12.03.2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile birlikte Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) özel nitelikli kişisel verilerin işlenmesine ve kişisel verilerin yurt dışına aktarılmasına ilişkin önemli değişiklikler yapılmış, kişisel verilerin yurt dışına aktarılmasına ilişkin değişikliklerin 01.09.2024 tarihinde yürürlüğe gireceği düzenlenmişti. Anılan değişiklik ile ilgili daha detaylı bilgiye buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurumu (“Kurum”), kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleme amacıyla bir yönetmelik taslağı düzenlemiş ve taslağı kamuoyunun görüşüne ve değerlendirmesine sunmuştu. İlgili taslak, büyük ölçüde korunarak Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) başlığıyla Kurum tarafından Resmî Gazete’de 10.07.2024 tarihinde yayınlanarak yürürlüğe girmiştir.

Kanun ile paralel olarak Yönetmelik uyarınca genel veri işleme şartlarından veya özel nitelikli kişisel veri işleme şartlarından birinin varlığı halinde ve aşağıda kademeli olarak açıklanan ek koşullardan biri sağlanarak açık rıza aranmaksızın yurt dışına veri aktarımına izin veren bir düzenleme öngörülmüştür.

1. Buna göre, ilk olarak, veri aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektör hakkında Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yeterlilik kararı verilmiş olması gerekmektedir. Yeterlilik kararı verilirken karşılıklılık durumu, aktarım yapılacak yerdeki kurallar ve koruma mekanizmaları ile uluslararası sözleşmeler gibi kriterler dikkate alınacaktır. Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecektir. Kurul, gerekli gördüğü takdirde daha kısa bir yeniden değerlendirme dönemi belirleyebileceği gibi bu süre ile bağlı olmaksızın yeterlilik kararını gözden geçirerek ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Yeterlilik kararları ile değiştirme, askıya alma ve kaldırma kararları Resmî Gazete’de ve Kurum’un internet sitesinde yayınlanacaktır.

2. Kurul tarafından verilen bir yeterlilik kararının bulunmaması durumunda aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla uluslararası sözleşme niteliğinde olmayan anlaşma, bağlayıcı şirket kuralı, standart sözleşme, taahhütname gibi Kanun’da sayılan uygun güvencelerden birinin taraflarca sağlanması halinde yurt dışına veri aktarımı yapılabilecektir.

i. Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında uluslararası sözleşme niteliğinde olmayan anlaşma akdedilmesi yoluyla uygun güvencenin tesis edilmesi mümkündür. Anlaşmanın içeriğinde kişisel verilerin korunması amacına hizmet eden ve Yönetmelik’te sayılmış olan hükümlere yer verilecektir. Anlaşma ve ilgili bilgi ve belgeler Kurul’un onayına sunulacak, Kurul’un onayı akabinde veri aktarımına başlanacaktır.

ii. Uygun güvence, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu ve kişisel verilerin korunmasını amaçlayan bağlayıcı şirket kurallarının kararlaştırılmasıyla da tesis edilebilecektir. Bağlayıcı şirket kurallarına dayanılarak veri aktarılması için Kurul’un onayına başvurulacaktır. Veri sorumluları ve veri işleyenler için bağlayıcı şirket kuralları başvuru formları, 10.07.2024 tarihinde Kurum’un internet sitesinde yayınlanmıştır. Başvuru formunda bağlayıcı şirket kurallarının taraflar ve çalışanları için hukuken bağlayıcı ve uygulanabilir olduğuna, veri aktarımın yapıldığı yerde ilgili kişinin haklarının korunabileceği taahhüdüne, ortak teşebbüs grubunun yapısına, tedbirlere ve veri akışına ilişkin detaylara yer verildiği görülmektedir.

iii. Uygun güvence; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme imzalanması vasıtasıyla da sağlanabilecektir. Veri sorumlularıyla veri işleyenler arasındaki veri aktarımlarında kullanılacak olan standart sözleşme metinleri, 10.07.2024 tarihinde Kurum’un internet sitesinde yayınlanmıştır. Bu sözleşmeler, üzerinde herhangi bir değişiklik yapılmaksızın kullanılacak ve Kurum’a bildirilecektir. Uygun güvence teşkil eden diğer yöntemlerden farklı olarak standart sözleşmenin imzalanması ve Kurul’a bildirilmesi yeterlidir. Ancak sözleşme metninde değişiklik yapılması halinde Kurul, standart sözleşme metnini aşağıda detaylarına yer verilen taahhütname olarak nitelendirip onay için incelemeye alacaktır.

Ayrıca, Kanun’da düzenlenen standart sözleşmelerin Kurum’a bildirim yükümlülüğünün kapsamı, Yönetmelik ile genişletilmiştir. Kanun uyarınca standart sözleşmenin 5 gün içinde Kurum’a bildirilmesi gerekmekteyken Yönetmelik, standart sözleşmenin taraflarında veya içeriğinde meydana gelen değişikliğin veya standart sözleşmenin sona ermesinin de Kurum’a bildirileceğini düzenlemiştir. Bu ayrım, Kanun’da ihlali idari para cezası yaptırımına tabi tutulan bir yükümlülüğün kapsamının Yönetmelik ile genişletilmesine yol açtığından eleştiriye tabi tutulabilecektir.

iv. Nihayet uygun güvence veri aktarımının tarafları arasında akdedilecek yazılı bir taahhütname vasıtasıyla sağlanabilecektir. Taahhütnamenin içeriğinde kişisel verilerin korunması amacına hizmet eden ve Yönetmelik’te sayılmış olan hükümlere yer verilecektir. Taahhütname Kurul’un onayına sunulacak, Kurul’un onayı akabinde veri aktarımına başlanacaktır.

3. Son olarak, yeterlilik kararı ve uygun güvencelerin sağlanamaması halinde de arızi olmak kaydıyla aktarım yapılabilecektir. Arızi aktarımdan düzenli olmayan, bir veya birkaç defa gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar anlaşılır. Ancak bu hükmün de ilgili kişinin aydınlatılmış açık rızası, sözleşmenin ifası, üstün kamu yararı gibi Kanun’da ve Yönetmelik’te sayılan bazı zorunlu hallerde yapılacak olan aktarımlara izin verdiğine dikkat çekmek gerekmektedir.

Herhangi bir sorunuz olması halinde bize ulaşabilirsiniz.