Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik Yayınlandı

A. GİRİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (“KVK Kanunu”) bir süredir beklenen ve ihtiyaç duyulan değişiklikleri içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“7499 sayılı Kanun”), 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayınlanmıştı. Değişiklik Kanunu ile özel nitelikli kişisel verilerin işlenme şartları, yurtdışına veri aktarımı ve Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına itirazda görevli mahkeme konularında önemli değişiklikler getirilmiş ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyum sağlanmaya çalışılmıştır.

7499 sayılı Kanun m. 34 ile, KVK Kanunu'nun yurtdışına veri aktarımını düzenleyen 9'uncu maddesinde esaslı değişikliklere gidilmiş ve maddenin yeni halinin uygulanmasına ilişkin usul ve esasların daha sonra çıkarılacak bir yönetmelik ile düzenleneceği belirtilmiştir. Bu kapsamda Kurul tarafından hazırlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”), 10 Temmuz 2024 tarih ve 32598 sayılı Resmî Gazete'de yayınlanarak yürürlüğe girmiştir.

B.  YURTDIŞINA AKTARIMA İLİŞKİN DEĞİŞİKLİKLERE GENEL BAKIŞ

KVK Kanunu m. 9'un ilk halinde, kişisel verilerin yurtdışına aktarımı için (i) ilgili kişinin açık rızasının bulunması ya da (ii) KVK Kanunu m. 5/2 ve n. 6/3'te sayılan istisnalardan birinin bulunması ve aktarım yapılacak ülkenin Kurul tarafından güvenli kabul edilen ülkelerden olması, güvenli kabul edilen ülkelerden değilse aktarıma Kurul tarafın izin verilmesi şartlarından birinin karşılanması aranmaktaydı. Ancak Kurul tarafından güvenli ülkelerin yayımlanmaması ve Kuruldan izin sürecinin uzun ve zahmetli olması, kişisel verilerin ilgili kişinin açık rızası alınmaksızın yurt dışına aktarımını neredeyse imkânsız hale getirmişti. 7499 sayılı Kanun, bu durumun ticari hayatta yarattığı sıkıntıların giderilmesi amacıyla KVK Kanunu m. 9'da yurt dışına aktarımı kolaylaştırıcı nitelikte önemli değişiklikler getirmiştir.

KVK Kanunu m. 9'un 7499 sayılı Kanun ile değişikliğe uğrayan son versiyonuna göre aşağıda sayılan hallerden birine dayalı olarak kişisel veriler yurt dışına aktarılabilecektir:

1. Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul tarafından verilmiş yeterlilik kararının bulunması,
2. Aşağıda saylan uygun güvencelerden birinin sağlanması,
   • Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
   • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, Kurul tarafından onaylanan bağlayıcı şirket kurallarının kabul edilmesi,
   • Kurul tarafından ilan edilen standart sözleşmenin imzalanması,
   • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi,
3. Yurt dışına veri aktarımının geçici olarak tek veya birkaç sefere özgü olmak üzere kanunda belirtilen şartlarla aktarılması.

Yönetmelik, yurtdışına kişisel veri aktarıma ilişkin söz konusu hükümlerin uygulanmasını açıklayıcı nitelikte detaylı düzenlemeler öngörmüştür.

C.  YURT DIŞINA AKTARIM HAKKINDA YÖNETMELİK DÜZENLEMELERİ

Yönetmelik'in 6'ıncı maddesinde, yurtdışına aktarım usulleri, KVK m. 9'a paralel olarak (i) Yeterlilik Kararına Dayalı Aktarım, (ii) Uygun Güvencelere Dayalı Aktarımlar ve (iii) İstisnai Aktarımlar olmak üzere üçe ayrılmış ve sonraki (m. 8 ve devamı) maddelerde her bir usule ilişkin ayrıntılı düzenlemelere yer verilmiştir.

Bu düzenlemelerin ayrıntılarına geçmeden önce belirtelim ki yeterlilik kararına dayalı aktarım ve uygun güvencelere dayalı aktarım halleri için ön şart olarak KVK Kanunu'nun 5'inci ve 6'ıncı maddelerinde belirtilen şartlardan birinin varlığı gereklidir. KVK Kanunu'nun 5'inci ve 6'ıncı maddeleri, kişisel verilerin ve özel nitelikli kişisel verilerin genel işlenme şartlarını düzenlemektedir. Yurt dışına aktarım da bir veri işleme faaliyeti olduğu için bu aktarımın da temel veri işleme şartlarına uygun olması gereklidir.

1.  Yeterlilik Kararına Dayalı Aktarım

KVK Kanunu m. 9/1 ve Yönetmelik m. 8 uyarınca Kurul, eski düzenlemede yer alan güvenli ülke uygulamasından farklı olarak yeterlilik kararını yalnızca ülkeler hakkında değil, ülke içerisinde bir veya birden fazla sektör ya da uluslararası kuruluş hakkında da verilebilecektir. Böylece aktarım yapılacak ülke hakkında yeterlilik kararı bulunmaması durumunda sadece o ülke içerisindeki bir veya birden fazla sektör hakkında yeterlilik kararı verilebilmesi imkânı getirilmiş ve maddenin kapsamı genişletilmiştir.

7499 sayılı Kanun öncesi dönemde Kurul tarafından güvenli ülke listesinin hiç ilan edilmemiş olması, bu veri aktarım haline dayalı olarak yurt dışına veri aktarılmasına imkân vermemiştir. KVK Kanunu m. 9'un yeni halinde de yeterlilik kararının belirli bir süre içerisinde alınması konusunda Kurula bir yükümlülük getirilmemiş, ancak yeterlilik kararının en geç dört yılda bir değerlendirileceği belirtilmiştir (m. 9). Yönetmelik de bu konuda büyük ölçüde KVK Kanunu m. 9 tekrar etmiştir. Değişiklikten önceki dönemde güvenli ülke listesinin açıklanmamasının yarattığı sorunların kısmen de olsa tekrar etmemesi adına, Türkiye'deki ticari hayat açısından önem arz eden belirli başlı ülkeler, sektörler ve uluslararası kuruluşlar hakkında yeterlilik kararının kısa sürede açıklanması önemli olacaktır.

2.  Uygun Güvencelere Dayalı Aktarımlar

Yukarıda da belirtildiği üzere yeterlilik kararının bulunmadığı durumlarda, m. 9/4'te sayılan uygun güvencelerden herhangi birine dayalı olarak kişisel verilerin yurt dışına aktarılmasına izin verilmiştir. Yönetmelik, KVK Kanunu m. 9/4'te belirtilen bu hallerin uygulanmasının detaylarını düzenlemiştir.

2.1.  Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma

Uygun güvencelere dayalı aktarım hallerinden ilki, Türkiye'deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak uluslararası sözleşme niteliğinde olmayan anlaşmalar ile uygun güvencelerin sağlanmasıdır (KVK Kanunu m. 9/4(a) ve Yönetmelik m. 11). Uluslararası sözleşme niteliğinde olmayan anlaşmaya dayalı olarak yurt dışına aktarım yapılabilmesi için anlaşmanın müzakere sürecince Kurulun görüşü alınması ve veri aktaran tarafından anlaşmanın imzalanmasının ardından Kurula izin başvurusu yapılması gerekmektedir. Anlaşmada yer verilecek hususlar, Yönetmelik m. 11/3'te detaylıca düzenlenmiştir.

2.2.  Bağlayıcı Şirket Kurallarının Varlığı

Bağlayıcı şirket kuralları, çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan metinlerdir. 7499 sayılı Kanun öncesi dönemde Kurul, yayınlamış olduğu bir duyuru metni ile her ne kadar KVK Kanunu'nda düzenlenmemiş olsa da uygulama pratikliği sağlayabilmek için bağlayıcı şirket kurallarının yurtdışına veri aktarımı yöntemlerinden biri olarak kullanılmasını kabul etmiştir.¹ Bu kapsamda Kurul tarafından Başvuru Formu ve Bağlayıcı Şirket Kuralları Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman hazırlanarak kamuoyu ile paylaşılmıştır.

7499 sayılı Kanun ile yapılan değişiklikle, bağlayıcı şirket kuralları, uygun güvenceye dayalı aktarım hallerinden biri olarak kanuni düzenlemeye kavuşmuştur (KVK Kanunu m. 9/4(b)). Buna göre ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilecektir.

Bağlayıcı şirket kurallarının Kurul'un onayına sunulması ve Kurul tarafından onaylanması gerekmektedir. Yurtdışına veri aktarımı ancak bağlayıcı şirket kurallarının Kurul tarafından onaylanmasının ardından gerçekleştirilebilecektir (Yönetmelik m. 12/4). Diğer bir anlatımla Kurul tarafından onaylanmış bağlayıcı şirket kurallarının varlığı halinde, çok uluslu bir şirketler topluluğunun Türkiye'deki şirketlerinden yabancı ülkedeki şirketlerine kişisel veri aktarımı, Kuruldan başkaca bir izin alınmaksızın gerçekleştirilebilecektir. Bağlayıcı şirket kurallarının asgari içeriği Yönetmelik'in 13'üncü maddesinde detaylı şekilde düzenlenmiştir. Ayrıca Kurul, Yönetmelik'in Resmi Gazete'de yayımlandığı gün kendi internet sitesinde, veri sorumluları ve veri işleyenler açısından bağlayıcı şirket kuralları başvuru formları ile bu kurallarda bulunması gereken temel hususlar hakkındaki yardımcı kılavuzları yayımlamıştır².

2.3.  Standart Sözleşmeyle Uygun Güvencenin Sağlanması

7499 sayılı Kanun ile yurt dışına veri aktarımı konusunda yapılan en önemli yeniliklerin başında, Kurul tarafından yayımlanan standart sözleşmeye dayalı olarak yurt dışına veri aktarımı yapılmasına izin verilmesi gelmektedir. GDPR'da tanınan bu usul, AB ülkelerinde en yoğun uygulaması olan veri aktarım yöntemlerinden birini oluşturmaktadır. 7499 sayılı Kanun'un GDPR ile uyumlu olarak getirdiği bu imkânın, ticari hayatın gerektirdiği meşru veri aktarımlarının yapılmasını kolaylaştırması beklenmektedir.

Yönetmelik m. 14'de detayları düzenlenen bu usulde, Kurulun ilan ettiği standart sözleşme metni kullanılarak başkaca bir izin/ön onay alınmaksızın yurtdışına veri aktarımı gerçekleştirilebilecektir. Her ne kadar Kurulun ön onayı/izni standart sözleşmelere dayalı aktarımda şart olarak öngörülmemişse de standart sözleşmenin imzalanmasının ardından beş iş günü içerisinde Kişisel Verileri Koruma Kurumu'na (“Kurum”) bildirim yapma yükümlülüğü getirilmiştir (KVK Kanunu m. 5, Yönetmelik m. 14/5). Bildirim yükümlülüğüne uyulmamasının yaptırımı, 9'uncu maddeye eklenen 5'inci fıkrada öngörülmüştür. Bu fıkraya göre bildirim yükümlülüğünü yerine getirmeyenler 50.000-TL'den 1.000.000-TL'ye kadar idari para cezası yaptırımı ile karşı karşıya kalabileceklerdir. Benzer şekilde standart sözleşme imzalandıktan sonra, sözleşme taraflarının değişmesi, sözleşme içeriğinin taraflarca değiştirilmesi ve sözleşmenin sonlandırılması durumlarının da ayrıca Kuruma bildirilmesi gerekmektedir (Yönetmelik m. 14/8).

Kurul, 10.07.2024 tarihinde “Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu” ile daha önce kamuoyu ile paylaşılan bağlayıcı şirket kuralları ve standart sözleşme metinlerini nihai hale getirmiştir. Veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarımda kullanılacak dört farklı standart sözleşme kamuoyu ile paylaşılmıştır³.

2.4.  Taahhütnameyle Uygun Güvencenin Sağlanması

KVK Kanun m. 9'un ilk halinde mevcut olan taahhütname usulü, 7499 sayılı Kanun ile yeniden düzenlenerek muhafaza edilmiştir. Buna göre kişisel verilerin korunmasına yönelik uygun güvenceler içeren hükümler içeren yazılı bir taahhütnamenin varlığı halinde Kuruldan izin alınması şartıyla yurt dışına veri aktarımı yapılabilecektir. Kurulun başvuru sonucu taahhütnameyi uygun bulması ve izin vermesi halinde yurt dışına veri aktarımı gerçekleştirilebilir. Taahhütnameye dayalı aktarım eski düzenleme döneminde de mevcut olmakla beraber Kurul tarafından verilen izinlerin sınırlı sayıda olduğu ve uygulamada pek sık tercih edilmediği ifade edilmelidir. 

3.  İstisnai Aktarımlar

7499 sayılı Kanun ile getirilen bir diğer önemli yenilik ise düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan istisnai hallerde veri aktarımının düzenlenmesidir. Buna göre kişisel veriler, yeterlilik kararı ve uygun güvencelerin bulunmadığı hallerde istisnai olmak kaydıyla belirlenen şartlar altında yurtdışına aktarılabilecektir. Değişiklik gerekçesinde istisnai aktarıma örnek olarak “Türkiye'deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması” verilmiştir.

Yönetmelik m. 16'de sayılan istisnai aktarım hâlleri şunlardır:

1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
4. Aktarımın üstün bir kamu yararı için zorunlu olması,
5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

Görüldüğü üzere açık rızaya dayalı aktarım, yalnızca istisnai hallerde ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla mümkün kılınmıştır. Bu şekilde 7499 sayılı Kanun ile, açık rızaya dayalı genel aktarım serbestisinden, istisnai hallerde açık rızaya dayalı aktarım serbestisine önemli bir geçiş yapılmıştır.

Ayrıca uygun güvencelerin ve yeterlilik kararının bulunmaması halinde başvurulacak olan istisnai hallere ilişkin düzenlemenin, dar şekilde yorumlanması beklenmektedir. İstisnai hallere ilişkin düzenlemeye ilişkin düzenleme Kurul kararları ile netlik kazanacaktır.

D. SONUÇ

7499 sayılı Kanun ile yurt dışına kişisel veri aktarımı prosedüründe önemli değişikler getirilmiş olup, bu değişikliklerin uygulanmasına ilişkin usul ve esaslar Yönetmelik ile düzenlenmiştir.

KVK Kanunu'na eklenen geçici 3'üncü madde uyarınca 9'uncu maddenin ilk halinin birinci fıkrası, maddenin değişik haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya devam edilecektir. Bu itibarla 01.09.2024 tarihine kadar yurtdışına aktarıma ilişkin eski düzenlemeler ile 7499 sayılı Kanun ile getirilen yeni düzenlemeler beraber uygulanmaya devam edecektir. Bu tarihten sonra ise yurt dışına veri aktarımının, 7499 sayılı Kanun ve Yönetmelik hükümlerine uygunluğu aranacaktır. Bu kapsamda halihazırda yurt dışına veri aktarımı gerçekleştiren veri sorumlularının aktarım usullerini gözden geçirmesi, aydınlatma ve açık rıza metinlerinin revize edilmesi başta olmak üzere uyumluluk adına çeşitli adımlar atması gerekecektir.

Yapılan değişiklikler ile yurt dışına aktarım konusunda uygulama karşılaşılan sorunlara çözüm üretmesi amaçlanmış olup, yurt dışına veri aktarımına ilişkin hükümler GDPR ile uyumlu hale getirilmiştir. Yeni düzenleme kapsamında yeterlilik kararı, uygun güvenceler ve istisnai haller olmak üzere üç farklı veri aktarım mekanizması düzenlenmiştir. Uygun güvencelere dayalı aktarım hali olarak düzenlenen standart sözleşmeye ve bağlayıcı şirket kurallarına dayalı aktarım usullerinin, uygulamada daha sıklıkla tercih edileceği tahmin edilmektedir.

Footnotes

1. Bkz. https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET- KURALLARI-HAKKINDA-DUYURU (Erişim Tarihi: 10.07.2024).

2. Bkz.     https://kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar- Hakkinda- Kamuoyu-Duyurusu (Erişim Tarihi: 10.07.2024).

3. Bkz: https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar- Hakkinda-Kamuoyu-Duyurusu (Erişim Tarihi: 10.07.2024).

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.