Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’e İlişkin Bülten
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10.07.2024 tarihinde Resmi Gazete’de yayınlanmıştır.
Yönetmelik, Kişisel Verilerin Korunması Kanunu’na (“Kanun”) yakın zamanda yapılan değişikliklere paralel olarak, verilerin yurt dışına aktarılmasına ilişkin usuller ile veri sorumlusu ve veri işleyenin sorumluluklarını düzenlemektedir.
Yönetmelik uyarınca kişisel veriler; (a) Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yeterlilik kararı ile, (b) uygun güvencelere dayalı olarak, veya (c) geçici olmak kaydıyla istisnai durumların olması durumunda yurt dışına aktarılabilecektir.
Kurul ayrıca 10.07.2024 tarihinde kendi web sitesinde[1] (“Web Sitesi”) “uygun güvenceler” içinde yer alan aktarım opsiyonlarından bağlayıcı şirket kuralları ve sözleşmelere ilişkin standart dokümanları yayınlamıştır.
Yönetmelik, Resmi Gazete’de yayımlandığı tarih itibariyle yürürlüğe girmiştir; ancak, açık rızaya dayalı yurt dışına aktarım opsiyonu 01.09.2024 tarihine kadar yürürlükte kalacaktır. Bu kapsamda, açık rızaya dayalı olarak yurt dışına (geçici olmayan) kişisel veri aktarımı yapılıyorsa, 01.09.2024 tarihi itibari ile açık rızaya dayalı (geçici olmayan) aktarım yapılamayacağından, bu tarihe kadar aşağıdaki yollardan birini izleyerek yurt dışı aktarımı yapılmalıdır; uyum süreci zaman alabileceğinden, bir an önce bu konudaki uyum çalışmasına başlanmasını önermekteyiz.
Detaylar:
A. Kurul’un Yeterlilik Kararı:
Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak, bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına ilişkin karar verebilir. Kurul’un bu yeterlilik kararları Resmi Gazete ve Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanacaktır. Henüz böyle bir karar yayınlanmadığından bu opsiyon şu an için kullanılamamaktadır.
Kurul tarafından verilen yeterlilik kararı, en geç 4 yılda bir yeniden değerlendirilecektir. Kurul, yeniden değerlendirme sonucunda kararını ileriye etkili olmak üzere değiştirebilme, askıya alma veya kaldırma yetkisine sahiptir.
B. Uygun Güvencelere Dayalı Aktarımlar:
Yeterlilik kararının bulunmaması durumunda, kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelere dayalı aktarım yapılabilir. Buna göre; (i) Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, (ii) ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması ve (iii) Yönetmelik’te belirlenen uygun güvencelerden birinin sağlanması halinde kişisel verilerin yurt dışına aktarılabileceği belirlenmiştir.
Bu uygun güvenceler aşağıdaki şekildedir:
a. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
b. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı*,
*Bağlayıcı şirket kurallarına ilişkin olarak Kurum tarafından Web Sitesi’nde yardımcı kılavuzlar ve bağlayıcı şirket kurallarının Kurul’a sunumunda kullanılacak başvuru formları yayınlanmıştır.
c. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı**,
**Kurum tarafından Web Sitesi’nde sözleşme örnekleri yayınlanmıştır. Standart sözleşme, üzerinde herhangi bir değişiklik yapılmaksızın kullanılmak zorundadır. Bu sözleşmeler; veri sorumlusundan-veri sorumlusuna, veri sorumlusundan-veri işleyene, veri işleyenden-veri işleyene ve veri işleyenden-veri sorumlusuna kişisel veri aktarımına ilişkin temel düzenlemeleri içermektedir.
Standart sözleşme, kişisel veri aktarımının tarafları arasında akdedilecek olup; aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanacaktır. İmzaların tamamlanmasından itibaren 5 iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirilecektir.
Ayrıca, sözleşme taraflarında veya içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya sözleşmenin sona ermesi hâlinde yukarıda belirtilen usule uygun olarak Kuruma bildirim yapılır.
d. Taraflarca Kurum’a yapılacak taahhütname başvurusu sonucunda Kurum tarafından onaylanan taahhütnameyle uygun güvencenin sağlanması.
C. İstisnai/Geçici Aktarım Halleri:
Kişisel veriler, yeterlilik kararının bulunmaması ve Yönetmelik’te öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, geçici olmak kaydıyla, Yönetmelik’in 16. maddesinde düzenlenen istisnai aktarım hallerinden birinin varlığı hâlinde yurt dışına aktarılabilecektir. Bu aktarıma ilişkin detayları 12 Mart 2024 tarihli bültenimizde[2] bulabilirsiniz.
[1] https://kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu
[2] https://bener.com/tr/kisisel-verilerin-yurtdisina-aktarimi-ve-ozel-nitelikli-veri-islenmesindeki-onemli-degisiklikler-hakkinda-bulten/