Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Aynı gün, Kişisel Verileri Koruma Kurumu (“KVKK”) da standart sözleşme metinlerini, bağlayıcı şirket kuralları (“BŞK”) başvuru formlarını ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzları (“Yardımcı Kılavuzlar”) internet sitesinde yayınladı.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“Kanun”) verilerin yurt dışına aktarımına ilişkin gereklilikler yakın zamanda tadil edilmişti. 1 Eylül 2024 itibarıyla, verilerin yurt dışına aktarılabilmesi için; ya (i) KVKK tarafından aktarım yapılacak ülke veya ilgili sektör hakkında verilmiş yeterlilik kararı bulunması ya da (ii) aktarım yapacak veri sorumlusu veya veri işleyen tarafından Kanun’da belirtilen güvencelerden birinin uygulamaya alınmış olması gerekmektedir.
Yurt dışına veri aktarımı için yeterlilik kararları
Yönetmelik, KVKK tarafından yeterlilik kararı verirken göz önünde bulundurulacak hususlar ile bu kararların gözden geçirilmesine ilişkin olarak Kanun’daki düzenlemeleri tekrar etmektedir. Yönetmelik’te ek olarak, yeterlilik kararları ile bu kararların değiştirilmesine, askıya alınmasına ve kaldırılmasına dair kararların Resmi Gazete’de ve KVKK’nın internet sitesinde yayınlanacağı düzenlenmektedir. Şimdiye kadar KVKK tarafından verilmiş yeterlilik kararı bulunmamaktadır.
Yönetmelik ayrıca yeterlilik kararı olmayan hallerde yurt dışına aktarım yapacak veri sorumluları ve veri işleyenlerin uyması gereken güvencelerle ilgili de detaylı düzenlemeler içermektedir. Bu yazımızda, kamu kurumları dışındaki taraflar arasındaki veri aktarımları için gerekli olan güvenceleri inceleyeceğiz.
Grup şirketleri arasındaki veri aktarımları için BŞK
Yurt dışında yerleşik grup şirketlerine yapılacak veri aktarımları, aktarıma taraf olan şirketlere uygulanabilir veri koruma kuralları içeren BŞK’ye istinaden gerçekleştirilebilir.
BŞK’nin zorunlu içeriği ve şekli
BŞK’nin içermesi gereken asgari içerik Yönetmelik’te düzenlenmektedir. KVKK, bunlara ilave hususlar belirlemeye yetkilidir. BŞK’nin yabancı dilde de düzenlenmesi hâlinde Türkçe metin esas alınır.
Yardımcı Kılavuzlar uyarınca; (i) veri sorumlusu BŞK, aktarımı yapan veri sorumlusu ile aynı grup içindeki diğer bir veri sorumlusu veya veri işleyene yapılan aktarımlar için, (ii) veri işleyen BŞK ise grup üyesi tarafından Türkiye’de yerleşik ve grup üyesi olmayan bir veri sorumlusu adına veri işleyen veya alt veri işleyenlere aktarılarak işlenen veriler için geçerlidir.
KVKK’ya onay başvurusu
BŞK, KVKK’nın onayına tabidir. Aşağıdaki dokümanların KVKK’ya sunulması gerekmektedir:
KVKK, başvuru sahibinden ek bilgi ve/veya belge istemeye yetkilidir. Yabancı dildeki belgenin noter onaylı çevirisi de başvuruya eklenmelidir.
KVKK tarafından yayınlanan BŞK başvuru formları uyarınca, grubun merkezinin Türkiye’de bulunması halinde başvuru, bu merkez kuruluş veya kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından yapılmalıdır. İkinci durumda grup, merkez kuruluş yerine neden diğer bir grup üyesinin başvurucu olarak belirlendiğine ilişkin gerekçe sunmalıdır. Grubun merkezinin Türkiye dışında olması durumunda ise grup, Türkiye’de yerleşik bir grup üyesini, kişisel verilerin korunmasına ilişkin sorumlulukların devredilmiş olduğu “yetkili grup üyesi” olarak atamalıdır. KVKK’ya onay başvurusu grup adına bu yetkili üye tarafından yapılmalıdır.
KVKK’nın değerlendirmesi
KVKK, başvuruya konu BŞK’yi onaylarken aşağıdaki hususları göz önünde bulundurmaktadır:
Kişisel veri aktarımına, BŞK’nin KVKK tarafından onaylanmasından sonra başlanır.
KVKK tarafından yayınlanan standart sözleşmenin imzalanması
Bu yöntem, Kanun’da aksine bir düzenleme yer almadığından, yurt dışında üçüncü bir tarafa yapılacak veri aktarımlarında kullanılabileceği gibi, grup üyesine yapılacak veri aktarımlarında da (BŞK’ye alternatif olarak) kullanılabilir. Ancak ikinci durumda, aktarım yapılacak her bir grup şirketi ile ayrı ayrı standart sözleşme imzalanması gerekecektir.
Standart sözleşme için zorunlu içerik
KVKK, aktarıma taraf olanların rollerine bağlı olarak dört ayrı standart sözleşme yayınlamıştır: (i) veri sorumlusundan veri sorumlusuna, (ii) veri sorumlusundan veri işleyene,
(iii) veri işleyenden veri sorumlusuna ve (iv) veri işleyenden veri işleyene.
Yönetmelik uyarınca, KVKK tarafından yayınlanan standart sözleşmelerin taraflarca hiçbir değişiklik yapılmaksızın kullanılması gerekmektedir. Aksi halde KVKK tarafından Kanun’un ilgili maddesi uyarınca inceleme yapılacaktır. Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır.
Onay süreci yerine bildirim yükümlülüğü
BŞK’den farklı olarak, standart sözleşme onay sürecine tabi değildir. Ancak standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da KVKK tarafından belirlenen diğer yöntemlerle KVKK’ya bildirilmelidir. Taraflar, standart sözleşmede bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından KVKK’ya bildirilir.
Yönetmelik uyarınca, standart sözleşme taraflarında veya sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya sözleşmenin sona ermesi hâlinde de aynı usulde KVKK’ya bildirimde bulunulur. Bu ek bildirim yükümlülüğü Kanun’da yer almamaktadır. Bildirim yükümlülüğünün kapsamının Yönetmelik ile genişletilmesi, bu durumun normlar hiyerarşisine aykırı olduğuna dair tartışmalara sebebiyet verebilecektir.
KVKK tarafından yayınlanan taahhütnamenin imzalanması
Bu uygulama Kanun’da yakın zamanda yapılan değişiklikler öncesinde de mevcuttu. Geçmişte KVKK yurt dışına yapılacak aktarımlarda kullanılmak üzere taahhütname metinlerini hazırlamış ve yayınlamıştı. Ancak taahhütnameye istinaden yapılacak aktarımlara ilişkin Yönetmelik’le detaylı düzenlemeler getirilmiştir. Yönetmelik uyarınca imzalanacak yeni taahhütname metinleri henüz KVKK tarafından yayınlanmamıştır.
Taahhütnamenin zorunlu içeriği
Taahhütnamenin içermesi gereken asgari içerik Yönetmelik’te düzenlenmektedir. Taahhütname yabancı dilde akdedilecek olursa Türkçe metin esas alınacaktır.
KVKK’ya izin başvurusu
Taahhütnameye dayalı olarak yurt dışına aktarım yapacak veri sorumlusu veya veri işleyenin KVKK’dan izin almak üzere KVKK’ya başvurarak taahhütnameyi ve gerekli diğer bilgi ve belgeleri sunması gerekmektedir. Yönetmelik, gerekli diğer belgelerin neler olduğunu düzenlememektedir. KVKK tarafından taahhütname formu yayınlanırken gereken diğer bilgi ve belgelere ilişkin açıklama da yayınlanabilir. Kişisel veri aktarımına KVKK tarafından izin verilmesinde sonra başlanır.
Veri işleyenler tarafından yurt dışına veri aktarımı
Yönetmelik uyarınca veri işleyen tarafından yurt dışına veri aktarılması halinde veri işleyenin uygun seviyede veri güvenliğini sağlayabilmek adına gerekli teknik ve idari tedbirleri alması gerekmektedir. Veri işleyen, veri aktarımına başlamadan önce yukarıda belirtilen güvenceleri sağlamalıdır. Yönetmelik bu kapsamda BŞK’nin onaylanması, taahhütname için izin alınması veya standard sözleşmeye taraf olunması gibi veri sorumlusu tarafından dahil olunması gerekli idari bir süreç öngörmemektedir.
Her halükarda, kişisel verilerin veri işleyen tarafında yurt dışına aktarılması veri sorumlusunun, uygun güvencelerin alınması dahil, Kanun ve Yönetmelik kapsamındaki sorumluluğunu ortadan kaldırmamaktadır. Dolayısıyla veri sorumlularının, yurt dışına veri aktarımından önce ilgili veri işleyen tarafından uygun güvencelerin alındığından emin olması gerekmektedir.
İstisnai hallerde yurt dışına veri aktarımı
Yönetmelik, yeterlilik kararının bulunmadığı ve uygun güvencelerin sağlanamadığı durumlarda yurt dışına aktarım yapılabilecek istisnai haller bakımından Kanun’da yer alan düzenlemeleri tekrar etmektedir. Yönetmelik’te ek olarak, bu aktarımların düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olması gerekliliğinin altı çizilmektedir.
Sonuç
1 Eylül 2024 tarihine kadar ilgili kişinin açık rızasına istinaden yurt dışına veri aktarılmaya devam edilebilecektir. Ancak bu tarihten sonra açık rızaların kullanılabilmesi mümkün olmayacaktır. KVKK’nın yakın zamanda herhangi bir yeterlilik kararı vermesinin beklenmediği hususu da göz önünde bulundurulduğunda, veri sorumlusu ve veri işleyenlerin, uygun güvencelerin en geç 1 Eylül 2024 itibarıyla alınmış olması için Yönetmelik ve KVKK tarafından yayınlanan belgeler kapsamında gerekli hazırlıklara başlaması faydalı olacaktır.
ORTAK
Müşavvir Enerji / Elektrik Petrol ve Doğal Gaz Madencilik Taşımacılık ve Lojistik Kamu Özel İşbirlikleri ve İmtiyazlar İnşaat ve Altyapı Finansal Hizmetler Projeler ve Proje Finansmanı Bankacılık ve Finans Şirketler ve Ticaret Hukuku Sermaye Piyasası Hukuku Kamu İhale Hukuku Gayrimenkul Hukuku
AVUKAT
Avukat Tüketim Ürünleri Enerji / Elektrik Madencilik Savunma Şirketler ve Ticaret Hukuku Birleşme ve Devralmalar Dava ve Uyuşmazlık Çözümleri
AVUKAT
Stajyer Avukat
Haberdar Olun
Yasal ve mevzuat hakkında güncel bilgilere sahip olmak için abone olun.
ÇAKMAK © 2024 | Tüm hakları saklıdır.