Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) kişisel verilerin yurt dışına aktarılmasına ilişkin önemli değişiklikler yapılmış, akabinde Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanmıştı. Kişisel Verileri Koruma Kurulu, (“Kurul”) anılan mevzuat değişikliklerinin öngördüğü güvencelere ilişkin beklentilerini sunmak ve uygulamadaki soru işaretlerini gidermek amacıyla 02.01.2025 tarihinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni (“Rehber”) yayımlamıştır. Rehber’de yer alan bazı önemli hususlara aşağıda yer verilmiştir.

1. Yurt Dışına Veri Aktarımı Hükümlerine Tabi Olma

Rehber, veri aktaran ve veri alıcısının yerlerine göre kişisel veri aktarımının Kanun hükümlerine tabi olup olmayacağını örneklerle açıklamaktadır. Buna göre, yabancı ülkedeki veri sorumlusunun kişisel veriyi doğrudan veri sahibi ilgili kişiden elde etmesi halinde bu işlem yurt dışına veri aktarımı teşkil etmemektedir. Ancak yabancı ülkedeki veri sorumlusu doğrudan elde ettiği veriyi yine yabancı ülkedeki bir veri işleyene aktaracak olursa Kanun’un yurt dışına aktarım hükümleri uygulanacaktır. Örneğin yabancı ülkede yerleşik ve Türkiye pazarını hedefleyen bir şirketten internet üzerinden alışveriş yapan ve Türkiye’de yaşayan veri sahibinin kişisel verisini iletmesi, yurt dışına veri aktarımı olarak değerlendirilmemektedir. Ancak bu yabancı şirketin aynı veya farklı yabancı ülkedeki veri işleyene kişisel veriyi iletmesi yurt dışına veri aktarımı olarak değerlendirilecektir.

Öte yandan (i) Türkiye’deki veri sorumlusunun yabancı ülkedeki veri sorumlusuna, (ii) Türkiye’deki veri sorumlusunun yabancı ülkedeki veri işleyene, (iii) Türkiye’deki veri işleyenin yabancı ülkedeki veri sorumlusuna, (iv) Türkiye’deki veri işleyenin yabancı ülkedeki alt veri işleyene gerçekleştireceği aktarımlar yurt dışına veri aktarımı hükümlerine tabidir. Bu kapsamda örneğin yabancı şirketin Türkiye’deki iştirakinin çalışan verilerini merkezi bir insan kaynakları veri tabanında saklanması amacıyla ana şirket olan yabancı şirkete iletmesi halinde de yurt dışına veri aktarımı hükümleri uygulama alanı bulmaktadır. Bir diğer örnekte açıkça ifade edildiği üzere, Türkiye’deki veri sorumlusu şirketin çalışan ve müşterilerinin kişisel verilerini yurt dışındaki veri işleyene (veri saklama hizmeti alınması gibi bir gerekçeyle) iletmesi yurt dışına veri aktarımı teşkil etmektedir.

2. Standart Sözleşmeler

Yukarıda anılan mevzuat değişiklikleriyle kişisel verilerin yurt dışına aktarımı için üç aşamalı bir uyum mekanizması getirilmiş, bunlardan uygun güvencenin sağlanması koşulu altında yer alan standart sözleşmeler ise pratik bir araç olarak uygulamada ilgi görmüştü. Rehber, standart sözleşmelerin hazırlanmasında uygulamada görülen soru işaretlerini gidermek amacıyla bazı açıklamalara yer vermiştir. Buna göre, standart sözleşmenin Türkçe metin dikkate alınacak şekilde Türkçe ve başka dilde birden fazla sütunda düzenlenmesi mümkündür. Standart sözleşme taslağında açıkça ifade edilmemiş olsa da Rehber’de ifade edildiği üzere yurt dışına aktarılan kişisel verilerin ilgili olduğu kişi grubu veya grupları her bir kişisel veri bazında belirtilmelidir. Ayrıca yalnızca veri kategorisine (örneğin, iletişim) değil, veri türüne de (örneğin, e-posta adresi) de standart sözleşmede yer verilmelidir.

3. İstisnai Aktarımlar

Yukarıda anılan mevzuat değişiklikleri uyarınca, Kurul tarafından verilen bir yeterlilik kararı bulunmaması ve uygun güvencelerden herhangi birinin de sağlanamaması durumunda arızi olmak kaydıyla herhangi bir izin veya bildirim gerekmeksizin yurt dışına istisnai olarak kişisel veri aktarılabileceği düzenlenmişti. Rehber, arızi niteliğin sağlanabilmesi için aktarımın olağan faaliyet akışı dışında ve düzenli olmamak kaydıyla bir veya birden fazla kez, öngörülemeyen koşullar altında ve belirsiz zaman aralıklarında gerçekleşmesi gerektiğini ifade etmektedir. Bu durumda veri aktaran ile veri alıcısı arasında süregelen bir ilişkinin sonucu olarak düzenli bir şekilde gerçekleşen kişisel veri aktarımları bu kapsamda kalmamaktadır. Örneğin veri alıcısına bir veri tabanına doğrudan erişim izni verilmesi, kural olarak düzenli ve süreklilik arz eden bir veri aktarımı olarak kabul edilecek ve arızi nitelikte olmayacaktır. Ayrıca olağan faaliyet akışı içinde kalan aktarımlar da arızi nitelik arz etmemektedir. Örneğin bir turizm şirketinin müşterilerinin rezervasyon bilgilerine ilişkin yapacağı aktarımların şirketin olağan faaliyet akışı içinde kalacağı ve arızi nitelik taşımadığı kabul edilecektir.

Herhangi bir sorunuz olması halinde bize ulaşabilirsiniz.