Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik hakkında bülten
10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu [ 1 ] (“Kanun”)’nda yapılan değişiklikler.
1. GİRİŞ
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, 10 Temmuz 2024 tarihli Resmî Gazete’de yayımlanmıştır. Yönetmelik ile 6698 Sayılı Kanun’da gerçekleştirilen ve 12 Mart 2024 tarihinde yayımlanan değişikliklere [ 2 ] (“Kanun Değişikliği”) ilişkin usul ve esaslar belirlenmiştir.
2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN USUL VE ESASLAR
Yönetmelik ile Kanun’un kişisel verilerin yurt dışına aktarımını düzenleyen 9. maddesinin uygulanmasına ilişkin usul ve esaslar belirlenmiştir. Kanun değişikliği ile getirilen ve Yönetmelik ile detaylandırılan yurt dışı veri aktarımına ilişkin öngörülen usuller aşağıdadır:
2.1 Yeterlilik Kararına Dayalı Veri Aktarımı
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından bir ülke, ülke içerisindeki bir veya daha fazla sektör ya da bir uluslararası kuruluş hakkında yeterli düzeyde koruma sağlanmasına istinaden yeterlilik kararı verilebilecektir.
Yönetmelik uyarınca Kurul tarafından verilecek yeterlilik kararında aşağıda sayılan unsurlar dikkate alınacaktır:
- Karşılıklılık,
- Veri aktarımı yapılacak ülkenin mevzuatı ile uluslararası kuruluşun tabi olduğu kurallar,
- Veri aktarımı yapılacak ülkenin veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumu ile idari ve adli başvuru yollarının varlığı,
- Veri aktarımı yapılacak ülkenin veya uluslararası kuruluşun kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üyelik hali,
- Veri aktarımı yapılacak ülkenin Türkiye’nin üye olduğu küresel/bölgesel kuruluşlara üyelik hali,
- Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Kanun Değişikliği ve Yönetmelik ile Kurul tarafından verilen yeterlilik kararlarının en geç dört yılda bir yeniden değerlendirileceği düzenlenmiştir. Buna göre, Kurul, yeniden değerlendirme sonucu yeterlilik kararını ileriye etkili olacak şekilde değiştirebilir, askıya alabilir veya kaldırabilir.
Kurul, henüz sitesinde bir yeterlilik kararı yayımlamamıştır.
2.2 Uygun Güvencelere Dayalı Aktarımlar
Yeterlilik kararının bulunmadığı durumlarda; Kanun’un kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 5. ve 6. maddelerinde belirtilen şartlardan biri mevcutsa ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ile etkin kanun yollarına başvurma hakkı bulunuyorsa uygun güvencelere dayalı aktarım yapılması mümkündür.
İlgili önkoşullar mevcutsa aşağıda sayılan uygun güvencelerden birinin aktarım taraflarınca sağlanması halinde yurt dışına veri aktarımı sağlanabilir:
2.2.1 Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvence Sağlanması
Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımlarında, uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler ile uygun güvencelere dayalı veri aktarımı yapılabilir.
Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir. Anlaşmaya dayanılarak yapılacak olan aktarımda Kurul’a izin başvurusunda bulunulması gerekmektedir. Başvuruda anlaşma metninin nihai hali ve Kurul tarafından yapılacak değerlendirme için gerekli bilgi ve belgeler sunulur. Kişisel verilerin aktarımına ise Kurul tarafından izin verilmesinden sonra başlanır.
Anlaşmada yer alması gereken kişisel verilerin korunmasına yönelik hükümlerin hangi hususları içermesi gerektiği Yönetmelik’in 11. maddesinde detaylıca düzenlenmiştir.
2.2.2 Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması
Ortak ekonomik faaliyetteki teşebbüs grubu bünyesindeki şirketlerin kişisel verilerin korunması hükümleri içeren ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde uygun güvence sağlanarak kişisel veriler yurt dışına aktarabilecektir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’dan izin alınması gerekmektedir.
Yönetmelik’te bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda yabancı dildeki her belgenin noter onaylı çevirisinin başvuruya eklenmesi gerektiği ve bağlayıcı şirket kuralları metninin yabancı dilde düzenlenmesi halinde Türkçe metnin esas alınacağı belirtilmiştir.
Kurul’un bağlayıcı şirket kurallarını onaylarken dikkate alacağı hususlar ile kurallarda bulunması gereken unsurlar Yönetmelik’in 12. ve 13. maddesinde detaylıca düzenlenmiştir [ 3 ].
2.2.3. Standart Sözleşmeyle Uygun Güvence Sağlanması
Kurul tarafından ilan edilen veri kategorileri, veri aktarım amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları kapsayan standart sözleşmenin varlığı halinde uygun güvenceye dayalı veri aktarımı yapılabilecektir.
Kişisel veri aktarımının tarafları arasında akdedilecek olan standart sözleşmenin Kurul tarafından ilan edileceği düzenlenmiştir. Standart sözleşmeler, Yönetmelik ile birlikte Kişisel Verilerin Korunması Kurumu’nun (“Kurum”) resmi internet sitesinde yayımlanmıştır [ 4 ].
Standart sözleşmeyle uygun güvence sağlanarak yapılacak olan kişisel veri aktarımlarında izlenmesi gereken usul ve esaslar aşağıdadır:
- Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.
- Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur.
- Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirilir.
- Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kurum’a bildirilir.
- Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenir.
- Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde; fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirim yapılır.
2.2.4. Taahhütnameyle Uygun Güvence Sağlanması
Aktarım tarafları arasında akdedilen ve kişisel verilerin korunmasına yönelik hükümler içeren yazılı bir taahhütname ile de uygun güvenceler sağlanabilmektedir.
Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümlerin özellikle hangi hususları içermesi gerektiği Yönetmelik’in 15. maddesinde detaylıca düzenlenmiştir.
Taahhütname ile uygun güvence sağlanarak kişisel veri aktarımı yapılabilmesi için izlenmesi gereken diğer usul ve esaslar aşağıdadır:
- Veri aktaran tarafından Kurul’a izin başvurusunda bulunulur.
- Yapılacak başvuru kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulur.
- Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
2.3 İstisnai (Arızi) Aktarımlar
Kanun Değişikliği ve Yönetmelik ile yeterlilik kararının olmadığı ve uygun güvencelerin de sağlanamadığı durumlarda; (i) arızi olması ve (ii) Yönetmelik’te sınırlı sayıda sayılan istisnai aktarım hallerinden birinin mevcut olması kaydıyla yurt dışına veri aktarımı yapılabileceği düzenlenmiştir.
Yönetmelik’in 16. maddesinde tanımlandığı haliyle arızi aktarımlar; düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan nitelikte aktarımlardır.
Yönetmelik’te sayılan istisnai aktarım halleri aşağıdadır:
- İlgili kişinin muhtemel riskler konusunda bilgilendirilmesi şartıyla aktarıma açık rıza vermesi,
- İlgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
- İlgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Üstün bir kamu yararı için zorunlu olması,
- Bir hakkın tesisi, kullanılması, korunması için kişisel verilerin aktarılmasının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuken geçerlilik tanınmayan ilgili kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Kamuya veya meşru menfaati bulunan kişilere açık olan sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talebinin söz konusu olması.
Aktarımın kamuya veya meşru menfaati bulunan kişilere açık olan sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla yapılması halinde aşağıdaki usul ve esaslara dikkat edilmesi gerekmektedir:
- Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemez.
- Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.
3. SONUÇ
10 Temmuz 2024 tarihli Resmî Gazete’de yayımlanan “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” aracılığıyla Kanun’un 9. Maddesine yapılan değişiklikler detaylandırılmıştır.
Yeni veri işleme prosedüründe dikkat edilmesi gereken en önemli hususlardan biri, 1 Eylül 2024 tarihinden sonra arızi olmayan yurtdışı veri aktarımları bakımından açık rızanın tek başına yeterli olmamasıdır. Bu durum hem yurt dışına veri aktarımı yapan veri sorumlularının kişisel veri işleme prosedürleri ile kişisel veri aktarılan kişi, kurum ve kuruluşları tekrar gözden geçirmesine hem deKurul tarafından yeterlilik kararı verilene kadar geçecek süre içerisinde uygun güvencelerin sağlanması gerekliliğine neden olacaktır.
Referanslar:
[1] “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” metnine buradan ulaşabilirsiniz.
[2] 12 Mart 2024 tarihli Resmî Gazete’de yayımlanan Kanun Değişikliğine ilişkin bilgi notu için bkz. “12 Mart 2024 tarihli Resmî Gazete’de yayımlanan ‘Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’ ile 6698 sayılı KVKK’nda Yapılan Değişiklikler”
[3] 10.07.2024 tarihinde Kişisel Verileri Koruma Kurumu tarafından bağlayıcı şirket kurallarına ilişkin kamuoyu duyurusu paylaşılmıştır. Duyuruda yer alan kılavuzlar için bkz. Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Unsurlar, Veri İşleyenler İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Unsurlar
[4] Kişisel Verilerin Korunması Kurumu tarafından paylaşılan standart sözleşmeler için bkz. KVKK | Standart Sözleşmeler
Av. Ece AkbabaStj. Av. Nazlı Tozlu
Published :
Categories: Data Protection