ARTICLE
11 July 2024

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

EP
Esenyel Partners

Contributor

Esenyel Partners logo
Explore
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik"), 10 Temmuz 2024 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.
Turkey Privacy
Photo of Selçuk Esenyel
Photo of M. Türker Yıldırım
Photo of Hande Ertuğrul Uyğun
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”), 10 Temmuz 2024 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Yönetmelik, kişisel verilerin yurt dışına transferi ile ilgili usul ve esasları düzenlemek amacıyla hazırlanmıştır. 

Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Yönetmelik'te öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin aktarımı Kişisel Verilerin Korunması Kanunu'nun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve Yönetmelik'le birlikte eklenen aşağıda belirtilen hâllerden birinin gerçekleştiği durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir: 

  • Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması. 
  • Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması. 

İşbu Yönetmeliğe göre; yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecek; yeniden değerlendirme dönemleri açıkça belirlenecek ve Kişisel Verileri Koruma Kurulu'nun (“Kurul”), yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirecek, askıya alacak veya kaldıracaktır. Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin olarak verilen kararlar Resmî Gazete'de ve Kurum'un internet sitesinde yayımlanacağı düzenlenmiştir. 

Yeterlilik Kararına Dayalı Aktarımlar

Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecektir. Kurul tarafından verilen yeterlilik kararları Resmî Gazete ‘de ve Kurum'un internet sitesinde yayımlanacaktır.

Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınacaktır: 

  • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. 
  • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. 
  • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. 
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. 
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. 
  • Türkiye'nin taraf olduğu uluslararası sözleşmeler. 

Uygun Güvencelere Dayalı Aktarımlar

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun'un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilecektir:

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • Geçerli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

  • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar

Yönetmeliğin 11. maddesindeki düzenlemelere göre, kişisel veri aktarımının tarafları arasında akdedilecek bir uluslararası sözleşme niteliğinde olmayan anlaşmada yer alacak kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye'deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanması söz konusu olabilecektir.

Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma'ya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için ilk olarak anlaşmanın müzakere sürecinde Kurul'un görüşüne başvurulması gerekmektedir. Anlaşma metninin nihai hali tamamlandığında ise Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler ile veri aktaran tarafından Kurula izin başvurusunda bulunulacak, kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanacaktır.

  • Bağlayıcı Şirket Kuralları

Kişisel Verileri Koruma Kurulu, Kanun değişikliği ile ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin, uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik Bağlayıcı Şirket Kurallar vasıtasıyla uygun güvence sağlanabileceği belirtilerek Bağlayıcı Şirket Kurallar için kanuni bir zemin oluşturulmuştur. Veri sorumluları ve veri işleyenler için Bağlayıcı Şirket Kuralları başvuru süreçleri, her iki grup için de özelleştirilmiş detaylı başvuru formları ile yürütülmelidir. Hem Veri Sorumluları için Bağlayıcı Şirket Kuralları hem de Veri İşleyenler için Bağlayıcı Şirket Kuralları başvuruları için hazırlanan formlarda, aktarılması öngörülen kişisel verilerin niteliği, veri kategorileri, veri işleme ve aktarımlarının amaçları ve etkilenen ilgili kişi kategorileri gibi bilgiler detaylı bir şekilde açıklanmalıdır. 

  • Standart Sözleşmeler 

Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin, veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarılmak suretiyle yurt dışına aktarılmasında kullanılacak taslak standart sözleşmeler hazırlanmıştır. Hazırlanan sözleşmeler, veri kategorileri, veri aktarımının amaçları, tarafların yükümlülükleri, aktarımın detayları ve alınacak teknik ve idari tedbirler ile özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içermektedir. Ayrıca, standart sözleşmede herhangi bir değişiklik yapılmaksızın kullanılması, yabancı dilde de akdedilmesi halinde Türkçe metnin esas alınması gerektiği belirtilmiştir.

  • Taahhütname : 

Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda, kişisel verilerin ilgili kişinin açık rızası bulunmaksızın yurt dışına aktarılabilmesi için, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un iznine sunması gerektiği belirtilmiştir. Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik detaylar Yönetmelik'in 15. maddesinde belirtilmiştir.

İstisnai Aktarımlar

Kanun değişikliği ile kişisel verilerin, yeterlilik kararının bulunmaması ve yukarıda detaylarına yer verilen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece istisnai aktarım hallerinden birinin varlığı halinde yurt dışına aktarılabileceği düzenlenmiştir. 

Yönetmelik kapsamında arızi aktarımlar, düzenli olmayan, tek veya birkaç seferliğine gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak tanımlanmıştır. Bu tanım doğrultusunda veri sorumluları ve veri işleyenler tarafından öncelikli olarak genel kurallara uygun olarak kişisel verilerin yurt dışına aktarılması, bunun mümkün olmaması hâlinde arızi olarak veri aktarımı yapılması gerekmektedir. İstisnai aktarım halleri Kanun'da belirtildiği gibi Yönetmelikte de belirtilmiştir. 

Belirtmek gerekir ki, Yönetmelikte ilgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi istisnai hal olarak sayıldığından, Kanun değişikliği öncesinde olduğu gibi açık rızaya bağlı kalınması ortadan kaldırılmış, yurt dışı aktarımlarında açık rızaya yalnızca istisnai olarak dayanılması öngörülmüştür. 

  • 10.07.2024 tarihli ve 32598 sayılı Resmi Gazete'ye buradan, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik'e ise buradan erişmeniz mümkündür.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Selçuk Esenyel
Selçuk Esenyel
Photo of M. Türker Yıldırım
M. Türker Yıldırım
Photo of Hande Ertuğrul Uyğun
Hande Ertuğrul Uyğun
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More