7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) uzun süredir beklenen değişiklikler hayata geçirilmiştir. KVKK’da değişiklik yapan hükümler 1 Haziran 2024 tarihinde yürürlüğe girmişse de yurtdışına kişisel verilerin aktarılması konusundaki detayları belirleyecek olan ikincil düzenlemelerin bu süreçte yayımlanmaması yeni kurallara uyum sağlanması adına atılacak adımları geciktirmiştir.
Yurtdışına aktarım konusunun detaylarını belirlemesi beklenen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) ise 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanmıştır. Yönetmelik ile KVKK’da düzenlenen yurtdışına veri aktarılmasına ilişkin yeni kurallar detaylandırılmıştır.
Ayrıca Yönetmelik ile aynı gün, Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesinde kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar yayımlanmıştır:
- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme-1 (Veri Sorumlusundan Veri Sorumlusuna)
- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme-2 (Veri Sorumlusundan Veri İşleyene)
- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 3 (Veri İşleyenden Veri İşleyene)
- Kişisel Verilerin Yurt Dışına Aktarılmasında Kullanılacak Standart Sözleşme - 4 (Veri İşleyenden Veri Sorumlusuna)
- Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu
- Veri Sorumluları İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar - Yardımcı Kılavuz
- Veri İşleyenler İçin Bağlayıcı Şirket Kuralları Başvuru Formu
- Veri İşleyenler İçin Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlar - Yardımcı Kılavuz
Yurtdışına Veri Aktarımında Yeni Dönem Kuralları
Kanun değişikliği ile birlikte kişisel verilerin yurtdışına aktarımında açık rızayı önceleyen yaklaşım terk edilmiş olup, değişiklik ile kişisel verilerin yurt dışına aktarımında hem veri sorumluları hem de veri işleyenler tarafından gerçekleştirilecek aktarımlar bakımından KVKK Madde 9’da belirtilen gerekliliklerin sağlanması gerekmektedir.
Buna göre aktarıma başlanmadan önce aktarım tarafları aşağıdaki koşulların mevcudiyetini sırayla değerlendirmelidir:
- Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,
- Aktarım taraflarınca uygun güvencelerin sağlanması,
- İstisnai aktarım koşullarının mevcut olup olmadığının değerlendirilmesi.
1- Yeterlilik Kararına Dayalı Aktarımlar
Kişisel Verileri Koruma Kurulu (“Kurul”) kişisel verilerin yurtdışına aktarımı ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına dair karar verebilecektir. Kurul tarafından verilen yeterlilik kararları Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacaktır.
Yönetmelik, yeterlilik kararının verilmesi sırasında dikkate alınacak hususları KVKK’da yer verilen şekilde sıralamakta, ayrıca Kurul’un değerlendirmeye esas teşkil edecek ek hususları belirlemeye yetkili olduğunu belirtmektedir. Ayrıca Kurul, yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü alabilecektir.
Uygun Güvenceye Dayalı Aktarımlar
Aktarım yapılacak ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar bakımından bir yeterlilik kararı bulunmaması halinde kişisel veriler, aşağıdaki şartların mevcudiyetinde ve ancak aktarım taraflarının uygun güvenceleri sağlaması koşulu ile aktarılabilecektir:
- KVKK Madde 5’te ve Madde 6’da yer alan şartlardan birinin varlığı,
- İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması.
Bu halde veri aktarım tarafları, aktarım taraflarının kimliklerine ve aktarım faaliyetinin mahiyetine göre aşağıda belirtilen alternatifler aracılığı ile uygun güvenceyi sağlamayı değerlendirmelidir:
Uygun Güvence Yöntemi |
Uygulama alanı |
Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi |
Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları |
Kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. |
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler arası aktarımlar |
Standart sözleşmenin varlığı (Beş iş günü içerisinde Kurum’a bildirim yapılması) |
Düzenli veri aktarımları |
Yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi |
Düzenli veri aktarımları |
Yönetmelik ile her bir güvencenin sağlanması bakımından izlenecek yol ve güvence içeriği detaylı bir şekilde düzenlenmiştir.
Yeni dönemde, gerek onay/izin süreci içermemesi gerekse Avrupa Birliği’nde de en çok tercih edilen veri aktarımına yönelik uygun güvence olması sebebi ile standart sözleşme yöntemine sıklıkla başvurulacağı değerlendirilmektedir.
3- Standart Sözleşmenin varlığına dayalı aktarımlar bakımından dikkat edilmesi gereken hususlar:
- Standart sözleşme metinleri Kurul tarafından yayınlanan şekilde ve üzerinde herhangi bir değişiklik yapılmadan kullanılmalıdır.
- Standart sözleşme için her zaman Türkçe metin esas alınmalıdır.
- Standart sözleşme, kişisel verilerin aktarımının tarafları arasında akdedilmelidir ve aktarımın taraflarının temsile ve imzaya yetkili kişilerince imzalanmalıdır.
- Standart sözleşme, imzaların tamamlanmasının akabinde beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirilmelidir.
- Standart sözleşmenin tarafları yukarıda belirtilen bildirim yükümlülüğünün kimin tarafından yerine getirileceğini kendileri belirleyebilir, ancak belirlenmemiş bildirim veri aktaran tarafından yapılmalıdır.
- Kurum’a yapılacak bildirimde standart sözleşmeyi imzalayan tarafların yetkilerine dair belgeler ve yabancı dildeki belgelerin noter onaylı çevirilerinin de sunulması gerekmektedir.
- Kurul tarafından ilan edilen standart sözleşme metninde değişiklik yapılması veya imza yetkililerinin yetkisinin bulunmadığının tespit edilmesi halinde Kurul KVKK Madde 15 uyarınca inceleme yapabilecektir.
- Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde beş iş günü içinde Kurum’a bildirim yapılması gerekmektedir.
4- İstisnai Aktarım Halleri:
İstisnai aktarım hallerinin söz konusu olabileceği arızi aktarımlar Yönetmelik ile tanımlanmıştır. Buna göre düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir.
Yurtdışına veri aktarımının yapılabilmesi için Kurul’dan yeterlilik kararı alınamıyorsa ve uygun güvence sağlanamıyorsa arızi olmak kaydı ile Yönetmelik’te sınırlı sayıda belirtilen istisnai durumlar özelinde yurtdışına kişisel veri aktarımı yapılabilecektir.
İlgili kişinin açık rızası, aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması bu istisnalara örnektir.
Sonuç
KVKK değişiklikleri ile hayata geçirilen yeni yurtdışına aktarım kurallarının nasıl uygulanacağı Yönetmelikle belirlenmiş ve aktarım taraflarının uygun güvenceleri sağlamaları adına kullanacakları güvence metinleri Kurum tarafından yayınlanmıştır. Bu doğrultuda 1 Eylül 2024 tarihi itibari ile arızi olmayan aktarımlar bakımından tek başına açık rızanın geçerli kabul edilmeyeceği ve bu kısa sürede de yeterlilik kararının Kurul tarafından verilmesi yolundaki güçlükler göz önüne alındığında veri aktaranların uygun güvenceleri sağlamak üzere yurtdışına veri aktarımlarını değerlendirmeleri gerekmektedir.
Yönetmelik için bkz. https://www.resmigazete.gov.tr/eskiler/2024/07/20240710.pdf
Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı hakkında duyuru ve standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar için bkz. https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu
Selen Akgün, Avukat