Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Yayımlandı
Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, 10 Temmuz 2024 tarihinde yürürlüğe girmiş olup, veri sahibinin haklarını korumaya yönelik üç aktarım yöntemi belirlemektedir: yeterlilik kararı, uygun güvenceler ve istisnai aktarımlar. Yazımızda bu düzenleme çerçevesinde yurt dışına veri aktarımında izlenecek usuller detaylı olarak ele alınmaktadır.
11.07.2024
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesinin uygulanmasına ilişkin usul ve esasların düzenlenmesi amacıyla “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) 10 Temmuz 2024 tarihli Resmî Gazete’de yayımlanmış ve yürürlüğe girmiştir. Yönetmelik, kişisel verilerin yurt dışına aktarımını detaylı olarak ele almakta ve bu sürecin nasıl yürütüleceğini belirlemektedir.
Genel Hükümler
Yönetmelik madde 5 uyarınca, kişisel veriler sadece Kanun ve Yönetmelikte belirtilen kurallara uygun olarak veri sorumlusu ve aynı zamanda veri sorumlusunun talimatlarına uyması kaydıyla veri işleyen tarafından yurt dışına aktarılabilir. Yönetmelik madde 6'da bu aktarımın usulleri açıklanmıştır. Buna göre, kişisel veriler Kanunun 5.Maddesi “Kişisel Verilerin İşlenme Şartları” ve 6. Maddesi “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” maddelerinde kanun koyucu tarafından belirlenen şartlar yerine getirildiğinde ve belirli koşullar sağlandığında yurt dışına aktarılabilmektedir. Bu koşullar Yönetmelik 6. Maddesi birinci fıkrasında aşağıdaki şekilde sıralanmıştır:
- Aktarım yapılacak ülke veya kuruluşlar için yeterlilik kararı bulunması.
- Yeterlilik kararı yoksa, ilgili kişinin aktarılacak ülkede haklarını kullanabilmesi ve etkili kanun yollarına başvurabilmesi şartıyla, Yönetmelik madde 10'da belirtilen uygun güvencelerin sağlanması.
Yeterlilik kararı veya uygun güvenceler yoksa, kişisel veriler sadece Yönetmelik madde 16'da belirtilen istisnai durumlarda yurt dışına aktarılabilir. Ayrıca Yönetmeliğin 6. maddesi, uluslararası sözleşme hükümleri saklı kalmak şartıyla, Türkiye'nin veya ilgili kişinin menfaatinin ciddi şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak ve Kurul'un izniyle kişisel verilerin yurt dışına aktarılmasına olanak sağlamaktadır.
Kişisel Verilerin Veri İşleyen Tarafından Yurt Dışına Aktarılması
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması Yönetmelik madde 7’ de düzenlenmiştir. Maddeye göre:
- Veri işleyen, kişisel verileri yurt dışına aktarırken veri sorumlusunun belirlediği amaç ve kapsamda, onun talimatlarına uygun hareket eder. Ayrıca, verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ve verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri alır.
- Kişisel verilerin yurt dışına aktarılmasında, Kanun ve Yönetmelikte belirtilen kurallara uyulması ve güvencelerin sağlanması, veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür.
- Uygun güvence sağlama yolları arasında sayılan ve Kurul tarafından belirlenerek ilan edilen standart sözleşmeyi bildirmekle yükümlü olduğu durumlarda veri işleyen, veri sorumlusunun talimatına gerek kalmadan bu yükümlülüğünü yerine getirir.
Bu madde doğrultusunda, veri işleyenin de yurt dışına veri aktarabildiği ve fakat veri sorumlusunun sorumluluğunun devam ettiği görülmektedir.
Yeterlilik Kararına Dayalı Aktarımlar
Yeterlilik kararı ve buna dayalı aktarımlar Yönetmelik madde 8 ve 9’ da düzenlenmiştir. İlgili maddelere göre yeterlilik kararından kasıt; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kişisel verilerin yurt dışına aktarımında bir ülkenin, sektörün veya uluslararası kuruluşun yeterli koruma sağladığına karar vermesidir. Bu kararı verirken ülkeler arasındaki veri aktarım karşılıklılığı, ilgili mevzuat ve uygulamalar, bağımsız veri koruma kurumlarının varlığı ve uluslararası anlaşmalara üyelik gibi kriterler Kurul tarafından dikkate alınmaktadır. Yeterlilik kararı Kurul tarafından en geç dört yılda bir yeniden değerlendirilir ve gerektiğinde değiştirilir, askıya alınır veya kaldırılır. Kurul, gerektiğinde bu kararları dönemden bağımsız olarak gözden geçirebilmektedir. Halihazırda Türkiye tarafından alınmış bir yeterlilik kararı bulunmadığı gibi, başka bir ülke tarafından Türkiye hakkında alınmış bir yeterlilik kararı da mevcut değildir.
Uygun Güvencelere Dayalı Aktarımlar
Uygun güvencelere dayalı aktarımlar, Yönetmelik madde 10 ile düzenlenmiştir. İlgili madde uyarınca yeterlilik kararının bulunmaması durumunda, aşağıdaki koşulların bir arada gerçekleşmesi kaydı ile kişisel veriler yurtdışına aktarılabilir:
- Kanun'un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı
- Aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması
- Anılan Yönetmelik maddesinde belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması.
Uygun güvenceler şu şekillerde sağlanabilir:
- Yurt dışındaki ve Türkiye'deki kamu kurumları veya uluslararası kuruluşlar arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmalar: Bu anlaşmalar, Kurul tarafından onaylanmalı ve kişisel verilerin korunmasına yönelik hükümler içermelidir.
- Bağlayıcı şirket kuralları: Teşebbüs grupları içindeki şirketler arasında, kişisel verilerin korunmasına yönelik hükümler içeren ve Kurul tarafından onaylanan bağlayıcı şirket kuralları.
- Standart sözleşmeler: Kurul tarafından belirlenen ve ilan edilen standart sözleşmeler, veri aktarımının amaçlarını, alıcıları, alınacak tedbirleri ve diğer önemli detayları içerir. Bu sözleşmeler, üzerinde herhangi bir değişiklik yapılmadan kullanılmalıdır ve imzalandıktan sonra Kurum’a 5 iş günü içerisinde bildirimde bulunulmalıdır. Bu bildirim hem veri sorumlusu hem de veri işleyen tarafından yapılabilir.
- Yazılı taahhütnameler: Yeterli korumayı sağlayacak hükümleri içeren ve Kurul tarafından onaylanan yazılı taahhütnameler.
İstisnai Aktarımlar
İstisnai aktarımlar Yönetmeliğin 16. maddesinde düzenlenmiştir. Bu madde, yeterlilik kararı ve uygun güvenceler sağlanamıyorsa, kişisel verilerin, yalnızca arızi ve istisnai durumlarda yurt dışına aktarılabilmesine olanak sağlamaktadır. Arızi aktarımlar, düzenli olmayan ve süreklilik göstermeyen aktarımlardır ve belirli istisnai durumlarda yapılabilmektedir. Bu istisnai durumlar:
- İlgili kişinin açık rızası,
- Sözleşme ifası veya sözleşme öncesi tedbirlerin uygulanması için zorunluluk,
- İlgili kişi yararına sözleşme yapılması veya ifası,
- Üstün kamu yararı,
- Bir hakkın tesisi veya korunması,
- Rıza veremeyecek durumda olan kişilerin hayatının veya beden bütünlüğünün korunması,
- Kamuya açık sicillerden meşru menfaat için veri aktarımı
Sonuç
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10 Temmuz 2024 tarihinde Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu'nun 9. maddesi çerçevesinde kişisel verilerin yurt dışına aktarılmasını düzenleyen Yönetmelik, kişisel verilerin yurt dışına aktarılmasına ilişkin üç temel yöntem belirlemektedir: (i) yeterlilik kararına dayalı aktarımlar, (ii) uygun güvencelere dayalı aktarımlar ve (iii) istisnai aktarım halleri. Esas itibariyle, kişisel veriler yalnızca Kanun ve Yönetmelik’te belirtilen şartlar yerine getirildiğinde ve ilgili kişinin haklarının korunması sağlandığında yurt dışına aktarılabilecektir. Yeterlilik kararı bulunmaması durumunda, gerekli şartların oluşması kaydıyla, Yönetmelikte sayılan uygun güvencelerin sağlanması gerekecektir. Aksi takdirde, kişisel veriler yalnızca istisnai hallerde yurt dışına aktarılabilecektir.
Yönetmelik metnine buradan ulaşabilirsiniz.
-
Kemal Altuğ Özgün
Managing Partner
-
Işkın İdil Kunt
Associate
-
Emire Özeyranlı
Legal Trainee