08.08.2024

Hazırlayanlar: Sema Çelebi, Serdarhan Güler, Hatice Ceren Yıldız

Kişisel Verileri Koruma Kanunu’nun (“Kanun”) "Kişisel verilerin yurt dışına aktarılması" başlıklı 9. maddesinin uygulanmasına yönelik usul ve esasların belirlenmesi amacıyla 10 Temmuz 2024 tarihinde "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" (“Yönetmelik”)[1] Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Bu yönetmelik, kişisel verilerin yurt dışına aktarım süreçlerini detaylandırmakta ve bu süreçlerin nasıl yönetileceğini belirlemektedir.

Ayrıca Kişisel Verileri Koruma Kurumu (‘’Kurum’’), 10 Temmuz 2024 tarihinde, Kanun’un 9. maddesi uyarınca kişisel verilerin yurt dışına aktarılması için kullanılacak standart sözleşmeler ve bağlayıcı şirket kurallarına ilişkin nihai belgeleri de açıklamıştır[2]. Bu belgeler, 17 Mayıs 2024'te kamuoyu görüşüne sunulmuş ve 4 Haziran 2024 tarihli ve 2024/959 sayılı Kurul kararı ile kabul edilmiştir. Kabul edilen belgeler arasında dört farklı standart sözleşme, veri sorumluları ve veri işleyenler için başvuru formları ve kılavuzlar bulunmaktadır.

“Regulation on the Procedures and Principles Regarding the Transfer of Personal Data Abroad” (“Regulation”) has been entered into force after publication in the Official Journal on July 10, 2024, in order to clarify the procedures and principles regarding the implementation of Article 9 titled “Transfer of Personal Data Abroad” of the Personal Data Protection Law (’Law"). This Regulation elaborates on the processes of transferring personal data abroad and determines how these processes will be conducted.

Moreover, on July 10, 2024, the Personal Data Protection Authority (‘’Authority‘’) disclosed the final documents on standard contracts and binding corporate rules to be used for the transfer of personal data abroad pursuant to Article 9 of the Law. These documents were presented for public consultation on May 17, 2024, and approved by Board Decision No. 2024/959 of June 4, 2024. The approved documents include four different standardized contracts, application forms and guidelines for data controllers and data processors.

Buna göre yurt dışına veri aktarımı yapılmadan önce aşağıda sıralanan koşulların varlığı değerlendirilmelidir:

 

1.   Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,

2.   Kanunda sıralanan uygun güvencelerin sağlanması,

3.   İstisnai aktarım koşullarının varlığının değerlendirilmesi.

 

A.            Yeterlilik Kararına Dayalı Aktarımlar

Yönetmelik madde 8 ile yeterlilik kararına dayalı aktarımlar düzenlenmiştir. Buna göre Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Kanun’un 5 ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve yeterlilik kararının varlığı halinde kişisel veriler yurtdışına aktarılabilir. Verilen yeterlilik kararları ve yeterlilik kararlarına ilişkin değişiklikler Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.

B.            Uygun Güvencelere Dayalı Aktarımlar

Yönetmelik’in 10. Maddesinde Uygun Güvenceye Dayalı aktarım halleri düzenlenmiştir. Kişisel veriler, yeterlilik kararı bulunmadığı durumlarda;

    1.   Kanun’un 5 ve 6. maddelerinde belirtilen şartlardan birinin varlığı,

   2.   İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla,

    3.   Yönetmelik’te belirtilen uygun güvencelerden birinin sağlanmasıyla yurt dışına aktarılabilir. Bunlar;

3.1.      Yurt dışındaki kamu kurum ve kuruluşları ile Türkiye’deki kamu kurum ve kuruluşları arasında yapılan ve Kurul tarafından aktarıma izin verilen anlaşmalar,

3.2.      Ortak ekonomik faaliyette bulunan teşebbüs grupları içindeki şirketlerin uymak zorunda oldukları ve Kurul tarafından onaylanan bağlayıcı şirket kuralları

3.3.      Kurul tarafından ilan edilen standart sözleşmeler,

3.4.      Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütnameler ile Kurulun aktarıma izin vermesidir.

1.     Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması

Türkiye’deki kamu kurum ve kuruluşları ile yabancı ülkelerdeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları, uluslararası sözleşme niteliğinde olmayan anlaşmalar ile uygun güvence sağlanarak gerçekleştirilebilir. Anlaşmalarda yer alması gereken hususlar Yönetmelik 11. Maddesi ile düzenlenmiştir. Anlaşmaya dayanarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulmalı ve Kurulun izni alındıktan sonra veri aktarımına başlanmalıdır.

2.   Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması

Ortak ekonomik faaliyette bulunan teşebbüs grubu (‘’teşebbüs grubu’’) bünyesindeki şirketler, kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları aracılığıyla uygun güvence sağlayabilirler. Bu kurallara dayanarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’dan onay alınması gerekmektedir. Başvuru kapsamında, bağlayıcı şirket kuralları metni ve gerekli diğer bilgi ve belgeler Kurul’a sunulur. Kurul, bağlayıcı şirket kurallarını onaylarken, bu kuralların teşebbüs grubu bünyesindeki her üye için hukuken bağlayıcı ve uygulanabilir olmasına, ilgili kişi haklarının kullanılabilirliğine dair taahhütte bulunulmasına ve asgari olarak belirli hususları içermesine dikkat eder. Kişisel veri aktarımı, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlar.

2.1.      Bağlayıcı Şirket Kurallarında Bulunması Gereken Hususlar:

Bağlayıcı şirket kuralları, teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgilerini, kişisel veri kategorileri ve işleme amaçlarını, veri aktarımının yapılacağı ülke veya ülkeleri, bu kuralların hukuken bağlayıcı olduğunu ve veri koruma önlemlerini içermelidir. Ayrıca, ilgili kişilerin haklarının korunması, Türkiye’de yerleşik olmayan üyelerin ihlal durumunda sorumluluğu üstlenmesi, aydınlatma yükümlülüğü, çalışanların veri koruma eğitimi, başvuruların sonuçlandırılması, denetim ve doğrulama mekanizmaları, değişikliklerin raporlanması ve Kurul’a bildirilmesi, Kurum ile iş birliği ve ulusal düzenlemelere uygunluk taahhütlerini kapsar. Kurul, ek hususlar belirleyebilir ve başvuruda kullanılacak belgeleri belirler.

3.    Standart Sözleşmelerle Uygun Güvencenin Sağlanması

Veri kategorileri, veri aktarımının amaçları, alıcı grupları, teknik ve idari tedbirler ile özel nitelikli kişisel veriler için alınacak ek önlemleri içeren standart sözleşme ile uygun güvence sağlanabilir. Bu standart sözleşme, Kurul tarafından belirlenerek ilan edilir ve üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Sözleşmenin yabancı dilde de akdedilmesi halinde Türkçe metin esas alınır.  Kişisel veri aktarımının tarafları arasında akdedilen standart sözleşmenin, taraflarca veya yetkili kişilerce imzalanması gerekmektedir. Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilir. Standart sözleşme taraflarında veya içeriğinde değişiklik olması ya da sözleşmenin sona ermesi durumunda, Yönetmelik madde 14/5’te belirtilen usule uygun olarak Kurum’a bildirim yapılır. Kurulca ilan edilen standart sözleşmede değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun taahhütnameyle uygun güvence sağlanmasını düzenleyen 15 inci maddesi uyarınca Kurul tarafından inceleme yapılır.

Standart sözleşmeler, veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene, veri işleyenden veri sorumlusuna şeklinde dört farklı şekilde düzenlenmektedir.

4.   Taahhütnameyle Uygun Güvencenin Sağlanması

Taraflar arasında yapılacak yazılı bir taahhütnamede yer alacak kişisel verilerin korunmasına yönelik hükümlerle uygun güvence sağlanabilir. Taahhütnamede yer alması gereken hususlar Yönetmelik’te detaylıca belirtilmiştir. Kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulmalı, başvuru kapsamında taahhütname metni ve gerekli bilgi ve belgeler sunulmalıdır. Taahhütnamenin yabancı dilde de yapılması halinde Türkçe metin esas alınır ve Kurul’un izni alındıktan sonra veri aktarımına başlanır.

5.   İstisnai Aktarımlar

Kişisel veriler, yeterlilik kararı bulunmaması ve Yönetmelik 10. Maddesinde bahsedilen uygun güvenceler sağlanamaması durumunda, sadece belirli istisnai hallerde yurt dışına aktarılabilir. Arızi nitelikteki bu aktarımlar, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışında bulunmayan aktarımlardır. İstisnai haller;

     a)   İlgili kişinin bilgilendirilerek aktarıma açık rıza vermesi,

     b)   Aktarımın bir sözleşmenin ifası için zorunlu olması,

     c)   İlgili kişi yararına bir sözleşmenin kurulması veya ifası için zorunlu olması,

     d)   Üstün bir kamu yararı için zorunlu olması,

     e)   Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

    f)     Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

     g)   Kamuya veya meşru menfaati olan kişilere açık sicillerden veri aktarımı yapılmasıdır.

Sicil aktarımında, tüm kişisel veriler veya veri kategorileri aktarılmamalı ve sadece meşru menfaati olan kişilerin talepleri üzerine aktarım yapılmalıdır. İstisna hallerini sayan Yönetmelik 16. Maddesinin a,b ve c bentleri ise kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerine uygulanamazlar.

Sonuç

 

Yönetmelik, Kurum tarafından yayımlanan standart sözleşmeler ve yardımcı kılavuzlar kişisel verilerin yurtdışına aktarımını düzenleyen detaylı kuralları ve tavsiyeleri içermektedir. Bu düzenlemeler, veri sorumlularının ve işleyenlerin, kişisel verileri güvenli ve kanuna uygun bir şekilde aktarmalarını sağlamak amacıyla geliştirilmiştir.

Özellikle standart sözleşmeler ve bağlayıcı şirket kuralları gibi araçlar, veri aktarımı sırasında uyulması gereken prosedürleri, güvenlik önlemlerini ve bildirim yükümlülüklerini netleştirmektedir. Yönetmeliğin yürürlüğe girmesi ile birlikte, veri aktarım süreçlerinin daha şeffaf ve denetlenebilir hale geleceği söylenebilecektir.


[1] Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı,10.07.2024, (Çevrimiçi erişim: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/aaf0eeec-9599-4c68-8b7a-33039059ca41.pdf)

[2] Bağlayıcı Şirket Kuralları Hakkında Duyuru,10.07.2024, (Çevrimiçi erişim:  https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU)

TOP