6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 34 üncü maddesiyle değişiklik yapılmıştır.

İş bu değişiklik kapsamında, Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar (https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-DuyurusuKurum internet sitesinde yayınlanmış, kişisel verilerin yurtdışına aktarımının usul ve esaslarını düzenleyen Yönetmelik ise 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. (https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm)

Kanun değişikliği ile birlikte kişisel verilerin yurtdışına aktarımında açık rızayı önceleyen yaklaşım terk edilmiş olup, değişiklik ile kişisel verilerin yurt dışına aktarımında hem veri sorumluları hem de veri işleyenler tarafından gerçekleştirilecek aktarımlar bakımından KVKK Madde 9’da belirtilen gerekliliklerin sağlanması amaçlanmıştır.
Bu çerçevede; kişisel verilerin yurtdışına aktarımından önce veri sorumluları ve/veya veri işleyenlerin aşağıdaki koşulların mevcudiyetini sırayla değerlendirmeleri önem arz etmektedir.

  1. Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,
  2. Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması,
  3. Yeterlilik kararının bulunmaması ve uygun güvencelerden birinin taraflarca sağlanamaması durumunda kişisel veriler, arızi olmak kaydıyla sadece istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir.

1- Yeterlilik Kararına Dayalı Aktarımlar

Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecektir. Kurul tarafından verilen yeterlilik kararları Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacak ve yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecektir. İlgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığının tespit edilmesi hâlinde yeterlilik kararı ileriye etkili olmak üzere değiştirilebilecek, askıya alınabilecek veya kaldırılabilecektir.

2- Uygun Güvencelere Dayalı Aktarımlar

 

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilecektir:

 

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

3- İstisnai Aktarım Halleri

 

Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilecektir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi nitelikte kabul edilecektir. İstisnai aktarım hâlleri şunlardır:

 

  • İlgili kişinin aktarıma açık rıza vermesi.
  • Aktarımın, sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  • Aktarımın, ilgili kişi yararına bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.