10.07.2024 tarihli Resmi Gazete ’de yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik (“Yönetmelik”), 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi uyarınca kişisel verilerin yurtdışına aktarılmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Yönetmelik, kişisel verileri yurtdışına aktaran veri sorumluları ve veri işleyenler için geçerlidir.
Yurtdışına Veri Aktarımı Şartları
Kişisel veriler, ancak Kanun ve bu Yönetmelik hükümlerine uygun olarak yurtdışına aktarılabilir. Yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanacaktır. Yurtdışına veri aktarımının yapılabilmesi için aşağıdaki şartlardan birinin sağlanması gerekmektedir:
- Yeterlilik Kararı: Kişisel verilerin aktarılacağı ülke veya uluslararası kuruluş hakkında yeterli koruma sağlandığına dair Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından verilen karar.
- Uygun Güvenceler: Yeterlilik kararı bulunmayan durumlarda, ilgili kişinin haklarını koruma ve etkili kanun yollarına başvurma imkanını sağlayan uygun güvenceler.
- İstisnai Haller: Yeterlilik kararı ve uygun güvencelerin sağlanamadığı durumlarda arızi olmak kaydıyla belli başlı istisnai hallerin varlığı halinde yurtdışına kişisel veri aktarımı yapılabilecektir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir.
VERİ AKTARIMINDA İSTİSNAİ HALLER
1- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
2- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
3- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
4- Aktarımın üstün bir kamu yararı için zorunlu olması.
5- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
6- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
7- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Ancak belirtilmelidir ki kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
YETERLİLİK KARARI
Kurul, kişisel verilerin aktarılacağı ülkenin yeterli koruma sağladığını değerlendirir ve yeterlilik kararı verir. Bu karar en geç dört yılda bir yeniden değerlendirilir ve gerektiğinde değiştirilir, askıya alınır veya kaldırılır. Ancak kurul bu değerlendirme dönemi ile bağlı olmaksızın tespit etmesi halinde yeniden değerlendirme süreci yapabilecektir.
Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
1- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
2- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
3- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
4- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
5- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
6- Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Böylece veri aktarımının gerçekleşeceği ülkedeki durum göz önünde bulundurulacak ve kurulun yeterlilik kararı ile veri aktarımı gerçekleşecektir.
UYGUN GÜVENCELER
Yeterlilik kararı bulunmayan durumlarda, veri aktarımına uygun güvenceler sağlanarak izin verilebilir. Yukarıda da bahsedildiği üzere ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla uygun güvence durumu söz konusu edilebilecektir.
Uygun Güvence Halleri
1- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi gerekmektedir.
2- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
3- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
4- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
ULUSLARARASI SÖZLEŞME NİTELİĞİNDE OLMAYAN ANLAŞMA İLE UYGUN GÜVENCENİN SAĞLANMASI
Türkiye’deki kamu kurum ve kuruluşları ile yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımlarında, uluslararası sözleşme niteliğinde olmayan anlaşmalarda yer verilecek kişisel verilerin korunmasına yönelik hükümlerle uygun güvence sağlanabilir. Bu anlaşmalar kişisel veri aktarımının tarafları arasında yapılır. Anlaşmanın müzakere sürecinde Kurulun görüşüne başvurulur.
Anlaşmada Bulunması Gereken Hususlar
Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi bulunması, temel kavramlara ilişkin tanımların kanun ve ilgili mevzuata uygun olarak yapılması gerekmektedir. Aynı zamanda Kanunun 4. maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüttün sözleşmede yer almalıdır. İlgili kişilerin anlaşma ve kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar, ilgili kişilerin Kanunun 11. maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı için yapılacak başvuruya ilişkin usul ve esaslar anlaşmada bulunmalıdır. Aynı zamanda tarafların uygun veri güvenliği düzeyini sağlamak için gerekli teknik ve idari tedbirlerin alınacağına yönelik taahhüt ile özel nitelikli kişisel verilerin aktarılması halinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüttün anlaşmada bulunması şarttır.
Kişisel verilerin yurtdışına aktarımına ilişkin sonraki aktarımlar için de bu hükümler uygulanacağından kişisel verilerin sonraki aktarımına yönelik kısıtlamalar da anlaşmada yer almalıdır. Yönetmelik’te bu hususa ilişkin bulunması gerekenler tek tek yazılmış olup bu anlaşmaların oluşturulmasında dikkate alınması gerekmektedir.
Konuya ilişkin son olarak anlaşmaya dayanarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Başvuru kapsamında anlaşma metninin nihai hali ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
BAĞLAYICI ŞİRKET KURALLARIYLA UYGUN GÜVENCENİN SAĞLANMASI
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin, kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları aracılığıyla uygun güvence sağlaması mümkündür. Bu kurallar kapsamında kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulmalıdır.
Başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulmalıdır. Yabancı dildeki belgelerin noter onaylı çevirisi de başvuruya eklenmelidir. Türkçe metin esas alınır.
Bağlayıcı şirket kurallarının, teşebbüs grubunun tüm üyeleri için hukuken bağlayıcı ve uygulanabilir olmasına, ilgili kişi haklarının kullanılabileceğine dair taahhüt verilmesine ve bağlayıcı şirket kurallarının asgari olarak 13. maddede belirtilen hususları içermesine dikkat edilmelidir. Böylece kişisel veri aktarımına Kurul tarafından onay verildikten sonra başlanabilir.
Bağlayıcı Şirket Kurallarında Bulunması Gereken Hususlar
Teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri, kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülkeler, teşebbüs grubunun hem iç hem de diğer hukuki ilişkilerinde bağlayıcı kuralların hukuken bağlayıcı olduğuna yönelik taahhütleri içermelidir.
Ayrıca Kanunun 4. maddesinde belirtilen genel ilkelere uyum, kişisel verilerin işlenme ve güvenlik şartları, özel nitelikli kişisel verilerin işlenmesinde alınacak önlemler ve kişisel verilerin sonraki aktarımına yönelik kısıtlamalar, ilgili kişilerin Kanunun 11. maddesinde belirtilen haklarının kullandırılmasına ve Kurula şikâyette bulunma hakkının sağlanmasına yönelik taahhüt, Türkiye’de yerleşik olmayan bir üye tarafından kuralların ihlalinde Türkiye’deki veri sorumlusunun sorumluluğu üstleneceğine dair taahhüt de bağlayıcı şirket kurallarında bulunmalıdır.
Aydınlatma yükümlülüğü kapsamında ilgili kişilere bilgi verilmesine ilişkin açıklamalar, Çalışanlara kişisel verilerin korunması konusunda verilecek eğitimler, kurallara uyumun takibinden sorumlu kişilerin veya birimlerin görevleri, kurallara uyumun denetim ve doğrulanmasına yönelik mekanizmalar ve sonuçların raporlanması, kurallardaki değişikliklerin raporlanması ve Kurula bildirilmesine ilişkin mekanizmalar bulunmalıdır.
Son olarak Kişisel Verileri Koruma Kurum’u (“Kurum”) ile iş birliği yükümlülüğü, aktarılacak kişisel verilere ilişkin olarak, ülkelerdeki ulusal düzenlemelerle ilgili taahhüt ve olumsuz mevzuat değişikliklerinin bildirilmesi, kişisel verilere erişimi olan personele uygun veri koruma eğitimlerinin verilmesine yönelik taahhütlerin verilmesi de bağlayıcı şirket kurallarında bulunması ve dikkat edilmesi gereken hususlardır.
Standart Sözleşmeyle Uygun Güvencenin Sağlanması
Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren standart sözleşmelerle uygun güvence sağlanabilir.
Standart sözleşme, Kurul tarafından belirlenir ve ilan edilir. Standart sözleşme metni, üzerinde herhangi bir değişiklik yapılmadan kullanılmalıdır. Yabancı dilde düzenlenmesi durumunda Türkçe metin esas alınır. Standart sözleşme, kişisel veri aktarımının tarafları arasında yapılır ve taraflarca veya tarafları temsile ve imzaya yetkili kişilerce imzalanmalıdır.
Standart sözleşmenin imzalanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilmesi gerekir. Bildirim yükümlülüğünün hangi tarafça yerine getirileceği sözleşmede belirlenir. Belirlenmemişse, veri aktaran tarafından Kuruma bildirilir.
Bildirime, standart sözleşmeyi imzalayanların yetkili olduğunu gösteren belgeler ve yabancı dildeki belgelerin noter onaylı çevirileri eklenir. Kurulca ilan edilen standart sözleşme metninde değişiklik yapılması veya geçerli imzanın bulunmaması durumunda Kanunun 15. maddesi uyarınca Kurul tarafından inceleme yapılır.
TAAHHÜTNAMEYLE UYGUN GÜVENCENİN SAĞLANMASI
Aktarım tarafları arasında yapılacak yazılı bir taahhütnamede kişisel verilerin korunmasına yönelik hükümler yer alarak uygun güvence sağlanabilir.
Taahhütnamede Bulunması Gereken Hususlar
Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi, Kanun ve ilgili mevzuata uygun temel kavram tanımları, Kanunun 4. maddesinde belirtilen genel ilkelere uyum taahhüdü, ilgili kişilerin taahhütname ve kapsamındaki veri aktarımı hakkında bilgilendirilmesine ilişkin usul ve esaslar, ilgili kişilerin Kanunun 11. maddesindeki haklarını kullanabilme taahhüdü ve başvuru usulleri bulunmalıdır.
Ayrıca uygun veri güvenliği düzeyini sağlamak için gerekli teknik ve idari tedbirlerin alınacağına dair taahhüttün, özel nitelikli kişisel verilerin aktarılması durumunda Kurul tarafından belirlenen önlemlerin alınacağına dair taahhüttün, kişisel verilerin sonraki aktarımına yönelik kısıtlamaların da taahhütnamede yer alması gerekmektedir.
Taahhütnamenin ihlali durumunda başvurulabilecek hak arama yöntemleri, veri alıcısının Kurulun karar ve görüşlerine uyacağına dair taahhüt, ulusal düzenlemenin taahhütnameye uygunluğu engellemediği ve muhtemel mevzuat değişikliklerinin veri aktarana bildirilmesi taahhüdü, taahhütnameye uyulmaması halinde veri aktaranın veri aktarımını askıya alma ve taahhütnameyi feshetme hakkı da bulunması gereken unsurlar olarak sayılmıştır.
Taahhütnameye dayanarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaranın Kurula izin başvurusunda bulunması gerekir. Başvuruda taahhütname metni ve gerekli bilgi ve belgeler sunulur. Yabancı dilde akdedilmesi durumunda Türkçe metin esas alınır. Kişisel veri aktarımına Kurul tarafından izin verildikten sonra başlanabilir.
Veri Güvenliği ve Veri İşleyen Yükümlülükleri
Kişisel verilerin yurtdışına aktarımında veri işleyenlerin, veri sorumlusu tarafından belirlenen amaç ve kapsam çerçevesinde hareket etmesi ve gerekli güvenlik tedbirlerini alması zorunludur. Veri sorumlusu, veri işleyenin uygun tedbirler almasını sağlamakla yükümlüdür.
Uygulama ve Denetim
Yönetmelik’te belirtilen şartlara uyulmadığı tespit edilirse, Kurul tarafından inceleme başlatılabilir ve gerekli yaptırımlar uygulanabilir. Ayrıca, Kurul, yeterlilik kararlarını ve uygun güvence sağlayan mekanizmaları düzenli olarak gözden geçirir ve değerlendirir.
Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Türkiye’deki kişisel verilerin yurtdışına güvenli bir şekilde aktarılmasını sağlamak amacıyla kapsamlı düzenlemeler içermektedir. Bu düzenlemeler, kişisel verilerin korunması konusunda uluslararası standartlara uyum sağlamayı amaçlamaktadır.