ARTICLE
13 January 2025

2025 Yılında Uygulanacak KVKK İdari Para Cezaları Ve Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Rehber Hakkında Bülten

BO
Bener Law Office

Contributor

Bener Law Office logo
Explore Firm Details
Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamındaki idari para ceza tutarları 2025 yılı için aşağıdaki gibidir
Turkey Privacy
Batuhan Şahmay and Oğuzhan Yorulmaz

2025 Yılında Uygulanacak KVKK İdari Para Cezaları:

Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamındaki idari para ceza tutarları 2025 yılı için aşağıdaki gibidir:

1567704a.jpg

Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Rehber:

Kişisel Verileri Koruma Kurumu ("Kurum"), 2 Ocak 2025 tarihinde internet sitesinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberini1 ("Rehber") yayımlamıştır.

Rehber çoğunlukla (i) KVKK ve (ii) Kişisel Verilerin Yurt Dışına Aktarılmasına ilişkin Usul ve Esaslar Hakkında Yönetmelik'te belirtilen hususları tekrarlamakla beraber, bazı ek bilgiler de içermektedir. Bültenimizde önemli olduğunu düşündüğümüz ve Rehber'de ek olarak verilmiş bilgileri aşağıda özetledik. Bir başka deyişle, mevzuatta belirtilen hususlar tekrarlanmamıştır.

  • Standart Sözleşmeler Hakkında:
    • Dual format: Dual format olarak hazırlanacak standart sözleşmenin de kabul edileceği belirtilmiştir2. Bu kapsamda, (i) sözleşmeler dual olarak ya da (ii) Türkçe ve İngilizce olarak ayrı ayrı imzalanabilir3.
    • İmza yetkilerine ilişkin belgeler: Standart sözleşmelerin tarafların imza yetkililerince imzalanması ve bu kişilerin imza yetkilerini gösteren dokümanların da Kurum'a sunulması gerekiyor. Mevzuatta, yabancı belgelerin noter tasdikli tercümesinin yeterli olacağı belirtilirken Rehber'de yabancı ülke makamlarınca düzenlenmiş resmî belge olması durumunda, bu dokümanda apostil şerhi olması gerektiği belirtilmiştir.
    • Sonraki aktarımlar konusu: Sonraki aktarım yapılan taraflarla da standart sözleşme imzalanıp imzalanmamasına gerek olup olmadığına dair Rehber'de net bir açıklama yapılmamış olup mevzuat hükümleri tekrarlanmıştır.
    • Standart Sözleşme eklerinin doldurulması: Standart sözleşme eklerinin nasıl doldurulması gerektiğine ilişkin ek bilgiler verilmiştir:

1567704b.jpg

  • Rehber'de, standart sözleşmeye ek olarak, diğer yurtdışı aktarım yolları hakkında da (bağlayıcı şirket kuralları, taahhütname vs.) hakkında bilgiler verilmiştir.
  • Türkiye'deki 2 firma arasındaki aktarımın yurtdışına aktarım sayılmaması: Türkiye'deki 2 firma arasında yapılan aktarımın (diğer tarafın sunucusu (server'ı) yurtdışında olsa bile) yurtdışına aktarım sayılmayacağı netleştirilmiştir. Sonrasında bir taraf bu veriyi yurtdışına aktarıyorsa (örn. sunucusunun yurtdışında olması vs. sebebiyle), o taraf ile yurtdışındaki alıcının yurtdışı aktarım hükümlerine göre aksiyon alması gerekecektir (örn. standart sözleşme imzalaması gibi).

Rehber'den bir örnek vermek gerekirse:

"Türkiye'deki veri işleyenin üçüncü ülkedeki alt veri işleyene veri iletmesi: Türkiye'de yerleşik olan veri sorumlusu şirketin, bir Türk şirketini kendi adına veri işleyen olarak görevlendirmesi ve Türk veri işleyen şirketin işleme faaliyetlerinin bir kısmını üçüncü ülkedeki alt veri işleyen şirkete devretmesi sonucunda Türkiye'de yerleşik olan veri sorumlusu şirket ve veri işleyen Türk şirketi tarafından gerçekleştirilen kişisel veri işleme faaliyeti Türkiye'deki kuruluşu kapsamında gerçekleştiğinden KVKK'ya tabi olmaktadır. Üçüncü ülkedeki alt veri işleyenin gerçekleştirdiği işleme faaliyeti üçüncü ülkede olduğundan kişisel verilerin Türk veri işleyen şirket tarafından üçüncü ülkedeki alt veri işleyene iletilmesi kişisel veri aktarımı teşkil edecek olup KVKK kapsamında yurt dışına aktarım hükümleri uygulanacaktır."

  • Arızi Aktarım: Arızi aktarım durumunda, standart sözleşme veya benzer yollara gerek kalmadan, (KVKK madde 6/b'deki hususların varlığı halinde) yurtdışına veri aktarılabiliyor. Ancak arızi aktarımın tam olarak ne olduğu çok net değildi.
    Arızi aktarım mevzuatta tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan durumlardaki aktarım olarak tanımlanmıştır. Rehber'de arızi aktarım örneklerine yer verilmiştir:
    • Örneğin iş sözleşmesinin ifası gereği yurt dışındaki farklı müşterileri ziyaret etmek amacıyla seyahat eden bir satış müdürünün kişisel verilerinin bu müşterilerle toplantı düzenlemek amacıyla işvereni tarafından aktarılması arızi olarak kabul edilebilir.
    • Bir Türk şirketinin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, tek veya birkaç sefer gerçekleşmesi, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi olarak kabul edilebilir.
    • Buna karşılık çok uluslu bir şirketin, yurt dışındaki bir eğitim merkezinde eğitimler düzenlemesi ve eğitim kursuna katılan çalışanlarının ad, soyad, iş unvanı gibi kişisel verilerini sistematik olarak aktarması durumunun arızi olarak kabul edilemeyeceği belirtilmiştir.

Konular hakkında sorunuz olursa, bizimle irtibata geçebilirsiniz.

Footnotes

1 Rehberi detaylı incelemek isterseniz https://www.kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi  linkinden ulaşabilirsiniz .

2 Dual formata getirilecek bile olsa, standart sözleşme içeriğinin değiştirilemeyeceğini hatırlatırız.

3 KVKK ve Yönetmeliğin ilgili maddeleri uyarınca Türkçe versiyon geçerli olacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Batuhan Şahmay
Batuhan Şahmay
Photo of Oğuzhan Yorulmaz
Oğuzhan Yorulmaz
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More