KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI REHBERİ

Kişisel Verileri Koruma Kurulu tarafından 02.01.2025 tarihinde web sitesinde kişisel veri aktarımlarının uygulanması hakkında veri sorumlularına yol göstermesi amacıyla “Kişisel Verilerin Yurtdışına Aktarılması Rehberi” yayımlanmıştır.

Bilindiği üzere; 12.3.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun 34’üncü maddesi ile Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu maddesinde değişiklik yapılmıştır. Yapılan değişiklikler ise 1.6.2024 tarihinde yürürlüğe girmiştir. Fakat 9’uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrasının, maddenin yürürlüğe giren değişik haliyle birlikte 1.9.2024 tarihine kadar uygulanmaya devam olunacağı da ayrıca düzenlenmiştir. Öte yandan; söz konusu maddenin uygulanmasına ilişkin usul ve esaslar ise “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” de düzenlenmiştir.

Kişisel verilerin yurt dışına aktarılması faaliyeti üç kritere ayrılarak tanımlanabilecektir.

  1. Veri sorumlusu ya da veri işleyen söz konusu kişisel veri işleme faaliyeti için Kanuna tabi olmalıdır.
  2. Veri aktaran veri sorumlusu ya da veri işleyen,  tarafından işlenen kişisel veriler, iletilmeli veya başka bir suretle erişilebilir hale getirilmelidir.
  3. Veri aktarılan veri sorumlusu ya da veri işleyen, Kanuna tabi olup olmadığına bakılmaksızın üçüncü bir ülkede olmalıdır.

7499 sayılı Kanun ile 6698 sayılı Kanunun 9’uncu maddesi genel olarak Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GVKT) ilgili hükümleri esas alınarak değiştirilmiş ve üç basamaklı bir yapı oluşturulmuştur. Buna göre;

  • Yeterlilik Kararının Bulunması

Kişisel veriler, 6698 sayılı Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. 7499 sayılı Kanun ile yapılan değişiklikle birlikte ülke haricinde ülke içindeki sektör ya da uluslararası kuruluşlar hakkında da yeterlilik kararı verilebileceği düzenlenmiştir.

Yeterlilik kararı, Kurul tarafından verilerek Resmî Gazete’de yayımlanacak ve en geç dört yılda bir değerlendirilecektir.

  • Uygun Güvencelerden Birinin Bulunması

Yeterlilik kararının bulunmaması halinde, 6698 sayılı Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin olması kaydıyla ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanıp sağlanmadığına bakılması gerekmektedir. Uygun güvenceler ise şu şekilde sıralanabilecektir;

  • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesidir. Uluslararası sözleşme niteliğinde olmayan anlaşmalar kapsamında kişisel verilerin yurt dışına aktarılabilmesi için Kurul onayının alınması gerekmektedir. Uluslararası sözleşme niteliğinde olmayan anlaşmalar; iş birliği protokolü, mutabakat zaptı veya idari anlaşma şeklinde olabilecektir.

  • Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması

Bağlayıcı şirket kuralları, ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde yer alan Türkiye’de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından grup üyeleri tarafından uyulması gereken kişisel veri koruma kurallarını ifade etmektedir.

İlgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvence niteliğini haiz bağlayıcı şirket kurallarının bulunması halinde veri sorumluları ve veri işleyenler tarafından kişisel veriler  yurt dışına aktarılabilecektir. Öte yandan; bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulması gerektiği gözden kaçırılmamalıdır.

  • Standart Sözleşmeyle Uygun Güvencenin Sağlanması

Standart sözleşme, kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen (veri aktaran) ile veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyen (veri alıcısı) arasında akdedilmesi  gereken bir sözleşme olmakla imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilmesi gerekmektedir.

  • Taahhütnameyle Uygun Güvencenin Sağlanması

Kurul tarafından aktarımın yapılacağı ülkeye, üçüncü bir ülke içerisindeki sektöre veya uluslararası kuruluşa verilmiş bir yeterlilik kararının bulunmaması durumunda, 6698 sayılı Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından söz konusu taahhütnamenin incelenmesi neticesinde aktarıma izin verilmesi durumunda yurt dışına kişisel veri aktarımı gerçekleştirilebilecektir.

  • İstisnai Aktarım Hallerinden Birinin Bulunması

Yeterlilik kararının bulunmaması ve uygun güvencelerden birinin sağlanmaması halinde, arızi olmak kaydıyla, tek veya birkaç sefer ve süreklilik taşımayacak şekilde yurt dışına veri aktarılabilecektir. Örneğin; Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması.

İstisnai haller ise, açık rıza, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, üstün bir kamu yararı için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması ve kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması olarak sıralanabilecektir.

Arızi hallere dayalı kişisel veri aktarımlarında Kurulun iznine veya onayına ihtiyaç yoktur. Kanun ve Yönetmelikte herhangi bir bildirim yükümlülüğü de öngörülmemiştir. Ancak kişisel verilerin, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, uluslararası sözleşme hükümleri saklı kalmak üzere, yalnız ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabileceği unutulmamalıdır.

Önemle belirtmek gerekir ki, yurt dışına aktarıma ilişkin uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunmakta ise kişisel verilerin söz konusu hükümler uyarınca yurt dışına aktarılabileceği; esasında yeterlilik kararının bulunması, uygun güvencelerin olması ya da istisnai aktarım hallerinin bulunmasından önce yurt dışına aktarım faaliyetinin ilk basamağında uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunup bulunmadığına bakılması gerektiği gözden kaçırılmamalıdır.

Söz konusu Rehber hakkında detaylı bilgi için; https://kvkk.gov.tr/SharedFolderServer/CMSFiles/13711235-abb6-4b17-9a6b-0a68c1ad86c5.pdf linkini ziyaret edebilirsiniz.

Categories Makale