- Giriş
02.01.2025 tarihinde Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin Yurtdışına Aktarılması Rehberi (“Rehber”) yakın zamanda yaşanan ve 01.09.2024 tarihi ile yürürlüğe giren yurt dışı aktarım sürecinin nasıl yürütüleceğine ilişkin veri sorumlularına bilgi vermek amacıyla hazırlanmıştır.
12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun (“7499 sayılı Kanun”) 34. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun (“Kanun”) “Kişisel verilerin yurtdışına aktarılması” başlıklı 9. maddesinde değişiklik yapılmıştır. Yapılan değişiklikler 1.6.2024 tarihinde yürürlüğe girmiştir. 7499 sayılı Kanunun 36. maddesi ile Kanuna aşağıdaki geçici maddenin ekleneceği öngörülmüştür:
“GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.”
Geçici madde kapsamında kişisel verilerin yurt dışına aktarımlarında geçiş süresi 01.09.2024 tarihi itibari ile son bulmuştur. Bu tarihten itibaren gerçekleştirilecek yurt dışı aktarımların Kanunun güncel haline uygun olarak gerçekleştirilmesi gerekmektedir. Kanunun güncel halinde yurt dışı aktarım süreci için aşamalı bir sistem benimsenmiştir.
Bu yazıda kişisel verilerin yurt dışına aktarım sürecinde izlenebilecek yollar kısaca özetlenecektir.
- Yeterlilik Kararının Bulunması
Kanunun 5. ve 6. maddelerinde belirtilen kişisel verilerin işlenmesi şartlarından birinin varlığı halinde ilk aşamada aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının bulunup bulunmadığına bakılmalıdır.
Yeterlilik kararı, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından gerektiğinde ilgili kurum ve kuruluşlardan görüş alınarak verilmektedir. Bu kararlar her dört yılda bir Kurul tarafından gözden geçirilecek ve bu süre içinde bir değerlendirme yapılmazsa mevcut yeterlilik kararı geçerliliğini sürdürecektir. Bu süre içinde Kurul tarafından yapılan bir değerlendirme olmaması halinde, verilen yeterlilik kararı geçerli olmaya devam edecektir. Ayrıca Kurul, değerlendirmesi sonucunda veya ihtiyaç duyulan diğer durumlarda, yeterlilik kararlarını ileriye dönük bir şekilde değiştirme, askıya alma veya iptal etme yetkisini haizdir. Bu dört yıllık süre bir düzenleyici süre olup Kurul gerekli görürse bu süreyi beklemeden de yeterlilik kararını yeniden değerlendirme yetkisine sahiptir.
- Uygun Güvencelerden Birinin Bulunması
Yeterlilik kararının bulunmaması halinde, yurt dışına aktarım süreci için izlenecek 2. yol uygun güvencelerin varlığıdır. Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin olması kaydıyla ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması halinde, uygun güvencelerden birinin taraflarca sağlanıp sağlanmadığına bakılmalıdır. Kanunda uygun güvenceler sayılmış uygun güvencelere ilişkin detaylı düzenlemeler Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelikte yer almaktadır.
- Standart Sözleşme
Standart sözleşmeler, Kanunun 9. maddesinin dördüncü fıkrasının (c) bendinde, Kurul tarafından verilmiş bir yeterlilik kararının bulunmadığı durumlarda kişisel verilerin yurt dışına aktarımında, aktarıma taraf veri sorumlusu veya veri işleyenin kolaylıkla iş süreçlerine dahil edebileceği alternatif bir uygun güvence sağlama yöntemi olarak öngörülmektedir.
Standart sözleşmeler veri aktaran veri sorumlusu veya veri işleyen ile veri alıcısı veri sorumlusu veya veri işleyen arasında imzalanmaktadır. Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı ile farklı aktarım senaryolarını içeren 4 tip standart sözleşme metni kabul edilerek Kurumun internet sitesinde ilân edilmesine karar verilmiştir. Bu sözleşme metinleri matbudur, sadece ilgili standart sözleşmenin alternatif maddeleri seçilebilmekte ve ekleri aktarıma uygun olarak doldurulmalıdır.
Standart sözleşmelerin esasen Türkçe olarak akdedilmesi gerekmekte olup; birden çok dilde hazırlanması hâlinde ise Kurul tarafından kabul edilen Türkçe metnin dikkate alınacağı hükme bağlanmıştır. Bu kapsamda, Kuruma çift sütunlu olarak ve Türkçe ile diğer başka bir dilde düzenlenmiş standart sözleşmelerin bildirilmesi suretiyle Kanunun 9 uncu maddesinin dördüncü fıkrasının (c) bendi ile beşinci fıkrasında öngörülen gereklilikler karşılanabilecektir.
Standart sözleşme, her iki tarafın imzalarının tamamlanmasından itibaren beş iş günü içinde fiziki olarak (örn: elden veya posta yoluyla), kayıtlı elektronik posta (KEP) adresi üzerinden veya Kurul tarafından belirlenecek diğer alternatif yöntemler (örn: Standart Sözleşme Bildirim Modülü) vasıtasıyla Kuruma bildirilebilecektir. İlgili aktarımın sonlanması veya aktarım grupları ve alt veri işleyenlerde değişiklik olması halinde standart sözleşmenin güncellenmesi gerekmektedir. Standart sözleşmenin kuruma bildirilmemesi bir idari para cezası sebebidir.
- Bağlayıcı Şirket Kuralları
Bağlayıcı şirket kuralları,ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde yer alan Türkiye’de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı Grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım
faaliyetleri bakımından Grup Üyeleri tarafından uyulması gereken kişisel veri koruma kurallarını ifade etmektedir. Bağlayıcı şirket kurallarını bu yapıya uygun şirketler oluşturarak Kişisel Verileri Koruma Kuruluna onaya sunar. Bu kuralların onaylanması halinde grup şirketleri arasında yurt dışı aktarım gerçekleşebilir.
- Taahhütname Yapılması
Kanunun “Kişisel verilerin yurtdışına aktarılmasını” düzenleyen 9. maddesinin dördüncü fıkrasının (ç) bendinde belirtildiği üzere; Kurul tarafından aktarımın yapılacağı ülkeye, üçüncü bir ülke içerisindeki sektöre veya uluslararası kuruluşa verilmiş bir yeterlilik kararının bulunmaması durumunda, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından söz konusu taahhütnamenin incelenmesi neticesinde aktarıma izin verilmesi durumunda yurt dışına kişisel veri aktarımı yapılabilmektedir.
- İstisnai Aktarımlar
Arızi hallerde yapılan aktarımlarda istisnai bir aktarımdan söz edildiğinden son derece dar bir yorum yapılmalı; öncelikle yeterlilik kararı veya uygun güvencelerden birinin mevcut olup olmadığına bakılmalı; bunların yokluğunda istisnai aktarıma son çare olarak başvurulmalıdır.
Arızi hallere dayalı kişisel veri aktarımlarında Kurulun iznine veya onayına ihtiyaç yoktur ancak bu aktarım sadece olağan faaliyet akışı dışında ve düzenli olmamak kaydıyla bir veya birden fazla kez, öngörülemeyen koşullar altında ve belirsiz zaman aralıklarında olması halinde kullanılabilecek aktarım yoludur.
İlgili rehbere buradan ulaşabilirsiniz.
Turkish