlet kaydı zorunludur. Türkiye’de ise veri sorumlularının VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)’e kayıt olması gerekmektedir.
Hukuki dayanak bakımından Azerbaycan’da “açık rıza” esas alınırken, Türkiye’de çoklu hukuki dayanaklar (rıza, kanun, sözleşme, meşru menfaat vb.) kullanılmaktadır.
Sınır ötesi veri aktarımı konusunda Azerbaycan “ulusal güvenlik tehdidi” vetosu ve yeterlilik değerlendirmesi uygulamaktadır. Türkiye ise yeterlilik kararı, uygun güvenceler (örneğin standart sözleşme maddeleri) ve açık rıza gibi çeşitli yöntemlerle sınır ötesi aktarımı düzenlemektedir.
Son olarak, modern haklar bağlamında Azerbaycan mevzuatında veri taşınabilirliği hakkı bulunmamaktadır. Türkiye’de ise veri taşınabilirliği hakkı mevcuttur.
Bölüm II: Azerbaycan Cumhuriyeti'nde Kişisel Verilerin Korunmasına İlişkin Yasal Çerçeve
2.1. 998-IIIQ Sayılı "Fərdi Məlumatlar Haqqında" Kanununa Giriş
Azerbaycan Cumhuriyeti'nin kişisel verilerin korunmasına ilişkin temel yasal düzenlemesi olan 998-IIIQ sayılı "Fərdi Məlumatlar Haqqında" Kanun 11 Mayıs 2010 tarihinde kabul edilmiştir. Kanunun yürürlüğe giriş tarihi onun yasal felsefesini anlamak için kritik bir öneme sahiptir. GDPR'ın getirdiği küresel paradigma değişiminden önce hazırlanmış olan bu kanun temel olarak bireylerin temel hak ve özgürlüklerini korumayı, kişisel verilerin toplanması, işlenmesi ve korunmasına ilişkin yasal bir zemin oluşturmayı ve "ulusal bilgi alanının kişisel veri bölümünün" oluşumunu düzenlemeyi amaçlamaktadır.
Kanun tek başına bir düzenleme olmayıp, "Kişisel Verilerin Korunmasına İlişkin Gereklilikler" gibi çeşitli kararnamelerle desteklenmektedir. Bu, Azerbaycan'daki veri koruma rejiminin çok katmanlı bir düzenleyici yapıya sahip olduğunu göstermektedir. Kanunun 2010 tarihli olması onun "veri taşınabilirliği" veya "unutulma hakkı" gibi modern kavramları bugünkü anlamlarıyla içermemesini açıklamaktadır. Yasal dayanağını büyük ölçüde, Azerbaycan'ın da imzacısı olduğu Avrupa Konseyi'nin 108 sayılı Sözleşmesi gibi daha önceki çerçevelerden alsa da, GDPR gibi daha sonraki mevzuatların getirdiği güçlü yaptırım mekanizmalarından ve genişletilmiş haklardan yoksundur. Bu yasal "yaş" kanunda bazı hakların eksikliğini ve bağımsız veri koruma otoritelerinin yükselişinden önce daha yaygın olan devlet merkezli kontrol modelini doğrudan şekillendirmiştir.
2.2. Temel İlkeler ve Anahtar Tanımlar (Madde 2 & 4)
Kanun kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri 4. Maddesinde ortaya koymaktadır. Bu ilkeler; yasallık, gizlilik ve gönüllülük ile zorunluluğun uzlaştırılmasıdır. Kanun ayrıca, veri işleme sürecinde bir kişinin "hayatına ve sağlığına tehdit oluşturulmasına, onur ve haysiyetinin aşağılanmasına" izin verilmeyeceğini açıkça belirtir.
Kanunun kapsamını ve yükümlülüklerini anlamak için 2. Maddede yer alan anahtar tanımlar hayati önem taşır :
Kişisel Veri (Fərdi məlumatlar): Bir kişinin kimliğini doğrudan veya dolaylı olarak belirlemeye olanak tanıyan her türlü bilgi (Madde 2.1.1).
Veri Sahibi (Fərdi məlumatların subyekti): Hakkında kişisel veri toplanan, işlenen ve korunan, kimliği belirlenmiş veya belirlenebilir olan gerçek kişi (Madde 2.1.2).
Kişisel Veri Sahibi (Fərdi məlumatların mülkiyyətçisi): Kişisel verilerin bilgi sistemi ve envanteri üzerinde tam mülkiyet, kullanım ve tasarruf haklarını kullanan, kişisel veri işleme amacını belirleyen devlet veya yerel özyönetim organı, tüzel veya gerçek kişi. Bu tanım, KVKK'daki "Veri Sorumlusu" kavramının en yakın karşılığıdır (Madde 2.1.9).
Kişisel Veri Operatörü (Fərdi məlumatların operatoru): Kişisel verilerin toplanmasını, işlenmesini ve korunmasını yürüten veri sahibi veya bu işlevlerin belirli bir miktarda ve koşullar altında kendisine emanet edildiği devlet veya yerel özyönetim organı, tüzel veya gerçek kişi. Bu tanım, KVKK'daki "Veri İşleyen" kavramına benzer (Madde 2.1.10).
Kişisel Veri Kullanıcısı (Fərdi məlumatların istifadəçisi): Veri sahibi tarafından yetkileri dahilinde belirlenen şekilde kişisel verileri kullanma hakkı verilen bir varlık (Madde 2.1.11).
"Mülkiyyətçi" (Sahip) ve "Operator" (Operatör) ayrımı, GDPR veya KVKK'daki "Veri Sorumlusu" ve "Veri İşleyen" ilişkisi kadar net bir şekilde tanımlanmamıştır. Azerbaycan kanunu "Sahibin bir sözleşmeye dayanarak toplama ve işlemeyi operatöre emanet edebileceğini" belirtir. Ancak, tanımlar modern yasalardaki gibi sorumlulukların ve yükümlülüklerin ayrıntılı bir dağılımını içermez. İhlallerden kaynaklanan zararlar için sorumluluk doğrudan "Sahip" üzerine düşmektedir. Bu durum, talepleri basitleştirebilse de, Sahip ve Operatör arasındaki spesifik sözleşmesel yükümlülükleri ve sorumlulukları KVKK'ya kıyasla kanunun kendisi tarafından daha az düzenlenmiş bırakmaktadır.
2.3. Veri Toplama ve İşlemenin Hukuki Dayanağı (Madde 8 & 9)
Azerbaycan hukukunda veri işlemenin birincil hukuki dayanağı açık rızadır. Kanun kişisel verilerin toplanmasının ve işlenmesinin, yasalarda belirtilen zorunlu haller dışında, "yalnızca ilgili kişinin yazılı rızasıyla, buna elektronik belge biçimindeki rıza da dahil olmak üzere" mümkün olduğunu belirtir.
Geçerli bir yazılı rıza için aranan katı şartlar arasında, rızanın işleme amacını, rıza verilen veri listelerini, geçerlilik süresini, geri çekme koşullarını ve süresi dolduktan veya ölümden sonra imha veya arşivleme koşullarını içermesi gerekliliği bulunmaktadır. Rıza kuralının istisnaları oldukça sınırlıdır ve Madde 9.2'de şu şekilde sıralanmıştır: işlemenin başka bir mevzuata dayanması, bilimsel/istatistiksel araştırma için verilerin tamamen anonimleştirilmesi veya ilgili kişinin hayatını ve sağlığını korumak için gerekli olması.
Bu yapının en önemli sonucu "meşru menfaat" gibi esnek bir işleme dayanağının bulunmamasıdır. AB ve Türkiye gibi yargı bölgelerindeki modern işletmeler dolandırıcılığın önlenmesi, ağ güvenliği ve belirli pazarlama türleri gibi çok çeşitli yaygın faaliyetler için "meşru menfaat"e büyük ölçüde güvenirler. Azerbaycan kanunu bu esnek hukuki zemini sağlamamaktadır.
Bu nedenle, Azerbaycan'da faaliyet gösteren herhangi bir kuruluş, veri işleme faaliyetlerini açık rızanın veya diğer birkaç istisnanın dar sınırları içine sığacak şekilde yeniden yapılandırmak zorundadır. Bu, başka yerlerde standart uygulama olan faaliyetlerin (örneğin, iç hizmetleri iyileştirmek için müşteri verilerini kullanmak) Azerbaycan'da açık, spesifik ve ayrıntılı bir rıza gerektireceği anlamına gelir ki bu, aşılması çok daha yüksek ve zor bir uyum çıtasıdır. Bu durumun doğrudan maliyet, kullanıcı deneyimi ve iş süreci etkileri vardır.
2.4. Veri Sahibinin Hakları (Madde 7)
Kanunun 7. Maddesi, bireylere bir dizi hak tanımaktadır. Bu haklar şunları içerir:
Hakkındaki kişisel verilerin varlığı hakkında bilgi alma hakkı (Madde 7.1.1).
Veri işlemenin yasal gerekçesini talep etme hakkı (Madde 7.1.2).
Toplanan kişisel verilerin içeriğiyle tanışma hakkı (Madde 7.1.3).
Verilerin düzeltilmesini veya imha edilmesini talep etme hakkı (Madde 7.1.5).
Veri işlemenin yasaklanmasını talep etme hakkı (Madde 7.1.6).
Verilerinin kaynağını öğrenme hakkı (Madde 7.1.7).
Veri işlemeye itiraz etme hakkı; bu itiraz gerekçeli olmalı ve veri sahibi/operatör tarafından işlemenin derhal durdurulmasına yol açmalıdır (Madde 7.2).
Bu hakların kullanılması için yazılı başvuru veya güçlendirilmiş e-imzalı elektronik talep gerekmektedir ve yanıt süresi 7 iş günüdür. Madde 7'deki haklar listesi kendi dönemi için kapsamlı olsa da, modern veri koruma rejimlerinin temel taşlarından biri olan "veri taşınabilirliği hakkı" gibi kavramları içermemektedir.
Bu hak, bir kullanıcının verilerini makine tarafından okunabilir bir formatta almasına ve başka bir hizmete aktarmasına olanak tanır. Bu hakkın Azerbaycan kanununda bulunmaması, kanunun 2010 yılındaki kökenini yansıtmaktadır; bu dönemde birlikte çalışabilirlik ve kullanıcıların güçlendirilmesi, veri korumanın merkezi ilkeleri değildi. Bu, özellikle dijital hizmetler sektöründeki işletmeler için önemli bir farklılaştırıcıdır.
2.5. Veri Sahiplerinin ve Operatörlerinin Yükümlülükleri (Madde 5, 10, 15)
Kanun, veri sahipleri ve operatörleri için çeşitli yükümlülükler getirmektedir:
Güvenlik Yükümlülüğü: Sahipler/Operatörler, verileri korumak için organizasyonel ve teknik önlemler almalıdır. Spesifik gereklilikler "ilgili yürütme organı" tarafından belirlenir.
Gizlilik: Kişisel verilerle çalışan kişiler, istihdamları sırasında ve sonrasında bu verileri dağıtmayacaklarına dair yazılı bir taahhüt vermelidir.
Kayıt Yükümlülüğü: En kritik yükümlülük "kişisel veri bilgi sistemlerinin" veri toplama ve işleme başlamadan önce ilgili yürütme organına zorunlu devlet kaydının yapılmasıdır. Bu kayıt için gereken ayrıntılı bilgiler Madde 15.4'te listelenmiştir.
Sorumluluk: İhlallerden kaynaklanan maddi ve manevi zararların ödenmesinden öncelikli olarak "Sahip" sorumludur.
"Bilgi sistemi" kayıt modeli, "veri sorumlusu" kayıt modelinden temelden farklı bir uyum yolu yaratır. Bir "bilgi sistemini" kaydetmek , verilerin işlendiği teknik altyapıya, yani belirli bir veritabanına, uygulamaya veya sunucu kümesine odaklanmayı ima eder. Bu, "veri sorumlusunun" (tüzel kişiliğin) işleme faaliyetlerini ve amaçlarını kaydettiği Türkiye'nin VERBİS sisteminden farklıdır. Azerbaycan'daki bir işletme için bu, uyumun muhtemelen bir dizi ayrık, BT merkezli projeden oluştuğu anlamına gelir. Yeni bir İK sistemi, yeni bir CRM, yeni bir pazarlama veritabanı—her biri potansiyel olarak Bakanlık nezdinde kendi kayıt sürecini gerektirebilir. Bu, şirketin bir veri sorumlusu olarak bir kez kaydolduğu ve ardından işleme faaliyetleri envanterini güncellediği Türk modeline göre idari olarak daha külfetli ve daha az esnektir. Bu yapısal fark, bir uyum programının nasıl organize edilmesi ve kaynaklandırılması gerektiğini belirler.
2.6. Özel Nitelikli ve Biyometrik Verilerin Düzenlenmesi (Madde 2.1.6, 9.3, 9.5)
Kanun, "özel nitelikli kişisel verileri" bir kişinin ırkı, milliyeti, aile hayatı, dini inançları, sağlığı veya mahkumiyetleri ile ilgili bilgiler olarak tanımlar. Bu verilerin işlenmesi, kanunen zorunlu olması, verilerin zaten kamuya açık olması veya rıza alınamayan durumlarda hayatı korumak için gerekli olması gibi çok dar istisnalar dışında genel olarak yasaktır. Kanun, hükümlerinin biyometrik verilerin (parmak izi, yüz görüntüsü, iris vb.) toplanması ve işlenmesine de tam olarak uygulandığını açıkça belirterek, 2010 tarihli bir kanun için ileriye dönük bir kapsayıcılık göstermektedir.
2.7. Sınır Ötesi Veri Aktarımları (Madde 14)
Kanun, uluslararası veri aktarımları için kısıtlayıcı kurallar getirmektedir. Temel yasaklama şöyledir: Aktarım, "ulusal güvenliğe bir tehdit oluşturuyorsa" veya alıcı ülkenin mevzuatı Azerbaycan mevzuatıyla belirlenen düzeyde bir yasal koruma sağlamıyorsa yasaktır. Veri sahibinin rıza vermesi veya aktarımın ilgili kişinin hayatını ve sağlığını korumak için gerekli olması durumunda istisnalar mümkündür.
"Ulusal güvenlik" maddesi, yüksek derecede yasal ve siyasi belirsizlik getirmektedir. Türkiye veya AB'deki yapılandırılmış yeterlilik kararı sürecinin aksine, Azerbaycan'ın çerçevesi, "ulusal güvenliğe" dayalı belirsiz ve güçlü bir veto yetkisi içerir. Bu terim veri koruma kanununda tanımlanmamıştır, bu da yorumunun devlet yetkililerinin takdirine bırakıldığı anlamına gelir. Çalışan veya müşteri verilerini Azerbaycan dışındaki merkezi bir sunucuya aktarmak isteyen çok uluslu bir şirket için bu, önemli bir risk oluşturur. Bir gün tamamen yasal olan bir aktarım, jeopolitik iklime veya diğer faktörlere bağlı olarak ertesi gün ulusal güvenliğe tehdit olarak kabul edilebilir. Bu, hukuk danışmanlarının veri aktarımlarının uzun vadeli uygulanabilirliği konusunda kesin bir görüş bildirmesini son derece zorlaştırır ve işletmeleri birincil risk azaltma stratejisi olarak veri yerelleştirmeyi düşünmeye zorlar.
2.8. Düzenleyici Gözetim ve Yaptırım (Madde 15-17)
Birincil düzenleyici kurum, uygulamada Ulaştırma, Haberleşme ve Yüksek Teknolojiler Bakanlığı olarak tanımlanan "ilgili yürütme organıdır". Bu kurum, bilgi sistemlerinin devlet kaydından, devlet sicilini tutmaktan ve uyumluluğu kontrol etmekten sorumludur.
Diğer devlet organlarının özellikle de eski Özel Devlet Koruma Servisi'nden oluşturulan Devlet Özel Haberleşme ve Bilgi Güvenliği Servisi'nin (SCIS) rolü de önemlidir. SCIS, devlet bilgi sistemlerinin güvenliği, siber güvenlik ve kriptografiden sorumludur. Bu düzenleyici çerçeve, sivil idare ve devlet güvenliğinin bir hibritidir. Gündelik kayıt işlemleri bir sivil bakanlık tarafından yürütülürken , özellikle devlet çıkarlarını ilgilendiren derin teknik ve güvenlik yönleri bir güvenlik servisinin yetki alanına girmektedir. Bu yapı, Türkiye'nin bağımsız kurumu olan KVKK'dan temelden farklıdır. Bu, yaptırım önceliklerinin yalnızca saf veri koruma ilkeleriyle değil, daha geniş devlet güvenliği ve siyasi kaygılarla da etkilenebileceğini ima eder.
Bölüm III: Karşılaştırmalı Analiz: Azerbaycan Kişisel Veriler Kanunu ve Türkiye KVKK
3.1. Kurucu Felsefeler ve Zaman Çizelgeleri
Azerbaycan'ın 2010 tarihli kanunu, Avrupa Konseyi'nin 108 sayılı Sözleşmesi döneminin bir ürünüdür. Buna karşılık, Türkiye'nin 2016 tarihli KVKK'sı AB'nin 1995 tarihli Veri Koruma Direktifine dayanmasına rağmen , GDPR sonrası bir dünyada aktif olarak yorumlanmış ve değiştirilmiştir, bu da onu daha dinamik bir mevzuat haline getirmektedir. Bu temel fark iki kanunun veri korumaya yaklaşımlarını, tanımlarını ve getirdikleri yükümlülükleri derinden etkilemektedir.
3.2. Anahtar Tanımlar ve Roller: Karşılaştırmalı Bir Sözlük
Azerbaycan'ın "Sahip/Operatör" ve Türkiye'nin "Veri Sorumlusu/Veri İşleyen" tanımları arasındaki farklar, uyum sorumluluklarının nasıl dağıtıldığını göstermektedir. Türk hukukunda sorumlulukların dağılımı daha açık ve ayrıntılıdır.
Örneklerle gösterecek olursak,Azerbaycan terminolojisinde kişisel verilerin sahibi “fərdi məlumatların mülkiyyətçisi” olarak adlandırılır. Türkiyede karşılığı “veri sorumlusu”dur.Azerbaycanda mülkiyet kavramı ön plandayken, Türkiye’de amaç ve vasıtaları belirleme sorumluluğu ön plana çıkar. Türkiye’deki KVKK, veri sorumlusunu bu yetki üzerinden tanımlar.
Azerbaycanda “fərdi məlumatların operatoru” (kişisel verilerin operatörü), Türkiyede ise “veri işleyen” olarak adlandırılır.
Her iki sistemde de veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket eder. Ancak Türkiye’de KVKK, veri işleyenlerin yükümlülüklerini (örneğin güvenlik tedbirleri gibi) daha detaylı düzenlemektedir.
Azerbaycan’da “fərdi məlumatların sistemi” (kişisel veri bilgi sistemi) terimi kullanılırken, Türkiye’de bu sistem “veri kayıt sistemi” olarak geçmektedir.
Azerbaycan, teknik anlamda “sistem” odaklı bir tanım getirir. Türkiye’deki KVKK ise veri kayıtlarını daha kapsamlı biçimde tanımlar ve bu nedenle daha geniş bir kapsama sahiptir.
Azerbaycan’da yazılı veya elektronik belge ile alınan “rıza” kullanılırken, Türkiye’de bu “açık rıza” olarak adlandırılır.
Her iki ülke sisteminde de rıza, bilgilendirme ve özgür iradeye dayalı olmalıdır. Ancak Azerbaycan yasasında “yazılı” format daha ön planda iken, Türkiye’de elektronik veya sözlü rıza da kabul edilebilir.
3.3. İşlemenin Hukuki Dayanakları: Rıza Odaklı ve Çok Yönlü Karşılaştırması
Bu, iki rejim arasındaki en önemli operasyonel farktır. Azerbaycan'ın neredeyse tamamen "açık rızaya" dayanması , işletmeler için esnekliği ciddi şekilde kısıtlar. Buna karşılık, Türkiye'nin KVKK Madde 5'i çok daha esnek bir hukuki zemin sunar.
KVKK, rıza dışında şu hukuki dayanakları tanır:
Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması ve ya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması.
Türkiye'de birden fazla hukuki dayanağın bulunması, işletmelere Azerbaycan'daki katı, rıza öncelikli modele göre çok daha fazla esneklik sağlamaktadır.
3.4. Düzenleyici Mimariler ve Kayıt Zorunlulukları
Düzenleyici yapılar arasındaki fark derindir:
Azerbaycan: Düzenleme, bir bakanlık liderliğinde ve devlet güvenlik servislerinin katılımıyla yürütülür. Bu, bağımsızlıktan ziyade devlet kontrolünü ve ulusal güvenlik önceliklerini yansıtır.
Türkiye: İdari ve mali özerkliğe sahip, bağımsız bir Kişisel Verileri Koruma Kurumu (KVKK) tarafından düzenlenir. Bu yapı, AB modeline daha yakındır.
Kayıt gereklilikleri de bu felsefi farkı yansıtır:
Azerbaycan: İşlemeden önce "kişisel veri bilgi sistemlerinin" zorunlu devlet kaydı gerekir. Bu, teknik ve altyapı odaklı bir yaklaşımdır.
Türkiye: Bazı istisnalar dışında, veri sorumlularının işlemeden önce Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kaydolması zorunludur. Bu, kurumsal ve faaliyet odaklı bir yaklaşımdır.
3.5. Sınır Ötesi Veri Aktarım Rejimleri: Ulusal Güvenlik ve Yeterlilik Karşılaştırması
İki ülke, sınır ötesi veri aktarımlarına temelden farklı yaklaşır:
Azerbaycan (Madde 14): İkili bir teste dayanır: (1) ulusal güvenliğe tehdit oluşturmama ve (2) alıcı ülkenin yasalarının yeterliliği. Rıza, bu testleri aşmak için birincil bir yol olarak sunulur. "Ulusal güvenlik" kriterinin belirsizliği, işletmeler için öngörülemez bir risk yaratır.
Türkiye (Madde 9): Daha yapılandırılmış, AB tarzı bir yaklaşım benimser. Aktarım için şu koşullardan biri gereklidir: (a) açık rıza, (b) aktarım yapılacak ülkenin KVKK'nın "yeterli korumaya sahip ülkeler" listesinde olması, veya (c) KVKK Kurulu'nun onayıyla standart sözleşme maddeleri veya bağlayıcı şirket kuralları gibi onaylanmış güvencelerin kullanılması. Türkiye'nin çerçevesi, standart sözleşmeler gibi mekanizmalar aracılığıyla işletmeler için daha fazla öngörülebilirlik sunar.
Bölüm IV: Sonuç ve Stratejik Öneriler
Bu kapsamlı analiz, Azerbaycan Cumhuriyeti'nin kişisel verilerin korunmasına ilişkin yasal çerçevesinin, Türkiye'nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile karşılaştırıldığında belirgin farklılıklar taşıdığını açıkça ortaya koymaktadır. Azerbaycan'ın 2010 tarihli "Fərdi Məlumatlar Haqqında" Kanunu, Avrupa Birliği'nin GDPR öncesi döneminin felsefesini yansıtan, rıza odaklı ve devlet kontrolünü ön planda tutan bir yapıya sahiptir. Bu durum, veri taşınabilirliği gibi modern hakların eksikliğini ve "ulusal güvenlik" gibi geniş ve belirsiz bir veto yetkisinin sınır ötesi veri aktarımlarındaki risklerini beraberinde getirmektedir. Düzenleyici otorite yapısı da, Türkiye'deki idari ve mali özerkliğe sahip bağımsız KVKK'nın aksine, Azerbaycan'da ilgili bakanlık denetimi ve devlet güvenlik servislerinin katılımı ile daha merkeziyetçi ve devlet odaklıdır.
Öte yandan, Türkiye'nin KVKK'sı, AB'nin 95/46/EC sayılı Direktifine dayanmakla birlikte, GDPR sonrası dönemin gereklilikleriyle uyumlu şekilde yorumlanmış ve çoklu hukuki dayanaklar (rıza, kanun, sözleşme, meşru menfaat vb.) sunarak işletmelere daha fazla esneklik sağlamaktadır. Türkiye'deki düzenleyici yapı daha bağımsız, kayıt yükümlülüğü ise "veri sorumlusu" merkezli olup, faaliyet ve kurum odaklı bir yaklaşım benimsemektedir. Sınır ötesi veri aktarımlarında da Türkiye, yeterlilik kararları ve standart sözleşme maddeleri gibi daha öngörülebilir ve yapılandırılmış mekanizmalar sunar.
Stratejik Öneriler:
Azerbaycan'da faaliyet gösteren veya faaliyet göstermeyi planlayan işletmeler ve hukuk/uyum liderleri için bu farklılıklar kritik öneme sahiptir:
Hukuki Dayanaklara Dikkat: Azerbaycan'da veri işleme faaliyetleri için neredeyse tamamen açık rızaya dayanma zorunluluğu, özellikle pazarlama, analitik ve operasyonel süreçlerde ciddi uyum zorlukları yaratacaktır. İşletmelerin veri işleme senaryolarını titizlikle gözden geçirerek, açık rıza alma süreçlerini detaylandırması ve otomatikleştirmesi gerekmektedir. Türkiye'de olduğu gibi "meşru menfaat" gibi esnek dayanakların bulunmaması, uyum programlarını daha maliyetli ve karmaşık hale getirebilir.
Teknik Altyapı Odaklı Kayıt: Azerbaycan'daki "kişisel veri bilgi sistemlerinin" kayıt zorunluluğu, uyum programlarının BT altyapısı ve sistem entegrasyonu odaklı yürütülmesini gerektirir. Her yeni sistem veya veritabanı, ayrı bir kayıt sürecine tabi olabilir. Bu, veri sorumlusunun kendisinin kaydedildiği Türkiye'deki VERBİS modelinden temelden farklıdır ve daha sıkı bir teknik uyum denetimi gerektirebilir.
Sınır Ötesi Veri Aktarımlarında Risk Yönetimi: "Ulusal güvenlik" vetosu, Azerbaycan'dan yapılacak sınır ötesi veri aktarımlarında önemli bir belirsizlik ve risk kaynağıdır. Özellikle uluslararası veri merkezlerinde veya bulut hizmetlerinde veri barındıran şirketler, bu riski azaltmak için veri yerelleştirme veya güçlü şifreleme ve anonimleştirme gibi ek güvenlik önlemlerini değerlendirmelidir. Hukuki danışmanlık, ulusal güvenlik kriterinin mevcut yorumlarını anlamak için hayati önem taşır.
Düzenleyici Yapı ve Yaptırım Riskleri: Azerbaycan'daki düzenleyici yapının devlet kontrolünde olması, yaptırım önceliklerinin yalnızca veri koruma prensiplerinden ziyade daha geniş devlet çıkarlarıyla şekillenebileceği anlamına gelir. Bu durum, siyasi ve jeopolitik gelişmelerin uyum stratejileri üzerindeki potansiyel etkilerinin dikkatle izlenmesini gerektirir.
Sonuç olarak her iki ülkenin veri koruma rejimleri de bireylerin gizliliğini korumayı hedeflerken, bu hedefe ulaşmak için farklı yasal felsefeler ve operasyonel modeller benimsemişlerdir. Türkiye KVKK, modern veri koruma trendlerine daha yakın ve işletmeler için daha öngörülebilir bir çerçeve sunarken, Azerbaycan Kanunu kendine özgü, daha geleneksel ve devlet merkezli bir yaklaşımı yansıtmaktadır. Bu farklılıkların doğru anlaşılması, her iki yargı alanında da etkili bir veri koruma uyum programı oluşturmanın anahtarıdır.
