Kemal Kumkumoğlu
Selin Çetin Kumkumoğlu
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10 Temmuz 2024 tarihinde Resmî Gazete’de yayımlandı.[1] 12 Mart 2024’te 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) yurt dışına kişisel verilerin aktarılmasını düzenleyen 9’uncu maddesinde değişiklik yapılmıştı.[2] KVKK’nın kişisel verilerin yurt dışına aktarılmasını düzenleyen 9’uncu maddesinin uygulanmasına ilişkin usul ve esasları belirlemek amacıyla işbu Yönetmelik hazırlandı.
Yönetmelik’in 6’ncı maddesine göre, kişisel veriler, Kanunun 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir:
(1) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.
(2) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, Yönetmelik’in 10’uncu maddesinde belirtilen uygun güvencelerden birinin taraflarca sağlanması.
Yeterlilik Kararı ile Yurt Dışına Kişisel Veri Aktarımı
Yönetmelik’in 8’inci maddesi uyarınca, Kişisel Verileri Koruma Kurulu (“Kurul”) kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecektir. Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecektir.
Yeterlilik kararında ise aşağıdaki hususlar dikkate alınacaktır:
Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Uygun Güvencelerin Sağlanması ile Yurt Dışına Kişisel Veri Aktarımı
Yönetmelik’in 10’uncu maddesine göre, yeterlilik kararının bulunmaması durumunda, Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilecektir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Yönetmelik madde 14 uyarınca, Kurul tarafından ilan edilecek standart sözleşmelerin[3] kişisel veri aktarımının tarafları arasında akdedileceği ve veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva edeceği hüküm altına alınmıştır. Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunlu tutulmaktadır.
Standart sözleşmenin aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunlu olup imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilmesi gerekmektedir. Ayrıca aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir; ancak bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kişisel Verileri Koruma Kurumu (“Kurum”)’na bildirilecektir.
Öte yandan standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde Kurum’a bildirim yapılması gerekecektir.
Son olarak Yönetmelik’in 16’ncı maddesinde istisnai aktarım hâlleri düzenlenmektedir. Buna göre, kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece 16’ncı maddenin ikinci fıkrasında sıralanan istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilecektir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi nitelikte kabul edilecektir.
[1] Bkz. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm
[2] Bkz. 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun https://www.resmigazete.gov.tr/eskiler/2024/03/20240312-1.htm
[3] Kurumun internet sitesinde “Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu” yayınlanmıştır: https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu