KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN YÖNETMELİK

10 Temmuz 2024

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanmış ve aynı tarihte yürürlüğe girmiştir.

8. Yargı Paketi olarak da bilinen 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) önemli değişiklikler yapılmış, yapılan değişiklik uyarınca KVKK’nin 9. maddesinde kişisel verilerin yurtdışına aktarılmasına ilişkin esaslar belirlenerek bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelik ile düzenleneceği hüküm altına alınmıştır.

Bu doğrultuda Yönetmelik’te KVKK’nin 9. maddesi uyarınca, kişisel verilerin yurt dışına aktarılmasında uygulanacak usul ve esaslar düzenlenmiştir. Yönetmelik, kişisel verilerin yurt dışına aktarılması süreçlerinde şeffaflığı artırmayı, veri sorumluları ve veri işleyenler için belirli standartlar getirmeyi amaçlamaktadır. Yönetmelik hükümleri KVKK’nin 9. maddesi uyarınca gerçekleştirilecek yurt dışına kişisel veri aktarımına taraf veri sorumluları ve veri işleyenler hakkında uygulanacak olup kişisel verilerin yurt dışına aktarılması, ancak KVKK’de ve Yönetmelik’te öngörülen usul ve esaslara uygun olarak yapılabilecektir.

1. Kişisel Verilerin Yurtdışına Aktarılma Usulleri

Kişisel veriler, KVKK’nin “Kişisel Verilerin İşlenme Şartları” başlıklı 5. ve “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

• Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.

• Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, Yönetmelik 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması.

Yönetmelik uyarınca hem veri sorumlularına hem de veri işleyenlere yurtdışına kişisel veri aktarımı yapma imkânı getirilmektedir. Bununla birlikte kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket etmekle yükümlüdür. Veri işleyen bu doğrultuda, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri alır.

2. Yeterlilik Kararına Dayalı Aktarımlar

Kişisel veriler, aktarımın yapılacağı ülke veya uluslararası kuruluş hakkında yeterlilik kararı bulunması durumunda yurt dışına aktarılabilir. Yeterlilik kararı, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilir ve belirli aralıklarla gözden geçirilir.

Kurul, yeterlilik kararı verirken (i) kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu, (ii) ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar, (iii) ülkenin veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması gibi hususları dikkate alır. Kurul’un bu kapsamda verdiği kararlar Resmi Gazete ve Kurul’un internet sitesinde yayınlanır.

3. Uygun Güvencelere Dayalı Aktarımlar

Hedef ülke veya uluslararası kuruluş hakkında yeterlilik kararının bulunmaması durumunda, kişisel veriler ancak Yönetmelik’te düzenlenen uygun güvencelerin sağlanması halinde yurt dışına aktarılabilir. Uygun güvenceler arasında, (i) taraflar arasında yapılacak uluslararası sözleşme niteliğinde olmayan anlaşmalar, (ii) bağlayıcı şirket kuralları, (iii) Kurul tarafından belirlenen standart sözleşmeler ve (iv) yeterli korumayı sağlayan bir taahhütnamenin varlığı ve Kurul’un aktarıma izni yer alır.

a. Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması

Türkiye’deki kamu kurum ve kuruluşları ile yabancı ülkelerdeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında kişisel veri aktarımı yapmak için uluslararası sözleşme niteliğinde olmayan anlaşmalar ile uygun güvence sağlanabilir. Bu anlaşmalar, Yönetmelik madde 11/3’te yer alan kişisel verilerin korunmasına yönelik hükümleri içermelidir. Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulur ve izni müteakiben kişisel veri aktarımına başlanabilir.

b. Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler, kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları oluşturarak uygun güvence sağlayabilir. Bu kurallar, tüm teşebbüs grubu üyeleri için hukuken bağlayıcı olmalı, ilgili kişi haklarının kullanılabileceğine ilişkin taahhüt bulundurmalı ve Yönetmelik madde 13’te yer alan hususları içermelidir. Bu şartları içeren şirket kurallarının Kurul tarafından onaylanmasını müteakiben kişisel veri aktarımına başlanabilir.

c. Standart Sözleşmeyle Uygun Güvencenin Sağlanması

Kişisel verilerin yurt dışına aktarımında kullanılmak üzere Kurul tarafından belirlenip ilan edilen standart sözleşmeler aracılığıyla da uygun güvence sağlanabilir. Standart sözleşmeler veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eder. İşbu standart sözleşme, metninin üzerinde herhangi bir değişiklik yapılmadan, veri aktarımının tarafları arasında akdedilerek kullanılır. Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilir.

d. Taahhütnameyle Uygun Güvencenin Sağlanması

Taraflar arasında kişisel verilerin yurt dışına aktarılması amacıyla yazılı bir taahhütname oluşturulmasıyla da uygun güvence sağlanabilir. Bu taahhütname, kişisel verilerin korunmasına yönelik Yönetmelik madde 15/2’de yer alan hususları içermelidir. Özellikle, kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi; ilgili kişilerin haklarının kullanılması için gerekli taahhütler ve veri güvenliğini sağlamak için alınacak teknik ve idari tedbirler gibi hususlar taahhütnamede yer almalıdır. Taahhütname, veri aktaran tarafından Kurul’a sunulur ve Kurul’un izninin alınmasının ardından kişisel veri aktarımına başlanabilir.

4. İstisnai Aktarımlar

Yeterlilik kararı ve uygun güvencelerin bulunmaması durumunda, kişisel veriler ancak arızi nitelikteki istisnai hâllerin varlığı halinde yurt dışına aktarılabilir. Yönetmelik arızi nitelikteki aktarımları düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak tanımlar.

Bu istisnai hâller şunlardır:

• İlgili kişinin açık rızasının bulunması, • İlgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,

• İlgili kişi yararına veri sorumlusu ile başka bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,

• Üstün bir kamu yararının bulunması,

• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,

• Kamuya açık sicillerden aktarım yapılması.

Yukarıdaki hususlarda herhangi bir sorunuz olması halinde bizimle iletişime geçebilirsiniz.

Saygılarımızla,

Av. Selim DÜNDAR
sdundar@dundarsir.com