1 Haziran 2024 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) yapılan değişiklikler, kişisel verilerin yurt dışına aktarılmasına ilişkin yasal dayanağın tamamen değiştirilmesini sağlamıştır.

Kişisel Verileri Koruma Kurumu tarafından 10 Temmuz 2024 tarihinde yayımlanan ve aynı gün yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, özellikle uygun güvencelere dayalı aktarımlar olmak üzere yurt dışına kişisel veri aktarımlarına ilişkin olarak KVKK’nın 9. maddesinin uygulanmasına yönelik usul ve esasları netleştirmeyi amaçlamaktadır.

KVKK’daki değişikler uyarınca yurt dışına kişisel veri aktarımları artık (i) Kurum’un yeterlilik kararı vermiş olması, (ii) uygun güvencelerden birinin mevcut olması, veya (iii) diğer sayılan istisnai durumlardan biri halinde mümkün olmaktadır. Yönetmelik uyarınca kişisel verilerin, veri sorumlusu ve veri işleyen tarafından ancak KVKK’da ve Yönetmelik’te öngörülen usul ve esaslara uygun olarak Türkiye dışına aktarılabileceği düzenlenmiştir.

Yeterlilik kararı. KVKK, açık rızaya ilişkin bir istisnanın geçerli olduğu durumlarda (örneğin, aktarımın kanuni bir yükümlülüğe uymak veya meşru bir menfaat için zorunlu olması), kişisel verilerin belirli bir ülke, uluslararası kuruluş veya sektöre ilişkin olarak Kurum tarafından alınan bir yeterlilik kararının varlığı halinde yurt dışına aktarılabileceğini öngörmektedir. Yönetmelik, yeterlilik kararı alınırken gerekli olan dikkate alınacak hususları KVKK’da düzenlendiği şekliyle tekrar etmiştir.

KVKK’da olduğu gibi Yönetmelik içerisinde de Kurum’un yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alabileceği ve Kurum tarafından verilen yeterlilik kararlarının Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacağı düzenlenmiştir. Yönetmelik’te ayrıca Kurum’un, yeterlilik kararı alınması için gerekli olan hususlara ek kriterler belirlemeye yetkili olduğuna yer verilmiştir. Kurum henüz herhangi bir yeterlilik kararı yayımlamamıştır veya herhangi bir ek kriter belirlememiştir.

Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecektir. Yönetmelik, ilgili yeterlilik kararında, yeniden değerlendirme dönemlerinin açıkça belirleneceğini düzenlemiştir. Ayrıca, Kurum, yeniden değerlendirme sonucunda veya yeniden değerlendirme dönemi ile bağlı olmaksızın ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi halinde kararını ileriye etkili olmak üzere değiştirmeye, askıya almaya veya kaldırmaya yetkili kılınmıştır. Bu konuya ilişkin kararlar da Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacaktır.

Uygun güvenceler. KVKK, açık rızaya ilişkin istisnalardan birinin geçerli olduğu durumlarda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, listelenen uygun güvencelerden birinin sağlanması halinde kişisel verilerin Türkiye dışına aktarılabileceğini düzenlemektedir.

Yönetmelik, uygun güvencelerin neler olduğunu KVKK’da yer aldığı şekliyle tekrar etmiştir ve ilgili süreçlere ilişkin olarak daha fazla detay sağlamıştır:

• Yabancı ve Türk kamu kurumları arasında anlaşmalar. Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilmektedir.Anlaşmanın, kişisel veri aktarımının tarafları arasında imzalanması zorunlu olup müzakere sürecinde Kurum’un görüşüne başvurulacaktır.Anlaşmanın kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki dayanak gibi zorunlu hususları içermesi zorunludur. Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurum’a izin başvurusunda bulunulması gerekmektedir. Yapılacak başvuru kapsamında anlaşma metninin nihai hali ve Kurum tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurum’a sunulacaktır. Kişisel veri aktarımına Kurum tarafından izin verilmesinden sonra başlanabilecektir.
• Bağlayıcı şirket kuralları. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilmektedir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurum’a onay başvurusunda bulunulması zorunludur.Yapılacak başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurum tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurum’a sunulmalıdır. Başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisinin başvuruya eklenmesi zorunlu olup bağlayıcı şirket kuralları metninin yabancı bir dilde de düzenlenmesi halinde Türkçe metin esas alınacaktır.

  Yönetmelik içerisinde Kurum tarafından bağlayıcı şirket kuralları onaylanırken dikkate alınacak hususlar ve bağlayıcı şirket kurallarında asgari olarak bulunması gereken hususlar düzenlenmiştir. Bunlar arasında ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri, kişisel veri kategorileri, işleme faaliyetleri ve amaçları, ilgili kişi grupları ve bağlayıcı şirket kuralları kapsamında aktarımların yapılacağı ülkeler gibi hususlar bulunmaktadır.Veri sorumluları ve veri işleyenler için bağlayıcı şirket kuralları başvuru formu ve temel hususlara yardımcı ek kılavuz, 10 Temmuz 2024 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

• Standart sözleşme hükümleri. Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmeler vasıtasıyla uygun güvence sağlanabilmektedir. Veri sorumluları ve veri işleyenlerin birbirleri ve kendi aralarında yurt dışına kişisel veri aktarımları için kullanılacak olan standart sözleşme hükümleri 10 Temmuz 2024 tarihinde Kurum’un internet sitesinde yayımlanmıştır. Kurum tarafından yayımlanmış olan standart sözleşme hükümlerinin üzerindeherhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Standart sözleşmenin yabancı bir dilde de akdedilmesi halinde Türkçe metin esas alınacaktır.Standart sözleşmenin, kişisel veri aktarımının tarafları arasında akdedilmesi gerekmektedir. Standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurum tarafından belirlenen diğer yöntemlerle Kurum’a bildirilmesi zorunludur. Aktarım tarafları standart sözleşmede bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilecek olup bu konuda bir belirleme yapılmamış ise standart sözleşmenin veri aktaran tarafından Kurum’a bildirilmesi zorunludur. Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dilde düzenlenen her belgenin noter onaylı çevirisi eklenmelidir.

  Kurumca ilan edilen standart sözleşme metninde değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması halinde KVKK hükümleri uyarınca Kurum tarafından inceleme yapılacaktır. Standart sözleşme taraflarında veya içeriğinde yer verilen bilgi ve açıklamalarda herhangi bir değişiklik olması veya standart sözleşmenin sona ermesi halinde Kurum’a ilave bir bildirim yapılması zorunludur.

• Taahhütnameler. Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilmektedir. Bu seçenekte kişisel veri aktarımına Kurum tarafından izin verilmesinden sonra başlanabilecektir.Yönetmelik uyarınca taahhütnamenin içereceği hususlar detaylandırılmıştır. Bunlar arasında kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki dayanağı, KVKK ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar, kişisel verilerin sonraki aktarımına yönelik kısıtlamalar, taahhütnamenin ihlali halinde ilgili kişinin başvurabileceği hak arama yöntemleri gibi hususlar bulunmaktadır.

  Kurum’un izni için yapılacak başvuru, taahhütname metni ve Kurum tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeleri içermek zorundadır. Taahhütnamenin yabancı bir dilde de akdedilmesi halinde Türkçe metin esas alınacaktır.

İstisnai aktarım halleri. KVKK uyarınca hem yeterlilik kararının hem de listelenen uygun güvencelerden herhangi birinin bulunmadığı durumlar için ise, arızi olmak kaydıyla, sayılan aşağıdaki istisnai hallerde yurt dışına kişisel veri aktarımının yapılabileceği düzenlenmiştir:

• İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
• Aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirleri uygulanması için zorunlu olması,
• Aktarımın ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
• Aktarımın üstün bir kamu yararı için zorunlu olması,
• Bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması,
• Rızasını veremeyecek durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması, veya
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yönetmelik, bir aktarımın arızi olarak kabul edilebilmesi için düzenli olmaması, yalnızca bir veya birkaç kez gerçekleşmesi, sürekli olmaması ve işlerin olağan akışı içinde gerçekleşmemesi gerektiğini açıklığa kavuşturmaktadır.

Kamuya açık bir sicil üzerinden yapılacak aktarımlar ile ilgili olarak Yönetmelik, aktarımın sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemeyeceğini ve meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımların yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebileceğini düzenlemiştir.

Ayrı bir not olarak, kişisel verilerin veri işleyen tarafından aktarılması halinde veri işleyen tarafından ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur. Bununla birlikte veri işleyenin, standart sözleşmeyi Kurum’a bildirmekle yükümlü olması halinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirecektir. Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, KVKK’da ve Yönetmelik’te öngörülen usul ve güvencelere uyulması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmamaktadır. Veri sorumlusu, elverişli teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür.

Kurum, Yönetmelik’in belirli yönlerine daha fazla açıklık getirmeye ve Yönetmelik tarafından düzenlenmeyen hususlarda ilgili mevzuat çerçevesinde karar almaya yetkili kılınmıştır. Bu nedenle yeni kuralların uygulanabilmesi için pratikte, Kurum’un kararları aracılığıyla daha fazla rehberlik sağlanmasına ihtiyaç duyulması muhtemeldir.

Bu bilgilendirme hakkında daha detaylı bilgi için bizimle irtibata geçebilirsiniz.