Kişisel Verilerin Korunması Kanunu'nun ("KVKK") yurt dışına veri aktarımına ilişkin 9. maddesinin uygulanmasına yönelik usul ve esasları düzenleyen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik") 10 Temmuz 2024 tarihli Resmi Gazete'de yayımlanmıştır. Yönetmelik, temel olarak, kişisel verilerin yurt dışına aktarımında veri sorumlusu ve veri işleyenin yükümlülükleri ile kişisel verilerin yurt dışına aktarım usullerini düzenlemektedir.
Yönetmelik, yurt dışına veri aktarımının ancak KVKK'da ve Yönetmelik'te öngörülen usul ve esaslara uygun olarak gerçekleştirilebileceğini öngörmektedir. Yurt dışına aktarılan kişisel verilerin, sonradan farklı bir üçüncü ülkeye aktarımı Yönetmelik'te ayrıca ele alınmış olup, bu tarz bir aktarımın da Yönetmelik'e uygun olarak yapılması hüküm altına alınmıştır.
Yönetmelik uyarınca kişisel veriler, (i) Kişisel Verileri Koruma Kurulu'nun ("Kurul") yeterlilik kararının bulunması, (ii) yeterlilik kararının bulunmadığı durumda uygun güvencelerin aktarım taraflarınca sağlanması veya (iii) uygun güvencenin sağlanamadığı durumlarda arızi olmak kaydıyla istisnai durumların varlığı halinde yurt dışına aktarılabilecektir.
I. Yeterlilik Kararına Dayalı Aktarım
Kişisel veriler, KVKK'nın 5. veya 6. maddesinde belirtilen hukuka uygunluk sebeplerinden birinin varlığı halinde Kurul tarafından verilen yeterlilik kararına dayanılarak yurt dışına aktarılabilecektir. Yeterlilik kararı, Kurul tarafından veri aktarımı yapılacak ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında verilebilir ve Resmi Gazete ile Kişisel Verileri Koruma Kurumu'nun internet sitesinde yayımlanır. Yönetmelik'te Kurul'un yeterlilik kararı verirken dikkate alacağı asgari unsurlar düzenlenmiştir.
Kurul'un vereceği yeterlilik kararları belirli periyotlarla gözden geçirilecek olup, yeniden değerlendirme dönemi, yeterlilik kararında açıkça belirtilecektir. Yönetmelik uyarınca, yeniden değerlendirme dönemi dört yılı aşamaz; ancak Kurul belirlenen yeniden değerlendirme dönemiyle bağlı olmaksızın gerekli gördüğü takdirde yeterlilik kararını değerlendirebilir, ileriye dönük olarak değiştirebilir, askıya alabilir veya kaldırabilir.
II. Uygun Güvenceye Dayalı Aktarım
Yeterlilik kararı bulunmadığı durumlarda, kişisel veriler (i) KVKK'nın 5. ve 6. maddelerinde belirtilen hukuka uygunluk sebeplerinden birinin varlığı, (ii) aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yoluna başvurma imkânının mevcut olması ve (iii) Yönetmelik ile belirlenen uygun güvencelerden birinin varlığı halinde yurt dışına aktarılabilir. Yönetmelik'te uygun güvence yöntemleri aşağıdaki şekilde belirlenmiştir:
- Türkiye ile aktarım yapılacak ülkenin kamu kurum ve kuruluşları, uluslararası kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan bir anlaşma olması ve Kurul'un izni
Uluslararası sözleşme niteliğinde olmayan anlaşma, aktarım tarafları arasında imzalanacak ve Kurul'un onayı alınacaktır. Yönetmelik'te anlaşmanın içeriğinde olması gereken asgari unsurlar düzenlenmiştir. Kişisel veri aktarımına, anlaşmanın yapılması ile değil, Kurul tarafından anlaşmaya izin verilmesi ile başlanır. İzin başvurusu, veri aktaran tarafından yapılır.
- Ortak ekonomik faaliyette bulunan teşebbüs bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler içeren ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı
Ortak ekonomik faaliyette bulunan teşebbüs bünyesindeki şirketler, yurt dışına aktarım faaliyetlerinde kişisel verilerin korunmasına yönelik kurallar belirleyebilir. Bağlayıcı şirket kurallarının asgari olarak hangi unsurları içermesi gerektiği Yönetmelik ile belirlenmiştir. Kurul, bağlayıcı şirket kurallarının içeriğini değerlendirmeye, bu kuralların uygun güvenceyi sağlayıp sağlamadığına yönelik değerlendirme yapmaya ve aktarıma onay vermeye yetkilidir. Kişisel veri aktarımına, Kurul'un bağlayıcı şirket kurallarını onaylamasıyla başlanır.
- Aktarım tarafları arasında Kurul tarafından yayınlanan standart sözleşmenin imzalanması ve bu sözleşmenin beş iş günü içerisinde Kurul'a bildirilmesi
Aktarım tarafları, kişisel verileri Kurul tarafından ilan edilen standart sözleşmeleri imzalayarak yurt dışına aktarabilir. Standart sözleşmeler, imzalanmasından itibaren beş iş günü içerisinde fiziki olarak, KEP adresi üzerinden ya da Kurul tarafından belirlenen diğer yöntemlerle veri aktaran tarafça Kurul'a bildirilir. Standart sözleşme ile bildirimin veri alıcısı tarafından gerçekleştirilmesi kararlaştırılabilir. Bildirimin süresi içerisinde gerçekleştirilmemesi halinde 50.000 TL ile 1.000.000 TL arasında idari para cezası yaptırımı 3
öngörülmüştür. Kurul'un, aktarım taraflarının veri sorumlusu veya veri işleyen olduğunu gözeterek farklı kategoride standart sözleşmeler yayınlayacağı öngörülmektedir. Böylelikle taraflar, aktarım yapılarına uygun olan standart sözleşmeyi imzalayarak ilerleyebilir. Ancak Yönetmelik, aktarım taraflarının standart sözleşmeler üzerinde herhangi bir değişiklik yapmasına izin vermemektedir. Aktarım tarafları, standart sözleşmelerin ekinde yer alan bilgileri doldurarak sözleşmeyi imzalayacak ve Kurul'un onayına sunacaktır.
- Aktarım tarafları arasında, standart sözleşme imzalanmaksızın, veri aktarımına yönelik yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhüt imzalanması ve Kurul'un izninin alınması
Taraflar, yurt dışına veri aktarımında kişisel verilerin korunması ve uygun güvence sağlanmasına yönelik serbestçe tasarruf edebilecekleri taahhütname imzalayabilir ve bu taahhütnameye yönelik Kurul'un onayını alarak veri aktarımını gerçekleştirebilir. Yönetmelik, taahhütnamede bulunması gereken asgari unsurları düzenlemiştir. Kişisel veri aktarımına taahhütnamenin imzalanması ile değil, Kurul tarafından verilen izni takiben başlanır.
III. İstisnai Aktarım Halleri
Yeterlilik kararı veya uygun güvencelerden birinin bulunmaması halinde kişisel veriler, aktarımın arızi olması şartıyla Yönetmelik'in 16. maddesinde düzenlenen istisnai hallerden birinin varlığı halinde yurt dışına aktarılabilir. Arızi aktarım faaliyeti, Yönetmelik ile "düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarım" olarak tanımlanmıştır. Yönetmelik ile yedi farklı istisnai aktarım hali belirlenmiştir. İstisnai hallere örnek olarak, ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi neticesinde açık rızasının alınması verilebilir. Yönetmelik, yayım tarihinde yürürlüğe girmiş olup KVKK'nın yurt dışına aktarımı düzenleyen eski hükümleri 1 Eylül 2024 tarihine kadar Yönetmelik hükümleri ile birlikte yürürlükte kalmaya devam edecektir.
© Kolcuoğlu Demirkan Koçaklı Attorneys at Law 2020
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.