Bilindiği üzere, 4 Haziran 2021 tarihinde Avrupa Komisyonu tarafından, veri sorumluları ile veri işleyenler arasındaki veri transferi ve yurt dışına veri aktarımına ilişkin 1995 yılında Veri Koruma Direktifi kapsamında kabul edilen Standart Sözleşme Maddeleri ("SCC") üzerinde değişiklikler yapılmıştır. Bu kapsamda 27 Haziran 2021 itibari ile yürürlüğe giren yeni sözleşmeler ile iki set halinde olan SCC'lerin ilk seti Avrupa Birliği dışındaki üçüncü ülkelere yapılan veri aktarımlarını düzenleyen eski SCC'lerin yerini alırken ikinci set veri sorumluları ile veri işleyenler arasındaki veri aktarımlarını düzenlenmiştir.
Türkiye'de ise 12 Mart 2024 tarihinde 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile Kişisel Verilerin Korunması Kanunu'nda ("KVKK") yapılan değişikliklerle birlikte kişisel verilerin yurt dışına aktarılması açısından üç farklı usul belirlenmiştir. Bu çerçevede, Kişisel Verileri Koruma Kurumu'nun ("Kurum"), internet sitesinde 10 Temmuz 2024 tarihinde yaptığı duyuru ile KVKK m.9/4 uyarınca, kişisel verilerin yurt dışına aktarılmasında uygun güvence sağlama yöntemleri olarak öngörülen Standart Sözleşmeler ("SS") ve Bağlayıcı Şirket Kurallarına ilişkin nihai belgeler ilk defa kamuoyuyla paylaşılmıştır.
Bu makalemizde de Genel Veri Koruma Tüzüğü ("GDPR") uyarınca yayınlanmış SCC'ler ve KVKK uyarınca yayınlanmış SS'lerin uygulamadaki benzerliklerine ve farklılıklarına değineceğiz.
I. Giriş:
Öncelikle genel itibariyle "Standart Sözleşme Metinleri", çeşitli sözleşme ilişkilerinde kullanılmak üzere, içeriği soyut ve genel bir biçimde, tek taraflı olarak önceden hazırlanmış ve karşı tarafça müzakere edilmeksizin kabul edilmesi amaçlanan metinler olarak tanımlanmaktadır.
GDPR çerçevesinde ise SCC'ler, veri sorumluları ve veri işleyenlerin AB veri koruma hukukuna uyum sağlamalarına olanak tanıyan, Avrupa Komisyonu tarafından önceden onaylanmış model veri koruma maddeleridir. GDPR uyarınca üçüncü ülkelere yapılacak veri aktarımları;
- aktarım yapılacak ülkede yeterli koruma bulunduğuna ilişkin yeterlilik kararına dayanarak
- yeterlilik kararı bulunmadığı durumlarda ise Bağlayıcı Şirket Kuralları ya da Avrupa Komisyonu tarafından kabul edilen SCC'lerin imzalanması yöntemlerinden birine başvurularak hukuka uygun hale getirilmektedir.
KVKK çerçevesinde SS'ler ise kişisel verilerin yurt dışına aktarılmasında kullanılmak üzere Kişisel Verileri Koruma Kurulu ("Kurul") tarafından belirlenen ve ilan edilen sözleşmelerdir. Kişisel verilerin yurt dışına aktarılmasında, aktarım yapılacak ülke hakkında Kurul tarafından yeterlilik kararı bulunmadığı durumlarda Standart Sözleşme metinleri kullanılarak veri aktarımı gerçekleştirilebilmesi mümkün hale gelmiştir.
II. SS'ler ve SCC'ler Arasındaki Benzerlikler ve Farkılılıklar:
Sözleşme Tipleri ve Sözleşme Sayıları
Avrupa Birliği GDPR kapsamında SCC'ler, veri akışının yönü ve tarafların hukuki statüleri dikkate alınarak iki ayrı modülde dört çeşit olarak düzenlenmiştir:
- AB/Avrupa Ekonomik Alanı içerisinde
aktarım:
- Veri Sorumlusu-Veri İşleyen arasında
- Veri Sorumlusu-Veri Sorumlusu arasında
- AB/Avrupa Ekonomik Alanı içerisinden 3.
Ülkelere Aktarım:
- Veri Sorumlusu /Veri İşleyen'in AB/ Avrupa Ekonomik Alanı içinde
- Veri Sorumlusu/Veri İşleyenlerin AB/ Avrupa Ekonomik Alanı dışında olduğu aktarımlar.
Türkiye'de KVKK çerçevesinde SS'ler ise, veri sorumlusu ve veri işleyen arasında dört farklı aktarım türüne göre yapılandırılmıştır. Türkiye'nin Avrupa Birliği ile yeterlilik kararı olmaması ve Avrupa Birliği Ekonomik Alanı içerisinde olmaması nedeniyle, Türkiye dışına gerçekleştirilen her veri aktarımı yurt dışına aktarım olarak kabul edilmektedir. Bu durum, GDPR kapsamındaki SCC'lerde yapılan ayrımların Türkiye'deki uygulamalarda bulunmadığı anlamına gelmektedir.
Maddelerin Kural Olarak Değiştirilmesinin Mümkün Olmaması
Hem SS'ler hem SCC'ler, yukarıda da değindiğimiz üzere maddeler kural olarak değiştirilemez nitelikte olup, sözleşme maddelerinin değiştirilmesi, yeni maddelerin eklenmesi veya mevcut maddelerin çıkarılması söz konusu değildir; bu tür müdahaleler yapılması halinde, imzalanan SS'ler ve SCC'ler KVKK ve GDPR nezdinde hukuki geçerlilikten yoksun kalacaktır.
Bununla birlikte GDPR çerçevesinde SCC'ler belirli sınırlamalar dahilinde uyarlama imkânı sunmaktadır. Bu bağlamda SCC'lerin metni aşağıdaki konular haricinde değiştirilemez:
- Modülleri ve/veya metinde sunulan belirli seçenekleri seçmek,
- Gerekli hallerde metni tamamlamak (köşeli parantezlerle belirtilmiştir, örneğin yetkili mahkemeleri ve denetim makamını belirtmek ve süreleri belirtmek)
- Ekleri doldurmak,
- Kişisel veriler için koruma düzeyini artıran ek güvenceler eklemek.
Bu tür düzenlemeler, temel metnin değişikliği olarak değerlendirilmemekte ve GDPR tarafından öngörülen çerçevede uygulanabilmektedir.
SCC'lere başvurulurken, taraflar sadece kendi durumlarıyla ilgili olan maddeleri kabul etmelidir. Geçerli olmayan modüller ve/veya seçenekler silinmelidir.
Ayrıca taraflar, diğer sözleşme hükümleri (taraflar arasındaki ana hizmet sözleşmesi vb.) doğrudan veya dolaylı olarak SCC'lerle çelişmediği veya ilgili kişilerin haklarına halel getirmediği sürece, SCC'leri ek maddelerle tamamlayabilir veya daha geniş bir ticari sözleşmeye dahil edebilir.
Kurum tarafından yayınlanan SS'lerde de değişiklik yapılması yasaklanmış olmasına rağmen, GDPR kapsamında belirli koşullar altında gerçekleştirilebilen bazı uyarlama imkanlarının KVKK uyarınca da mevcut olduğu gözlemlenmektedir. Örneğin, Kurum tarafından düzenlenen Veri Sorumlusundan Veri İşleyene SS'si incelendiğinde, ilgili sözleşmenin "Hak Arama Yöntemleri" başlıklı 10. maddesi ve "Sözleşmenin Kuruma Bildirilmesi" başlıklı 16. maddesi, taraflara seçenekler arasında tercih yapma olanağı sunduğu görülmektedir.
Ayrıca, "Alt Veri İşleyen" başlıklı 8. maddede de "Genel Yetkilendirme" ve "Özel Yetkilendirme" seçenekleri arasında tercih yapma imkanı bulunmakta birlikte köşeli parantezlerle belirtilen alanların gerektiğinde doldurulması seçeneğine olanak tanınmaktadır, örneğin aynı maddede yer alan köşeli parantez içerisindeki süre alanı sözleşme taraflarınca belirlenebilmektedir.
Veri Aktarımı Çerçevesinde Teknik ve İdari Tedbirler
GDPR çerçevesinde SCC'lerde veri aktarımının gerçekleştirildiği ülkelerin yeterli veri güvenliğini sağladığına dair teminatların verilmesi amacıyla, SCC'lerde teknik ve idari tedbirlere ilişkin özel bilgilendirmelere yer verilmesi gerekmektedir. Bu bağlamda, veri güvenliği yükümlülükleri kapsamında alınacak tedbirlerin yeterliliğine ilişkin düzenli denetimlerin gerçekleştirilmesine dair düzenlemelerin SCC'lere dahil edilmesi zorunludur.
Benzer şekilde, KVKK çerçevesinde de, Veri İşleyenden Veri Sorumlusuna SS'si hariç diğer yayınlanan üç sözleşmenin EK-2 kısmında, SS'ye konu olan veri aktarımına ilişkin alınan teknik ve idari tedbirlerin yanı sıra, özel nitelikli kişisel verilerin aktarılması durumunda bu tür veriler için alınan teknik ve idari tedbirlerin ayrıca belirtilmesi talep edilmektedir. Bu düzenleme, özel nitelikli kişisel verilerin güvenli bir şekilde aktarılmasını sağlamak amacıyla önemli bir adım teşkil etmektedir.
Çok Taraflı Sözleşmeler ve "Docking" Maddesi
GDPR çerçevesinde, birden fazla veri aktaranın sözleşmeye taraf olması ve zamanla imza tarafları dışında yeni tarafların SCC'lerde dahil edilmesi, Docking Maddesi aracılığıyla mümkün kılınmıştır. Docking Maddesi, sözleşmeye taraf olanların, gelecekte ek tarafların sözleşmeye katılmasını kabul edebileceği isteğe bağlı bir hükümdür. Bu düzenleme, taraflara sözleşmenin yürürlük süresi boyunca veri işleme düzenlemeleri ile ilgili değişikliklere uyum sağlama konusunda esneklik sunar.
Örneğin, bir veri işleyenin , aynı hizmetleri birden fazla veri sorumlusuna sunması varsayımında GDPR'a uygun olarak imzalanan standart sözleşmelerde, bir veri sorumlusuyla yapılan sözleşmeden birkaç yıl sonra, her iki taraf da yeni bir veri sorumlusunun sözleşmeye katılmasını kabul edebilir ve bu durumda Docking Maddesi'ni kullanarak sürece yeni taraflar ekleyebilir. Bu durum, sözleşmenin dinamik yapısına katkıda bulunarak, değişen iş ihtiyaçlarına hızlı bir şekilde yanıt verme imkânı sağlar.
Buna karşın, Türkiye'de KVKK uyarınca düzenlenen SS'lerde zaman içerisinde imza tarafları dışında yeni tarafların sözleşmelere eklenmesi mümkün değildir. KVKK'nın sunduğu yapı, tarafların sözleşmeye katılımını daha katı bir şekilde düzenleyerek, mevcut tarafların dışında yeni katılımlara yer verilmediğini ortaya koymaktadır. Bu durum, veri aktarım süreçlerinde esneklik sağlamak yerine, belirli bir sabitliği ve öngörülebilirliği beraberinde getirmektedir.
III. Sonuç:
12 Mart 2024 tarihinde 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile gerçekleştirilen ve 1 Haziran 2024 tarihinde KVKK'da yürürlüğe giren değişiklikler ile birlikte "Standart Sözleşme" kavramı kişisel verilerin korunması hukuku bakımından önemli bir kavram olarak hayatımıza girmiştir.
. Kurum tarafından yayınlanan SS'ler ile GDPR'da öngörülen SCC'ler karşılaştırıldığında, hükümlerin çoğunlukla benzerlik gösterdiği görülmektedir. Örneğin amaç, kapsam, üçüncü taraf yararlanıcı hakları, yorumlama, sorumluluk ve genel ilkeler gibi temel maddeler birbirleriyle uyumlu şekilde düzenlenmiştir.
Ancak SCC maddelerinde yapılabilecek değişiklikler, SS maddelerine kıyasla daha geniş kapsamlı düzenlenmiştir. Örneğin taraflar SCC'lere ek güvenceler ekleyebilecekken, SS'lere sözleşme eki haricinde ekleme yapılması mümkün kılınmamıştır.
Kurumların iş süreçlerinde, günlük operasyonlarında sıklıkla kullandıkları uygulamalar, yazılımlar vb. aracılığıyla gündeme gelen yurt dışına kişisel veri aktarımlarının hukuka uygun hale getirilmesi için öngörülen yöntemler arasında şu an için en tercih edilen yöntem olan SS'lerin imzalanması yönteminin uygulamada yaygınlaşması ile birlikte bu yönteme ilişkin çeşitli düzenlemelerin gündeme gelmesi beklenmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
