Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik"), 10 Temmuz 2024 tarihinde Resmi Gazete'de yayımlandı. Ayrıca, Kişisel Verileri Koruma Kurulu ("Kurul") tarafından kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar da ilan edilmiştir.
Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve veri sorumlusunun olağan faaliyet akışı içinde bulunmayan aktarımlar hariç tüm yurt dışı veri aktarımları için, veri sorumluları ve veri işleyenler 1 Eylül 2024 tarihine kadar Yönetmelik'te düzenlenen uygun güvencelerden birini temin etmelidir.
Veri sorumluları ve veri işleyenler tarafından sağlanabilecek uygun güvenceler aşağıdaki gibidir:
- Bağlayıcı Şirket Kuralları: Çok uluslu şirketler topluluğunun bir parçası olan veri sorumluları, yayımlanan yeni kılavuzlara uygun olarak grup içi veri aktarımlarına ilişkin bağlayıcı şirket kuralları hazırlayabilir ve Kurul'un onayına sunabilir. Kurul tarafından onaylanan bağlayıcı şirket kuralları çerçevesinde yurt dışında bulunan hakim şirket ve iştiraklerine veri aktarımı yapılabilecektir.
- Taahhütname: Veri aktaran ve veri alan taraflarca Yönetmelik'e uygun olarak kişisel veriler bakımından yeterli koruma sağlayan yazılı bir taahhütname hazırlanabilir ve Kurul'un izni için başvuru yapılabilir. Kurul tarafından izin verilen bir taahhütnamenin varlığı halinde taahhütnameye taraf olan kişilere veri aktarımı yapılabilecektir.
- Standart Sözleşmeler: Kurul tarafından ilan edilen ve ilgili aktarıma uygun standart sözleşme metni veri aktaran ve veri alan taraflarca imzalanabilir. Veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri sorumlusuna ve son olarak veri işleyenden veri işleyenlere yapılacak aktarımlar bakımından 4 farklı örnek metin Kurul tarafından hazırlanmış ve ilan edilmiştir. Standart sözleşmelerde Kurul'un hazırladığı metinlerde izin verilen haller dışında değişiklik yapılmaması ve imzalanacak standart sözleşmelerin (imzaya yetkili kişilerin yetkilerini gösteren belgeler ve bu belgelerin noter onaylı Türkçe tercümeleri ile) imza tarihinden itibaren 5 iş günü içerisinde bildirilmesi gerekecektir. Bu güvenceyi sağlayarak yurt dışı aktarımlarına devam etmek isteyen veri sorumluları ve veri işleyenlerin kimlerin taraf olacağını, veri aktaran ve veri alanın aktarılan kişisel verilere ilişkin faaliyetlerini, ilgili kişi gruplarını, aktarılan kişisel verilerin kapsamını, aktarımların hukuki nedenlerini, aktarım sıklığını, işleme faaliyetinin niteliğini, aktarım ve devamında gerçekleştirilecek işleme faaliyetlerinin amaçlarını, saklama sürelerini, alıcı gruplarını ve veri aktaranın varsa Veri Sorumluları Sicili bilgilerini her bir ilgili sözleşmede belirtmesi gerekmektedir.
Yurt dışı aktarılan kişisel verilere ilişkin sonraki aktarımlar bakımından da yukarıdaki güvencelerden en az biri sağlanmalıdır.
1 Eylül 2024 tarihine kadar gerekli güvenceleri temin edemeyen veri sorumluları açısından 141.934 TL'den 9.463.213 TL'ye kadar idari para cezası uygulanabileceği gibi, standart sözleşmelerin imza tarihinden itibaren 5 iş günü içerisinde bildirimin yapılmaması durumunda hem veri sorumluları hem de veri işleyenler açısından bildirilmeyen her sözleşme için 50.000 TL'den 1.000.000 TL'ye kadar idari para cezası uygulanabilecektir. İdari para cezaları her yıl yeniden değerleme oranı uyarınca artırılacaktır.
Özellikle yurt dışında bulunan veri sorumlularına yapılacak aktarımlar açısından yurt dışında bulunan ilgili veri sorumlusunun Veri Sorumluları Sicili'ne kaydolup kaydolmadığının da kontrol edilmesi ve henüz kayıt yapılmamışsa bu kayıtların da en kısa süre içerisinde tamamlanması son derece önemlidir.
Herhangi bir sorunuz ya da yardımcı olabileceğimiz herhangi bir husus olması durumunda, bize her zaman ulaşabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.