Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Yürürlüğe Girdi
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) dokuzuncu maddesi kapsamında Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”), 10 Temmuz 2024 tarihinde yayımlanarak yürürlüğe girmiştir.
Bu Yönetmelik, KVKK’nın dokuzuncu maddesi doğrultusunda kişisel veri aktarımı yapan veri sorumluları ve veri işleyenler için detaylı düzenlemeler sunmaktadır.
Yönetmelik’te öne çıkan bazı düzenlemeler bilginize sunulmuştur:
Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel veriler, veri sorumlusu ve veri işleyen tarafından yalnızca KVKK ve Yönetmelik’te belirtilen usul ve esaslara uygun olarak yurt dışına aktarılabilir. 10 Temmuz 2024 tarihli Yönetmelik’in 6. maddesi kapsamında kişisel veriler “a) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması. b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması” veya arızi olarak Yönetmelik’in 16. maddesinde gösterilen hallerden birisinin bulunması hallerinde yurtdışına aktarılabilir.
Yeterlilik Kararına veya Uygun Güvencelere Dayalı Aktarımlar
Kişisel Verileri Koruma Kurulu (“Kurul”), kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir belirli ülkeler, sektörler veya uluslararası kuruluşlar için yeterli düzeyde koruma sağlandığına karar verebilir ve gerektiğinde ve her halde en geç dört yılda bir yeniden değerlendirme tabiiyeti gereğince bu kararı değiştirilebilir, askıya alınabilir veya kaldırılabilir.
Eğer yeterlilik kararı bulunmuyorsa, kişisel veriler aşağıdaki uygun güvencelerden biri sağlandığında yurt dışına aktarılabilir:
-Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar
Yönetmelik m.11 hükmü uyarınca “Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir”.
Kurul’un görüşüne başvurularak müzakere edilen bu anlaşmalarda, kişisel veri aktarımının amacı, kapsamı, niteliği, hukuki sebebi gibi bilgilere yer verilir ve ilgili kişilerin haklarını koruma taahhütleri gibi güvenceler gösterilir.
Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler, kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlayabilir. Bu kurallara dayanarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a onay başvurusunda bulunulması gereklidir.
Başvuru kapsamında Kurul özellikle;
- Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.
- Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.
- Bağlayıcı şirket kurallarının asgari olarak 13 üncü maddede belirtilen hususları içermesi” koşullarını değerlendirir. Kişisel veri aktarımına, Kurulun onayından sonra başlanır.
Yönetmelik m.13 kapsamında Bağlayıcı şirket kuralları bunlarla sınırlı olmamak üzere asgari olarak teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri, kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grupları ve aktarımın yapılacağı ülkeler gibi bilgileri, kuralların hem iç ilişkilerde hem de diğer hukuki ilişkilerde hukuken bağlayıcı olduğuna dair taahhüt, KVKK’nın dördüncü maddesindeki genel ilkelere uyum, veri güvenliği tedbirleri, özel nitelikli kişisel verilerin işlenmesinde alınacak önlemler, kişisel verilerin sonraki aktarımına yönelik kısıtlamalar, ilgili kişilerin haklarının korunması, Kurul’a şikayette bulunma hakkı ve bu hakların kullanımına ilişkin usuller ile Türkiye’de yerleşik olmayan herhangi bir üyenin kuralları ihlal etmesi durumunda, Türkiye’de yerleşik bir veri sorumlusunun ihlalden sorumlu olacağına dair taahhüt gibi hususları ihtiva eder.
Şirket kurallarında ayrıca, ilgili kişilere bilgi verilmesi, çalışanlara veri koruma eğitimi verilmesi, kurallara uyumun takibi ve denetlenmesi, değişikliklerin raporlanması ve Kurul’a bildirilmesi ile Kurum ile iş birliği yükümlülüğü de yer almalıdır.
Veri aktarımı yapılacak ülkelerde kurallara aykırı ulusal düzenleme bulunmadığına ve mevzuat değişikliklerinin Kurul’a bildirilmesine dair mekanizmalar, kişisel verilere sürekli erişimi olan personele eğitim verilmesine dair taahhüt gibi hususlar da yine asgari olarak belirtilmesi gereken hususlar arasında yer alır. Kurul ayrıca ek hususlar belirlemeye yetkilidir ve başvuruda kullanılacak belgeleri belirler.
Standart Sözleşmeler
Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısının teknik ve idari tedbirleri gibi hususları içeren standart sözleşmelerle uygun güvence sağlanabilir. Bu sözleşme, kişisel veri aktarımının taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce arasında akdedilir ve imzaların tamamlanmasından itibaren beş iş günü içinde Kurul’a bildirilir.
Standart sözleşmede değişiklik olması veya sona ermesi durumunda Kurula bildirim yapılır.
Taahhütnameler
Veri aktarımı, Kurul’un izni ile taraflar arasında yapılacak ve kişisel verilerin korunmasına yönelik hükümlerle uygun güvence sağlayan, veri aktarımının amacı, kapsamı, niteliği, ilgili kişilerin haklarının korunması ve veri güvenliği gibi hususları içeren yazılı taahhütnameler ile yapılabilir.
Taahhütnameye dayanarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a izin başvurusunda bulunurken taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulur.
Taahhütnamede Yönetmelik’in on beşinci maddesi uyarınca kişisel verilerin korunmasına yönelik hükümlerin özellikle işbu maddede tanzim edilen hususları ihtiva etmesi gerekmektedir.
Taahhütnamenin yabancı dilde de hazırlanması halinde, Türkçe metin esas alınır.
Kişisel veri aktarımına ise, Kurul’un izin vermesinden sonra başlanır.
Özel Hallerde Yurt Dışına Aktarım
Yönetmelik’in 16. maddesinde yeterlilik kararı bulunmadığı ve 10. maddede belirtilen uygun güvencelerden hiçbirinin sağlanamadığı hallerde kişisel verilerin veri işleyenler tarafından yurt dışına aktarılabileceği durumları düzenlenmiştir.
Bu kapsamda, kişisel veriler sadece “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar” olmak kaydıyla ve 16. maddede belirtilen istisnai hallerden birinin mevcut olması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilmektedir.
Bu haller Yönetmelik’in 16. maddesinde;
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması şeklinde düzenlenmiştir.
Yorum bırakın