Giriş

12.03.2024 tarihli ve 32487 sayılı Resmi Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile birçok kanunda değişiklik ve düzenleme yapılmış; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nda da kişisel verilerin yurt dışına aktarımına ilişkin önemli değişikliklere yer verilmişti.

Bu yazımızda, 10.07.2024 tarihli ve 32598 sayılı Resmi Gazete’de, KVKK’nın 9. maddesine dayanılarak yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) incelenmiştir:

  1. Kişisel verilerin yurt dışına aktarılması hususunda belirli usuller öngörülmüştür.

Yönetmelik’in 6. maddesinde kişisel verilerin yurt dışına aktarılma usulleri kapsamlı düzenlenmiş bulunmaktadır.

Kişisel verilerin yurt dışına aktarılabilmesinde öngörülen usullerden biri, aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının bulunmasıdır.

Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla ve uygun güvencelerden birinin taraflarca sağlanması halinde kişisel verilerin aktarılabileceğidir.

Yönetmelik’in m.6/2 hükmünde yukarıda yeterlilik kararı bulunmaması ve uygun güvencelerden birinin sağlanamaması halinde arızi olmak kaydıyla belli istisnai hallerde yurt dışına kişisel veri aktarabileceği düzenlenmiştir.

Sonuç itibariyle kişisel verilerin yurt dışına aktarılabilmesi için;

  • Yeterlilik kararının bulunması,
  • Yeterlilik kararı yok ise ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla uygun güvencelerden birinin sağlanması,
  • Hem yeterlilik kararının olmaması hem de ve uygun güvencelerden birinin sağlanamaması halinde ise belirtilen istisnai hallerin bulunması,

gerekmektedir. 

1.1. Yeterlilik Kararına Dayalı Aktarımlar

Yönetmelik’in 8. maddesinde Kurul’un, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebileceği, bu yeterlilik kararı verilirken;

  • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu
  • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar
  • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu
  • Türkiye’nin taraf olduğu uluslararası sözleşmeler

gibi hususların dikkate alınacağı düzenlenmiştir.

Kurul tarafından verilen yeterlilik kararları Resmi Gazete’de ve Kurumun internet sitesinde yayımlanacaktır.

Yönetmelik’in 9. maddesinde ise yeterlilik kararlarının en geç 4 yılda bir yeniden değerlendirileceği düzenlenmiş; Kurul’un, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi halinde kararını ileriye etkili olmak üzere değiştirebileceği, askıya alabileceği veya kaldırabileceğine yer verilmiştir.

1.2. Uygun Güvenceye Dayalı Aktarımlar

Yeterlilik kararı bulunmaması halinde ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması şartıyla kişisel verilerin, taraflarca uygun bir güvence sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceğini ifade etmiştik. Yönetmelik’in 10. maddesinde bu uygun güvenceler;

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi,

olarak sayılmıştır.

1.3. Uluslararası sözleşme niteliğinde olmayan anlaşmalar

Yönetmelik’in 11. maddesinde uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabileceği düzenlenmiştir. Bu anlaşmalar, kişisel veri aktarımının tarafları arasında akdedilecektir.

Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin aşağıdaki hususları içermesi gerektiği düzenlenmiştir:

  • Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi
  • Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar
  • Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt
  • İlgili kişilerin anlaşma ve anlaşma kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar
  • Kişisel verileri aktarılan ilgili kişilerin Kanunun 11inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar
  • Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt
  • Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt
  • Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar
  • Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri
  • Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin uygulanmasına ilişkin denetim mekanizması
  • Veri alıcısının, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlere uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme
  • Veri alıcısının anlaşmanın feshedilmesi veya yürürlük süresinin sona ermesi hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt

1.4. Bağlayıcı şirket kuralları

Bağlayıcı şirket kuralları da Kanun ve Yönetmelik’te uygun güvenceler arasında sayılmıştır.

Yönetmelik’in 12. Maddesinde bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenmesi gerektiği ve bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi halinde Türkçe metnin esas alınacağına da yer verilmiştir.

Kurul tarafından bağlayıcı şirket kuralları onaylanırken, bağlayıcı şirket kurallarının çalışanları da dahil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması, bağlayıcı şirket kurallarında ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması ve Yönetmelik’in 13. maddesinde belirtilen asgari hususları içermesi gibi durumlar göz önünde bulundurulacaktır.

1.5. Standart sözleşmeyle uygun güvencenin sağlanması

Uygun güvenceler arasında sayılan standart sözleşmeler, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden sözleşmedir.

Yönetmelik’in 14. maddesinde detaylı olarak düzenlenen bu standart sözleşmeler Kurul tarafından belirlenecek ve ilan edilecek olup; standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması da zorunlu kılınmıştır.

1.6. Taahhütnamelerle uygun güvencenin sağlanması

Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilecektir. Yönetmelik’in 15.

maddesinde taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümlerin hangi hususları içermesi gerektiği ayrıca düzenlenmiş bulunmaktadır.

1.7. İstisnai aktarımlar

Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece belirtilen istisnai aktarım hallerinden birinin varlığı halinde yurt dışına aktarılabileceğini ifade etmiştik. Bu istisnai haller Yönetmelik’in 16. maddesinde düzenlenmiş olup; aşağıda yer almaktadır:

  1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi
  2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması
  3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması
  4. Aktarımın üstün bir kamu yararı için zorunlu olması
  5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması
  6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması
  7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması
  8. Kişisel verilerin veri işleyenler tarafından yurt dışına aktarılması halinde veri işleyenler; veri sorumlularının belirlediği amaç ve kapsam içinde verilen talimatlara uygun olarak hareket etmelidir.

Yönetmelik’in 7. maddesinde kişisel verilerin veri işleyen tarafından yurt dışına aktarılması halinde veri işleyenin, veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket edeceği düzenlenmiştir.

Veri işleyen, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdır.

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, KVVK’da ve Yönetmelik’te öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmayacağını da belirtmeliyiz.

  1. Yürürlük Tarihi

Yönetmelik, yayım tarihi olan 10.07.2024 tarihinde yürürlüğe girmiştir.