ARTICLE
22 July 2024

Yurt Dışına Aktarım Yönetmeliği, Standart Sözleşmeler Ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Yayımlandı

GT
Gen Temizer

Contributor

Gen Temizer logo
Gen Temizer is a leading independent Turkish law firm located in Istanbul's financial centre. The Firm has an excellent track record of handling cross-border matters for clients and covers the full bandwidth of most complex transactions and litigation with its cross-departmental, multi-disciplinary and diverse team of over 30 lawyers. The Firm is deeply rooted in the local market with over 80 years of combined experience of the name partners while providing the highest global standards of legal services.
Explore
12 Mart 2024 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") yapılan değişikliklerin ardından 9 Mayıs 2024 tarihinde Kişisel Verileri Koruma Kurumu ("Kurum") tarafından Kişisel Verilerin...
Turkey Privacy
Photo of Ebru Temizer
Photo of Irmak Seymen Varat
Photo of Seray Apak
Photo of Efe Utku Çal
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

12 Mart 2024 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") yapılan değişikliklerin ardından 9 Mayıs 2024 tarihinde Kişisel Verileri Koruma Kurumu ("Kurum") tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı ("Yönetmelik Taslağı") yayımlanmıştı. Kurum'un 20 Mayıs 2024 tarihine kadar topladığı görüşler sonucunda Yönetmelik Taslağı'na nihai hali verilmiş olup 10 Temmuz 2024 tarihli Resmi Gazete'de Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik") yayımlanarak yayımlanma tarihi itibariyle yürürlüğe girmiştir.

Yönetmeliğin yayımlanmasının ardından aynı gün içerisinde Kişisel Verileri Koruma Kurumu tarafından Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına ilişkin dokümanlar 10 Temmuz 2024 tarihinde Kamuoyu Duyurusu ile Kurum'un internet sitesinde ilan edilmiştir.

Yönetmelik ile Düzenlenenler

Yönetmelik ile Yönetmelik Taslağı'na paralel şekilde, KVKK'da kişisel veri ve özel nitelikli kişisel veri işleme şartlarından bir tanesinin varlığının yanında üç seçenekten (yeterlilik kararının bulunması, uygun güvencelerin bulunması ve arızi olmak kaydıyla istisnai hallerin bulunması) birinin varlığı halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarımın gerçekleştirilebileceğini düzenlemektedir.

Yanı sıra, Yönetmelik Taslağı'ndan farklı olarak Yönetmelik ile getirilen düzenlemeler ile Standart Sözleşmelerin Kurum'a ibraz sürecine yönelik usullerde ilave düzenlemeler getirilmiştir. Yönetmelik ile yapılan düzenleme doğrultusunda, standart sözleşmesinin imzalanıp Kurum'a bildirilmesinin ardından içeriğinde değişikliğe gidilmesi halinde veya sona ermesi halinde yine Kurum'a bildirim yapılması gerekmektedir. Yönetmelik ile getirilen düzenlemeler aşağıdaki gibidir;

1. Yeterlilik kararının bulunması

Yönetmelik'in 8. maddesi uyarınca, Kişisel Verileri Koruma Kurulu ("Kurul"), bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı alınırken gözetilecek hususlar ise şunlardır:

  • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasındaki karşılıklılık,
  • Ülkenin ilgili mevzuatı ve uygulaması ile uluslararası kuruluşun tabi olduğu kurallar,
  • Ülkenin veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı,
  • Ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf olma veya kuruluşlara üye olma durumu,
  • Ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,
  • Türkiye'nin taraf olduğu uluslararası sözleşmeler.

Yönetmelik'in 9. maddesi ise yeterlilik kararının en geç dört yılda bir Kurul tarafından değerlendirileceğini düzenlemektedir. Yeterli düzeyde koruma sağlanmadığının tespiti halinde ise Kurul kararını ileriye etkili olacak şekilde değiştirebilir, askıya alabilir veya kaldırabilir.

2. Uygun güvencelerin bulunması

Yönetmelik ile yeterlilik kararının bulunmaması durumunda kişisel verilerin yurt dışına aktarılması metotları için alternatif bir yöntem olarak uygun güvencelerin bulunması durumu düzenlenmiştir. Buna göre bu üç şartın varlığı halinde yeterlilik kararı bulunmasa da yurt dışına veri aktarımı gerçekleştirilebilir:

  • KVKK'da yer alan kişisel veri ve özel nitelikli veri işleme şartlarından birinin varlığı,
  • İlgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması,
  • Uygun güvencelerden bir tanesinin bulunması.

a. Uluslararası sözleşme niteliğinde olmayan anlaşma

Türkiye'deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir.

Anlaşmanın müzakere sürecinde Kurul'un görüşüne başvurulacağı ve özellikle içermesi gereken hususlar Yönetmelik'in 11. maddesinde detaylıca açıklanmıştır. Anlaşmaya dayalı olarak veri aktarımının yapılabilmesi için veri aktaran tarafından Kurul'a izin başvurusunda bulunulması gerektiği ve aktarıma izinden sonra başlanması gerektiği düzenlenmiştir.

b. Bağlayıcı şirket kuralları

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu bağlayıcı şirket kuralları ("BŞK") ile uygun güvencenin sağlanabileceği Yönetmelik'in 12. maddesinde düzenlenmiştir. Anlaşmaya dayalı aktarımda olduğu gibi bu yöntemle veri aktarmak için de Kurul'un iznine ihtiyaç vardır. Ayrıca Kurul'a sunulacak yabancı dildeki belgelerin noter onaylı çevirilerinin de içermesi gereklidir.

BŞK onaylanırken özellikle şunlara dikkat edilecektir: (i) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması, (ii) ilgili kişiye haklarının kullanılabileceğine dair taahhütte bulunulması, (iii) asgari olarak belirtilen hususları içermesi. Asgari olarak BŞK'da bulunulması gereken kurallar ise Yönetmelik'in 13. maddesinde ayrıntılı olarak düzenlenmiştir.

Kurum tarafından 10 Temmuz 2024 tarihinde yayımlanan duyuru kapsamında, (i) veri sorumluları için BŞK başvuru formu, (ii) veri sorumluları için BŞK'da bulunması gereken temel hususlar – yardımcı kılavuz, (iii) veri işleyenler için BŞK başvuru formu ve (iv) veri işleyenler için BŞK'da bulunması gereken temel hususlar – yardımcı kılavuz yayımlanmıştır.

c. Standart sözleşme

Standart sözleşme imzalanarak yurt dışına veri aktarımı gerçekleştirme alternatifinin getirilmesi mehaz mevzuata uyum kapsamında önemli bir gelişmedir. Bu kapsamda, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren standart sözleşmeler ile uygun güvence sağlanabilmektedir.

Bu kapsamda, standart sözleşmenin (i) Türkçe versiyonunun Kurul'a sunulması, (ii) aktarım taraflarınca veya tarafları temsile yetkili kişilerce imzalanması, (iii) imzalanmasının ardından beş iş günü içerisinde Kurum'a bildirilmesi, (iv) içeriğinde değişikliğe gidilmesi halinde veya sona ermesi halinde yine Kurum'a bildirim yapılması gerekmektedir.

To read the full article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Ebru Temizer
Ebru Temizer
Photo of Irmak Seymen Varat
Irmak Seymen Varat
Photo of Seray Apak
Seray Apak
Photo of Efe Utku Çal
Efe Utku Çal
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More