Logo

Kişisel Verilerin Yurt Dışına Aktarılmasında Güncel Gelişmeler

Daha önce duyurduğumuz üzere, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarihinde Resmi Gazete’de yayımlanmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) hakkında esaslı değişiklikler meydana gelmiştir. Bu değişikliklerden biri de kişisel verilerin yurt dışına aktarımına ilişkin usul ve esaslardır. Bahsi geçen Kanun değişikliğinde, kişisel verilerin yurt dışına aktarımın usul ve esaslarına ilişkin bir yönetmelik yayımlanacağı, Kanun maddesinde bahsi geçen metinlerin Kişisel Verileri Koruma Kurumu tarafından yayımlanacağı ve bu konuya ilişkin değişikliğin Eylül 2024’te yürürlüğe gireceği yer almıştır. Bu kapsamda 10.07.2024 tarihli ve 32598 sayılı Resmi Gazete’de Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) yayımlanarak yürürlüğe girmiştir.

Kanun ve Yönetmelik’e göre kişisel verilerin yurt dışına aktarımında çeşitli yöntemler sayılmıştır. Ancak bu yöntemlerin kullanımı veri sorumlusunun ve/veya veri işleyenin tercihine bırakılmamış belirli koşulların sağlanması şartıyla sayılan yöntemlerin sırasıyla kullanılamayacağı kararına bağlı olarak bir diğer yöntemin kullanılıp kullanılamayacağı incelenmelidir. Bununla birlikte Yönetmelik’in 16. maddesinde istisnai (arızi) aktarım halleri de sayılmıştır. Buna göre, Kanun ve Yönetmelik’te sayılan yöntemler sırasıyla şöyledir:

  • Yeterlilik kararına dayalı olarak kişisel verilerin yurt dışına aktarılması
  • Uygun güvencelere bağlı olarak kişisel verilerin yurt dışına aktarılması
  • Arızi hallerde kişisel verilerin yurt dışına aktarılması

 

Yeterlilik Kararına Dayalı Olarak Kişisel Verilerin Yurt Dışına Aktarılması

Yeterlilik kararına ilişkin hususlar Yönetmeliğin 8. ve 9. maddesinde sayılmış olup kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına Kişisel Verileri Koruma Kurulu (“Kurul”) karar verir. Kanun’un önceki halinde yer alan güvenli ülkelerin belirlenmesindeki şartlara benzer olarak yeterlilik kararı Kurul tarafından, karşılıklılık durumu, aktarım yapılacak ülke veya kuruluşun tabi olduğu mevzuat ve kurallar, etkin bir veri koruma otoritesinin bulunması ve etkin başvuru yollarının bulunması, kişisel verilerin korunmasına ilişkin uluslararası sözleşmelere taraf veya kuruluşlara üye olma durumu ve Türkiye’nin taraf olduğu uluslararası sözleşmeler dikkate alınacaktır. Yeterlilik kararı olan ülkeler ve kuruluşlar Resmi Gazete’de yayınlanacaktır.

Yukarıdaki bilgiler ışığında, güvenli ülkelerin açıklanmasına benzer olarak yeterlilik kararı verilmiş herhangi bir ülke ve kuruluş henüz bulunmadığından veri sorumluları ve veri işleyenlerin yeterlilik kararı bulunmayan ülke ve kuruluşlar için aşağıda açıklayacağımız yöntemleri sırasıyla izleyebilecektir.

Uygun Güvencelere Bağlı Olarak Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin aktarılacağı ülke hakkında yukarıda açıkladığımız şekilde bir yeterlilik kararının bulunmaması durumunda, Kanunun 5. ve 6. maddesindeki şartlardan birinin varlığı ve aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uluslararası sözleşme niteliğinde olmayan anlaşmayla, bağlayıcı şirket kurallarıyla, standart sözleşmeyle veya taahhütnameyle uygun güvence sağlanarak kişisel veriler yurt dışına aktarılabilir. Diğer bir deyişle, Kanun’da sayılan hukuka uygunluk sebeplerinden birinin varlığı ve aktarım yapılacak ülkedeki ilgili kişi başvurusu için etkili yöntemlerin varlığı şartları birlikte aranırken; uygun güvence yöntemlerinden birinin aktarımı yapacak tarafça seçilmesi mümkündür.

Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması

Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından, uluslararası sözleşme niteliğinde olmayan bir anlaşma ile uygun güvence sağlanabilir. Anlaşmanın müzakere sürecinde Kurul görüşüne başvurulması gerekmekte olup anlaşma metni nihai hale geldikten ve aktarım yapılacak taraflarca imzalandıktan sonra veri aktaran tarafından Kurul’a izin başvurusunda bulunulur. Kişisel veri aktarımına Kurul’un izni sonrasında başlanılabilir.

Yönetmeliğk’in 11. maddesinde, anlaşmada yer alması gereken zorunlu hususlar açıklanmakla beraber, bu kapsamda kullanılacak örnek metinler Kurul tarafından henüz yayımlanmamıştır.

Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması

Ortak ekonomik faaliyette bulunan ve ortak karar makanizmasına sahip olan çok uluslu şirketlerin, kişisel verilerin korunması ile ilgili uymakla yükümlü oldukları kurallar bütünü ile uygun güvence sağlayabileceği Kanun’da ve Yönetmelik’in 12. ve 13. maddesinde düzenlenmiştir. Bağlayıcı Şirket Kuralları adı verilen bu kurallar bütünü aktarımın tarafı olan tüm şirketler tarafından onaylandıktan sonra Kurul’un onayına sunulur ve onayın verilmesinin ardından aktarım faaliyeti gerçekleştirilebilir. Kanun’un önceki halinde de yer alan bu düzenlemeye bağlı olarak Türkiye’de onaylanmış bir Bağlayıcı Şirket Kuralı bulunmamaktadır.

Kurul, 10.07.2024 tarihinde, Yönetmelik’in 13. maddesinde de yer alan hususlar ışığında, veri sorumluları ve veri işleyenler için ayrı ayrı Bağlayıcı Şirket Kurallarında bulunması gereken temel hususları içeren yardımcı kılavuzları ve başvuru formlarını yayımlamıştır. Metinlere ilgili linkten ulaşabilirsiniz.

Bağlayıcı Şirket Kuralları çok uluslu bir yapı içinde imzalanacağından kuralların yabancı dilde düzenlenmesi söz konusu olabilir ve Kurul’a onay başvurusu yapılırken metnin noter onaylı çevirisi başvuruya eklenmelidir. Metnin iki dilde hazırlanması halinde ise Türkçe metin esas alınarak başvuruya onay verilir.

Bağlayıcı Şirket Kuralları içerisinde yer alması gereken hususlar Yönetmelik’in 13. maddesinde asgari şartlar sayılmış olup bu hususlar dışındaki maddeleri içermesi başvurunun onaylanmasına engel değildir.

Kurul tarafından Bağlayıcı Şirket Kuralları onaylanırken özellikle aşağıdaki hususlar dikkate alınır:

  • Bağlayıcı şirket kurallarının çalışanlar da dâhil olmak üzere grup bünyesindeki ilgili her şirket bakımından hukuken bağlayıcı ve uygulanabilir olması gerekmektedir.
  • Bağlayıcı Şirket Kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması gerekmektedir.
  • Bağlayıcı Şirket Kurallarının asgari olarak Yönetmelik’in 13. maddesinde belirtilen hususları içermesi gerekmektedir.


Standart Sözleşmeyle Uygun Güvencenin Sağlanması

Yeterlilik kararının bulunmaması, uluslararası sözleşme niteliğinde olmayan anlaşma veya Bağlayıcı Şirke Kuralları ile uygun güvencenin sağlanması için veri sorumlusu ve/veya veri işleyenin gerekli şartları taşımaması durumunda, uygun güvencenin sağlanması için kullanılacak yöntemlerden biri standart sözleşmelerdir. Standart sözleşmeler veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içermektedir.

Standart sözleşme taslakları 10.07.2024 tarihinde Kurul tarafından yayımlanmıştır ve bu sözleşmelerin, üzerinde değişiklik yapılmaksızın kullanılması zorunludur. Metinlere ilgili  linkten ulaşabilirsiniz.

Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır. Standart sözleşme taslakları henüz Türkçe olarak yayımlanmış olup Kurul tarafından yabancı dildeki standart sözleşmelerin yayımlanması beklenmektedir ancak veri sorumluları ve veri işleyenler kendi çevirilerini de kullanabilir zira her halde metnin Türkçe hali esas Kurul tarafından esas alınacak ve Türkçe metnin taraflarca uygulanması beklenecektir.

Sözleşmenin ekinde yabancı dilde bir belge olması halinde bu belgenin noter onaylı çevirisi de Kurum’a yapılacak bildirime eklenmelidir.

Standart sözleşme, aktarımın tarafları olan veri sorumlusu ve/veya veri işleyenleri temsile yetkili kişilerce imzalanmalı ve yetkili olduklarına dair tevsik edici belge sözleşmeye eklenmelidir.

Standart sözleşme imzaların tamamlanmasından itibaren 5 iş günü içinde fiziki veya KEP adresi üzerinden Kişisel Verileri Koruma Kurumu’na bildirilir. Kurum’a bildirim yapacak taraf sözleşme içinde belirtilmediyse veri aktaran tarafından Kurum’a bildirim yapılmalıdır. Standart sözleşme taraflarında veya sözleşme içinde verilen bilgilerde herhangi bir değişiklik olması halinde de bu esaslara uygun şekilde Kurum’a bildirim yapılmalıdır.

Taahhütnameyle Uygun Güvencenin Sağlanması

Veri sorumluları ve veri işleyenler, verilerin yurt dışına aktarımını, standart sözleşmelere alternatif olarak taahütname ile de güvence altına alabilirler. Taahhütname ile kişisel verilerin yurt dışına aktarımının güvence altına alınması, Kanun değişikliğinden önceki bir uygulama olup Kanun’un yeni halinde korunmuştur.

Taahhütnamede yer alması gereken hususlar Yönetmeliğk’in 15. maddesinde sayılmış, örnek taahhütname metinleri ve taahhütnamede dikkat edilecek hususlar 16.05.2018 tarihinde Kurum’un web sitesinde yayımlanmıştır. Metinlere ilgili  linkten ulaşabilirsiniz.

Taahhütnamenin iki dilde hazırlanması halinde Türkçe metin esas alınır. Taahhütnamenin yalnızca yabancı dilde hazırlanması ve/veya ekinde yabancı dilde bir belge olması halinde taahhütname ve belgenin noter onaylı çevirisi Kurum’a sunulmalıdır.

Taahhütname, aktarım yapılacak taraflarca imzalandıktan sonra veri aktaran tarafından Kurul’a izin başvurusunda bulunulur. Kişisel veri aktarımına Kurul’un izni sonrasında başlanılabilir. Bugüne kadar taahhütname aracılığıyla Kurul tarafından yurt dışına aktarım izni verilen 9 firma bulunmaktadır.

Arızi Hallerde Kişisel Verilerin Yurt Dışına Aktarılması

Yeterlilik kararı bulunmaması ve yukarıda bahsettiğimiz uygun güvencelerden birinin sağlanamaması durumunda, düzenli olmayan tek veya birkaç defa gerçekleşen; diğer bir deyişle süreklilik arz etmeyen hallerde aşağıdaki şartların sağlanmaası halinde yurt dışına veri aktarılabilir.

Yukarıda belirttiğimiz üzere arızi hallerde veri aktarımı aşağıdaki şartlarla gerçekleştirilebilir:

  • İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi. (İlgili kişinin muhtemel riskler hakkında bilgilendirilmesinin, Kanun’da yer alan aydınlatma yükümlülüğünden farklı olduğu unutulmamalıdır. Muhtemel riskler, aydınlatma metinlerinde öngörülen şartlardan biri değildir ve yurt dışına aktarım için muhtemel risklerin ayrı bir dokümanla veya başlıkla ilgili kişiye sunulması zorunludur.)
  • Aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası için gerekli olması
  • İlgili kişinin talebi üzerine sözleşme öncesi tedbirlerin uygulanması için zorunlu olması
  • İlgili kişinin yararına veri sorumlusu ve üçüncü bir kişi ile imzalanan bir sözleşmenin kurulması veya ifa edilmesi için gerekli olması,
  • Aktarım için üstün bir kamu yararının bulunması
  • Bir hakkın tesisi, kullanılması veya kotunması için aktarımın zorunlu olması,
  • Fiili imkansızlık hali,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla kendisine veya talep ettiği kişiye aktarım yapılması. (Bu halde aktarım yalnızca ilgili veriler veya veri kategorileri için yapılır, tüm verileri içerecek şekilde gerçekleştirilmemelidir.)

 

VERİ İŞLEYENLER TARAFINDAN KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kanun’un önceki halinde, kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hususu açıkça düzenlenmemiş olup, Yönetmelik’in 7. maddesinde bu husus açıkça düzenlenmiştir.

7.maddeye göre, bir tarafın veri işleyen sıfatı ile yurt dışına veri aktarması ancak veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket etmesi halinde mümkündür. Veri işleyen, verilerin aktarımı sırasında uygun güvenlik önlemini temin etmekle yükümlüdür. Önemle belirtmek gerekir ki, veri işleyene yüklenen bu yükümlülük, veri sorumlusunun Kanun’a uygun güvencelerin sağlanmasına ilişkin sorumluluğunu ortadan kaldırmaz.

Yukarıdakilere ek olarak, veri işleyenin imzaladığı standart sözleşme ile uygun güvencenin sağlanması halinde, veri işleyen, veri sorumlusunun talimatına gerek olmaksızın Kurul’a bildirim yükümlülüğünü yerine getirmek zorundadır.

Sonuç olarak, veri sorumluları ve veri işleyenler, yurt dışına veri aktarımı için öncelikle aktarım yapılacak ülke veya kuruluşun yeterlilik kararı bulunup bulunmadığını incelemelidir.

Yeterlilik kararı bulunmayan ülke veya kuruluşlara aktarım için veri sorumlusu/veri işleyenin iki seçeneği bulunmaktadır. Süreklilik arz eden veri aktarımlarında yukarıda saydığımız güvencelerden “uygun” olan belirlenerek bu yöntem uygulanmalıdır. Süreklilik arz eden veri aktarımları için arızi hallerde sayılan yöntemlerin izlenmesi hukuka aykırılık teşkil edecektir. Tek seferlik veya birkaç defaya mahsus veri aktarımı gerekli ise yukarıdaki ilgili başlıkta saydığımız şartların varlığı halinde yurt dışına veri aktarımı veri sorumlusu/veri işleyen tarafından gerçekleştirilebilir.

Veri işleyenin gerçekleştireceği veri aktarımlarında, diğer veri işleme faaliyetlerinde olduğu gibi veri sorumlusunun talimatı ile bağlı olduğu; veri sorumlusunun ise veri işleyenin faaliyetlerinden sorumlu olacağı unutulmamalıdır.

Yurt dışına veri aktarımı ile ilgili detaylı bilgi edinmek ve Kanun’a uyumluluğunuzu sağlamak için danışmanlarımıza ulaşın.

Online saatlik danışmanlık almak için linke tıklayın.

 

 

 

 

 

Logo

Compass®️ iş dünyasının sürekli evrilen taleplerine hızlı ve etkili çözümler sunan öncü bir danışmanlık firmasıdır. Kurumsal uyum, yönetmelikler, etik standartlar ve risk yönetimi gibi kritik alanlarda uzman ekibimiz ile müşterilerimize sunduğumuz benzersiz hizmetlerle işlerini daha rekabetçi, verimli ve uyumlu hâle getirmelerine yardımcı olmayı hedefliyoruz.

İletişim kanallarımız aracılığıyla bizimle kolayca iletişime geçebilir ve ihtiyaçlarınızı bizimle paylaşabilirsiniz.