ARTICLE
17 July 2024

Yurt Dışına Veri Aktarımlarında Yeni Dönem Başlıyor

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Explore
6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("Kanun") ilişkin değişiklikler 12 Mart 2024 tarihinde kabul edilmiş ("Kanun Değişikliği")...
Turkey Privacy
Photo of Can Sozer
Photo of Ecem Elver
Photo of Aybuke Gundel Solak
Photo of Başak Dadaş
Photo of Beril Kosegil
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

Yeni Gelişme

6698 sayılı Kişisel Verilerin Korunması Kanunu'na (“Kanun“) ilişkin değişiklikler 12 Mart 2024 tarihinde kabul edilmiş (“Kanun Değişikliği“), yurt dışına aktarım süreçlerine dair mevcut rejim değiştirilerek -standart sözleşme hükümleri başta olmak üzere- yeni mekanizmalar öngörülmüştü. Kişisel Verileri Koruma Kurumu (“Kurum“) tarafından yeni mekanizmaların nasıl işleyeceğine ilişkin hazırlanan, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik“) 10 Temmuz 2024 tarihli ve 32598 sayılı Resmi Gazete'de yayımlandı. Yönetmelik'in yayımlanmasını takiben, aynı gün, yeni getirilen standart sözleşmeler ile bağlayıcı şirket kurallarına ilişkin dokümanların nihai halleri de (“Nihai Metinler”) Kurum'un internet sitesinde duyuru yoluyla yayımlandı.

Yönetmelik'e  buradan, Nihai Metinler'e ise  buradan ulaşabilirsiniz. Ayrıca, Kanun Değişikliği'ne ilişkin detaylı bilgi edinmek için 12 Mart tarihli hukuk bültenimize  buradan ulaşabilirsiniz.

Yönetmelik Neler Getiriyor?

Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları içeren Yönetmelik'te özetle aşağıdaki hususlar düzenlenmektedir:

  • Yeterlilik Kararına Dayalı Aktarımlar: Kurum'un, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebileceği ve bu karar verilirken dikkate alınması gereken hususlar düzenlenmektedir. Ek olarak, yeterlilik kararının en geç dört yılda bir yeniden değerlendirileceği ifade edilmektedir.
  • Uygun Güvencelere Dayalı Aktarımlar: Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun'un 5 ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla uygun güvencelerden birinin sağlanması halinde yurt dışına aktarılabilmektedir. Söz konusu uygun güvencelere ilişkin olarak Yönetmelik ile getirilen düzenlemeler aşağıdaki gibidir:
    • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması: Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye'deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvencenin sağlanabileceği belirtilerek, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin hangi hususları içermesi gerektiği düzenlenmektedir.
    • Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması: Kanun Değişikliği'ne paralel olarak, Yönetmelik'te, bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri sorumlusu ve veri işleyenlerin Kurum'a onay başvurusunda bulunması gerektiği ve kişisel verilerin aktarımına, bağlayıcı şirket kurallarının Kurum tarafından onaylanmasını takiben başlanabileceği düzenlenmektedir. Ek olarak, Yönetmelik'in 13. maddesinde, bağlayıcı şirket kurallarının içermesi gereken asgari hususlar düzenlenmektedir.
    • Standart Sözleşme ile Uygun Güvencenin Sağlanması: Kanun Değişikliği uyarınca, standart sözleşmelerin, imza tarihinden itibaren beş iş günü içerisinde Kurum'a bildirilmesi gerekmektedir. Yönetmelik ile, aktarım taraflarınca standart sözleşme içerisinde, bildirim yükümlülüğünün kimin tarafından yerine getirileceğinin belirlenebileceği ve taraflarca belirlenmemesi halinde ilgili bildirimin veri aktaran tarafın gerçekleştirilmesi gerektiği düzenlenmektedir. Yönetmelik ile, ayrıca, standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde Kurum'a bildirim yapılması gerektiği ifade edilmektedir.
    • Taahhütname ile Uyun Güvencenin Sağlanması: Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için, Kanun Değişikliği öncesinde olduğu gibi, veri aktaran tarafından Kurum'a izin başvurusunda bulunulması gerekmektedir. Yönetmelik'in 15. maddesi ile, taahhütnamede yer verilmesi gereken kişisel verilerin korunmasına yönelik hususlar düzenlenmektedir.
  • İstisnai Aktarım Halleri: Kanun Değişikliği ile, veri sorumlularının açık rızaya dayalı olarak kişisel verileri yurt dışına aktarması ancak 1 Eylül 2024 tarihine kadar mümkün olup, bu tarihten sonraki aktarımlar yalnızca “arızi” olmaları halinde açık rızaya dayalı olarak gerçekleştirilebilecektir. Bu kapsamda, Yönetmelik'te, “arızi aktarım” ifadesi “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar” şeklinde tanımlanmaktadır. Yönetmelik'te, ayrıca, Kanun Değişikliği'nde sayılan istisnai aktarım halleri tekrar edilmektedir.

Yönetmelik yayımı tarihinde yürürlüğe girmiştir.

Standart Sözleşme Hükümleri ve Bağlayıcı Şirket Kurallarına İlişkin Metinler Neler Getiriyor?

Kurum, Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (“GDPR“) uyumlu şekilde (i) veri sorumlusundan veri sorumlusuna, (ii) veri sorumlusundan veri işleyene, (iii) veri işleyenden veri işleyene, (iv) veri işleyenden veri sorumlusuna gerçekleştirilecek aktarımlar için olmak üzere 4 tip standart sözleşme hükümleri (“SSH“) yayımlamıştır. Kurum tarafından yayımlanan SSH metinleri ile GDPR kapsamında yayımlanan SSH metinleri büyük oranda paralel olmakla birlikte, Kurum tarafından yayımlanan SSH metinlerinin, genellikle Kanun'un mevcut hali ile GDPR arasındaki farklar dolayısıyla (örneğin, veri ihlallerin ilgili veri koruma otoritelerine bildirimi, şeffaflık yükümlülükleri bakımından tanınan istisnalar vb.), GDPR kapsamında yayımlanan SSH metinlerinden ayrışan noktaları olduğu görülmektedir. Bunun haricinde, GDPR kapsamında yayımlanan SSH metinlerinden farklı olarak, Kurum tarafından yayımlanan SSH metinlerinde dikkat çeken hususlardan biri standart sözleşmelerin yalnızca bir veri aktaran ile bir veri alıcısı arasında imzalanabilecek şekilde düzenlenmiş olması ve birden fazla veri aktaran ve/veya veri alıcısının sözleşmeye taraf olmasına imkan tanıyan hükümlere yer verilmemesidir.

Benzer şekilde, Kurum, GDPR kapsamında yayımlanan metinler ile büyük oranda paralel olacak şekilde, veri sorumluları ve veri işleyenlerin grup içi aktarımlarına ilişkin olarak, ikişer tip bağlayıcı şirket kuralları (“BŞK“) başvuru formu ve BŞK'de bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar yayımlamıştır.

Sonuç

Kanun Değişikliği 1 Haziran 2024 tarihi itibari ile yürürlüğe girmiş olmakla beraber, öngörülen geçiş süreci kapsamında veri sorumlularının, 1 Eylül 2024 tarihine kadar Kanun'un 9. Maddesinin 1. fıkrası uyarınca açık rızaya dayalı olarak yurt dışına aktarım faaliyetlerini sürdürmeleri mümkündür. Bununla beraber, veri sorumluları ve veri işleyenlerin, yayımlanan Yönetmelik ve Nihai Metinler uyarınca yurt dışına aktarım süreçlerini gözden geçirmeleri ve kendilerine uygun aktarım mekanizmasını belirleyerek belirtilen tarihe kadar uyum süreçlerini tamamlamaları gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Can Sozer
Can Sozer
Photo of Ecem Elver
Ecem Elver
Photo of Aybuke Gundel Solak
Aybuke Gundel Solak
Photo of Başak Dadaş
Başak Dadaş
Photo of Beril Kosegil
Beril Kosegil
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More