REGISTER LOGIN

Kişisel Verileri Koruma Kurumundan Yeni Yıl Hediyesi: Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayımlandı!

07.01.2025
YAZICIOGLU LEGAL

Contents

Yeni yılın ikinci gününde, Kişisel Verileri Koruma Kurumu (Kurum) tarafından bu alanda çalışan uygulamacıların ve tüm paydaşların uzun süredir merakla beklediği Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (Rehber) yayımlandı.

Bildiğiniz gibi, 2024 yılı içerisinde, mevzuatın Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) yakınlaştırılması çalışmaları kapsamında Kişisel Verilerin Korunması Kanunu’nda (Kanun) önemli değişiklikler gerçekleştirilmiş ve yurt dışı aktarım rejimi büyük oranda değiştirilmişti. Ardından Kurum, standart sözleşme ve bağlayıcı şirket kuralları başvuru formu taslakları ile birlikte, yeni yurt dışı aktarım rejimine ilişkin detayların düzenlendiği Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’i (Yönetmelik) yayımlamıştı.

(Kanun değişikliği ve Yönetmelik ile getirilen yeni düzenlemelere ilişkin daha önce hazırladığımız infografik bilgi notumuza buradan erişebilirsiniz)

Bu gelişmelerin ardından, 1 Eylül 2024 tarihine kadar yeni yurt dışı aktarım rejimine uyum sağlamak zorunda olan birçok veri sorumlusu ve veri işleyen, başta standart sözleşme ve bağlayıcı şirket kuralları olmak üzere uyum çalışmalarını hızlandırmıştı. Ancak, yeni Kanun ve Yönetmelik hükümlerinin uygulamacılar tarafından farklı yorumlanması sebebiyle, uygulamada birçok belirsizlik ve fikir ayrılıkları ortaya çıkmıştı.

Kurumun bu belirsizlikler bakımından yol göstermesi ve uygulamada -özellikle standart sözleşmelerin hazırlanması konusunda- yeknesaklığı sağlamak amacıyla yeni yurt dışı aktarım rejimine ilişkin bir rehber hazırlığı içerisinde olduğundan bir çoğumuz haberdardı. İşte, Kurumun bu çalışmalarının neticesi olan Rehber, geçen hafta perşembe günü, 2 Ocak’ta, kamuoyu ile paylaşıldı. 

Bizler de Rehberde dikkatimizi çeken hususları sizler için aşağıda kısaca derledik.

A. Kanunun Kapsamı

▪️ Kanunun Yer Bakımından “Geniş” Uygulama Alanı: Uzun süredir, Kişisel Verileri Koruma Kurulunun (Kurul) Kanunun uygulama alanını belirlemek için Kabahatler Kanunu ve Türk Ceza Kanunu’nun yer bakımından uygulama alanı kurallarının uygulandığı düşünülmekteydi. Hatta, bu uygulamayı gösteren Kurulun bazı yayımlanmamış kararları da mevcuttu. Rehber ile Kurulun bu yaklaşımını ilk kez kamuoyuna açıklanmış oldu.

Buna göre, fiilin kısmen veya tamamen Türkiye’de işlenmesi ya da neticenin Türkiye’de gerçekleşmesi durumunda suç/kabahat Türkiye’de işlenmiş sayılmaktadır (mülkilik ilkesi). Rehber, bu ilkenin uygulanabilmesi için davranış ve neticenin aynı ülkede gerçekleşmesinin şart olmadığını, davranışın yapıldığı yer ile neticenin gerçekleştiği yerin farklı olabileceğini belirtmiştir. Bu bakış açısıyla Türkiye’de yerleşik kişilerin verilerinin yabancı veri sorumluları tarafından işlenmesi halinde bunların kanuna tabi olduğu sunucu çıkmaktadır.

Kurum, mülkilik ilkesinin bu şekilde geniş yorumlanması gerektiğini belirtmekle birlikte, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararına atıfta bulunarak, “Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurul’a bildirimde bulunulmasına (…) karar verilmiştir.” ifadesi doğrultusunda, Kanunun yer bakımından uygulama kapsamının “mülkilik ilkesi” yerine “etki ilkesi” üzerinden yorumlandığını belirtmiştir.

Yorumumuz: Bizce bu iki yaklaşım arasında bir çelişki bulunmaktadır. Zira, “sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi” zaten geniş yorumlanan mülkilik ilkesi çerçevesinde “neticenin Türkiye’de gerçekleşmesi” olarak kabul edilebilecek niteliktedir. Bununla birlikte Kurum, bu durumda neticenin Türkiye’de gerçekleşmeyeceğini düşünmüş ve neticenin Türkiye’de gerçekleşmediği durumlarda dahi “etki ilkesi” üzerinden Kanunun uygulanacağı sonucuna varılacağını belirtmek istemiş olabilir. Her halükârda, yeni bir kavram olan “etki ilkesinin” uygulanma koşulları ve etkinin ne zaman doğacağı konusundaki belirsizlikler, çeşitli tartışmaları da beraberinde getirme potansiyeli taşımaktadır. Kanımızca sadece “geniş yorumlanan mülkilik ilkesinin” dikkate alınması hukuki yorum açısından daha isabetli olacaktır. Ayrıca Kurumun “etki ilkesi”nden bahsetmesi, fakat “hedefleme ilkesi” dememesinin de bilinçli bir tercih olduğu; bu açıdan tam olarak GDPR’ı takip etmeyeceğini de belirtmekte olduğu görüşündeyiz.

Her halükârda Kurulun, Kanunun mümkün olduğunca geniş bir coğrafi alanda uygulanabilecek şekilde yorum yaptığı görülmektedir. 

▪️ “Geniş” Yorumlanan Aktarım Kavramı: Veri aktaranın kişisel verileri iletmesi veya erişilebilir hale getirmesi, çeşitli örneklerle somutlaştırılmıştır. Örneğin, bir hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, uzaktan erişim için etkili bir talebin onaylanması ya da kabul edilmesi, bir sabit sürücünün yerleştirilmesi veya bir dosyaya şifre gönderilmesi gibi faaliyetler, kişisel verilerin aktarımına örnek olarak verilmiştir. Özellikle sorun giderme veya yönetim amacıyla sunulan destek hizmetlerinde, yurtdışından gerçekleşen görüntülemeler söz konusu olduğunda, diğer kriterlerin varlığı durumunda kişisel verilerin yurt dışına aktarılmış kabul edileceği belirtilmiştir.

B. Doğrudan Toplama, Yurt Dışına Aktarım Oluşturmaz

Kişisel verilerin doğrudan ilgili kişi tarafından yurt dışına iletilmesi şeklinde ortaya çıkan ve ilgili kişi ile kişisel verileri toplayan arasında üçüncü kişi bir veri aktaranın bulunmadığı doğrudan toplama faaliyetlerinin, kişisel verilerin yurt dışına aktarımı olarak değerlendirilemeyeceği Kurum tarafından net bir şekilde ortaya konmuştur.

Kurum tarafından yapılan bu değerlendirme, esasen Yönetmelikte yer alan “Kişisel verilerin yurt dışına aktarılması” tanımından da anlaşılmaktaydı. Zira, Yönetmelikte yer alan tanım, bir faaliyetin kişisel verilerin yurt dışına aktarımı olarak değerlendirilmesi bakımından veri aktaran-veri alıcısı ilişkisinin varlığının gerekliliğini vurgulamaktaydı.

Kurum tarafından yer verilen örneklerde ise, doğrudan toplama faaliyetlerinin yurt dışına aktarım teşkil etmemesine karşın sonraki aktarımlar bakımından ayrıca değerlendirme yapılmasının gerekli olduğuna vurgu yapılmıştır. Bu bağlamda, doğrudan toplanan kişisel verilerin Türkiye haricinde bir ülkede bulunan veri alıcılarına -veri sorumlusu/veri işleyen/alt veri işleyen- aktarılması halinde, Kanun kapsamında yurt dışına aktarım hükümlerinin uygulanacağı net şekilde belirtilmiştir.

▪️ Üçüncü Ülkedeki Kanuna Tabi Veri Sorumlusunun Kişisel Verileri Doğrudan Toplaması ve Aktarması: Rehberde, kişisel verilerin doğrudan elde edilmesinin Kanun kapsamında veri aktarımı olarak kabul edilmediği belirtilmiş olsa da, Kanuna tabi bir veri sorumlusunun yurt dışına veri aktarımı hükümlerine tabi olacağı ifade edilmiştir. Bu açıklama, WhatsApp kararıyla ortaya çıkan soru işaretlerinin ortadan kalkmasını sağlamıştır.

▪️ Rehberde, Kanuna tabi üçüncü ülkedeki bir veri sorumlusunun Türkiye dışında bir ülkeye veri aktarımı söz konusu olduğunda, Kanunun yurt dışına veri aktarımı hükümlerinin uygulanması gerektiği açıkça belirtilmiştir. Rehberde verilen örneğe göre, Türkiye’de yaşayan bir kişinin internetten çanta satın alırken adı, soyadı ve e-posta adresini bir forma girdiği senaryoda, eğer internet sitesi Türkiye’de mukim olmayan ancak Türkiye pazarını hedefleyen bir üçüncü ülke şirketi tarafından işletiliyorsa ve siparişlerin işlenmesi de bu şirket tarafından yapılıyorsa, kişisel verilerin doğrudan toplandığı kabul edileceği; ancak veriler Türkiye dışında bir veri işleyene iletilirse, bu durumun veri aktarımı olarak kabul edileceği belirtilmiştir. Dolayısıyla, bu durumda Kanunun yurt dışına veri aktarımı hükümleri uygulanacaktır. Önemle vurgulamak gerekirse, bu örnekte veri işleyenin veri sorumlusuyla aynı ülkede olması bir fark yaratmayacak olup Türkiye dışında olması, verilerin yurt dışına aktarılması için yeterli bir kriter olarak kabul edilmiştir (Rehber Bölüm 4(A) Örnek-2).

▪️ Grup Şirketleri İçerisindeki Aktarımlar: Uygulamada merakla beklenen meselelerden birisi de özellikle grup şirketleri içerisinde alt şirketin ana şirketle veri paylaşımının nasıl değerlendirileceğiydi. Kurum Rehberde, alt şirketin çalışan verilerini merkezi bir insan kaynakları veri tabanında saklanması amacıyla üçüncü ülkedeki ana şirkete iletmesi durumunda, alt şirketin bu verileri işveren sıfatıyla ve veri sorumlusu olarak işlediğini belirtmiş; bu durumda ana şirketin de veri işleyen sıfatını taşıdığını kabul etmiştir. (Rehber Bölüm 4(A) Örnek-7).

▪️ Yorumumuz: -Her ne kadar örnek beklediğimiz açıklıkta gelmese de- bu örneğin hizmet sağlayıcılardan hizmet almak için bir sözleşme imzalayan ana şirketin bu hizmeti alt hesaplarla alt grup şirketlerince kullanabilir hale getirmesi halinde:

o   Alt grup şirketinin - veri sorumlusu,

o   ana şirketin - veri işleyen,

o   hizmet veren şirketlerin de - alt veri işleyen olarak konumlandırmasına imkan veren yapılara dayanak teşkil edebileceği görüşündeyiz.

C. Öncelikli Değerlendirme: Uluslararası Sözleşme ve Kanunlardaki Yurt Dışına Veri Aktarımı Hükümleri

Rehberde, yurt dışına veri aktarımı ile ilgili uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunması halinde, kişisel verilerin bu hükümler uyarınca aktarılabileceği belirtilmektedir.

Bu bağlamda, yeterlilik kararı, uygun güvenceler ya da istisnai aktarım halleri öncesinde, yurt dışına veri aktarımının ilk aşamasında, uluslararası sözleşme ya da diğer kanunlarda bir hüküm bulunup bulunmadığının değerlendirilmesi gerektiği vurgulanmaktadır.

Aslında bu husus, Kurumun Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’nde daha önce ifade edilmişti. Burada, Bankacılık Kanunu’nda yer alan “yurt dışına kişisel veri aktarımı ile ilgili özel hükümlerin” Kanuna göre öncelikle uygulama alanı bulacağı belirtilmiştir.

Yorumumuz: Rehberde de vurgulanan bu yaklaşımın, özel kanunları yurt dışına kişisel veri aktarımı içeren regüle edilmiş sektörler açısından kolaylaştırıcı bir unsur olacağı görüşündeyiz. Hatta Rehberde verilen örnek, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun -şimdi yürürlükten kalmış olsa da- bazı maddeleridir. Dolayısıyla, ortada regüle bir sektörü düzenleyen özel bir kanun olmasa dahi herhangi bir kanunda yurt dışına kişisel veri aktarımı içeren bir hüküm olması halinde öncelikle bu hüküm uygulanacak, Kanunun yurt dışı aktarım kuralları uygulanmayacaktır. Bu durum başka kanunlarda düzenlenen belirli aktarımlarda standart sözleşme gibi güvencelerin sağlanmasına gerek olmayacağı anlamına gelmektedir.

D. Arızi Aktarımlar

Yeni aktarım rejimi ile getirilen en önemli değişikliklerden biri de yeterlilik kararının bulunmaması ve uygun güvencelerden birinin de sağlanamaması durumunda, arızi olması kaydıyla -yani tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan istisnai hallerde-, Kurumdan izin alınmasına gerek olmadan yurt dışına aktarım yapılabilmesi imkanıydı.

Ancak, uygulamada ne tür aktarımların arızi aktarım kapsamında değerlendirilebileceği konusunda birtakım fikir ayrılıkları söz konusuydu. İşte, Rehberde bu tür fikir ayrılıklarını gidermek amacıyla değinilen hususlardan öne çıkanlar ise şu şekilde:

▪️ Arızi Haller: Arızi hallerde gerçekleşen veri aktarımları, istisnai bir durum olarak değerlendirilmeli ve son derece dar bir yorumla ele alınmalıdır.

Rehbere göre, veri aktaran ile veri alıcısı arasında süregelen bir ilişkinin sonucu olarak düzenli bir şekilde yapılan veri aktarımları, sistematik ve sürekli tekrarlanan bir aktarım olarak kabul edilir ve arızi aktarım kapsamına girmez.

Örnek:

Bir veri alıcısına doğrudan bir veri tabanına erişim izni verilmesi, düzenli ve süreklilik arz eden bir aktarım olarak değerlendirilmeyecek ve arızi aktarım kapsamında sayılamayacaktır.

Ayrıca yine Rehberde, arızi aktarımların birden fazla kez gerçekleşebileceği, ancak bu aktarımların istisnai olarak nitelendirilebilmesi için düzenli olmaması, süreklilik arz etmemesi, öngörülemeyen koşullar altında ve belirsiz zaman aralıklarında olağan faaliyet akışının dışında gerçekleşmesi gerektiği vurgulanmaktadır.

Örnek:

Bir turizm şirketinin müşterilerinin rezervasyon bilgilerini paylaşması, şirketin olağan iş süreçlerinin bir parçası olduğu için arızi aktarım sayılamayacak, işin niteliği gereği düzenli olarak yapıldığından istisnai bir işlem olarak kabul edilemeyecektir.

▪️ Arızi Aktarımda Açık Rızaya Dayanılması: Açık rıza, yurt dışına aktarım gerçekleşmeden önce alınmalıdır. Ancak, aktarımın öngörülemediği durumlarda, açık rıza “ne olur ne olmaz” anlayışıyla önceden alınmamalıdır. Rıza, aktarımın öngörüldüğü anda ve bu işlem için özel olarak verilmelidir.

Arızi aktarımlar için açık rıza bilgilendirmesi şu unsurları içermelidir:

▪️ Veri aktaranın kimliği,

▪️ Aktarımın amacı,

▪️ Aktarılan kişisel verilerin türü (kategori değil, spesifik veriler),

▪️ Açık rızanın geri alınabilir olduğu,

▪️ Açık rızanın aktarım için yasal bir gerekçe teşkil ettiği,

▪️ Verilerin aktarılacağı ülke için güvenli ülke kararı bulunmadığı,

▪️ Aktarımın olası riskleri.

Ayrıca, ilgili kişiler, kişisel verilerinin yeterli koruma sağlamayan bir ülkeye aktarılacağı konusunda bilgilendirilmelidir. Bu ülkede verilerin korunmasına yönelik yeterli güvenlik önlemlerinin bulunmadığı ve bu durumdan kaynaklanan özel riskler hakkında açık şekilde bilgi verilmesi şarttır.

E. Standart Sözleşmelerin Hazırlanması

Kurum tarafından, kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşmeler yayımlanmış olmakla birlikte, bu sözleşmelerin hazırlanması bakımından uygulamada bazı soru işaretleri ortaya çıkmıştı. Yayımlanan Rehber ile birlikte bu belirsizliklerin bazıları açıklığa kavuşmuştur.

Bu kapsamda:

▪️ Sözleşmelerin çift sütunlu olarak düzenlenebileceği ancak her halükarda Türkçe metnin esas alınacağı belirtilmiştir.

▪️ Her ne kadar ilgili başlıkta “Kişisel Veri Kategorileri” ifadesi yer alsa da, Kurum tarafından ilgili başlıkta yer verilen açıklamada veri kategorisine ek olarak kişisel veri türlerinin de yer aldığı görülmektedir. Bu nedenle Kurumun yalnızca kişisel veri kategorilerine yer verilmesini yeterli görmeyeceği ve kişisel veri türlerine de yer verilmesi gerektiği söylenebilecektir.

▪️ Aktarılan kişisel veri türlerinin hangi ilgili kişi grubu/gruplarına ilişkin olduğunun eşleştirilerek belirtilmesi gerektiği dile getirilmiştir.

▪️ Kişisel verilerin veri aktaran tarafından yurt dışına aktarımına ilişkin amaçlara ek olarak, veri alıcısının işleme amaçlarına da yer verilmesi gerektiği belirtilmiştir.

▪️ Sözleşmeler, aktarımın tarafları arasında akdedilmelidir.

▪️ Sözleşme bildirimlerinde yabancı bir ülkeden alınan resmi belgeler kullanılıyorsa (Yabancı Resmi Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi'ne taraf bir ülkeden alınmış ise) apostil şerhi alınmasının, aksi halde ilgili ülkedeki konsolosluk veya diplomatik memurlardan ilgili belgeler bakımından tasdik alınmasının bekleneceği belirtilmiştir.

▪️ Aktarımın, Kanundaki hangi işleme şartına dayanılarak gerçekleştirileceğinin belirtilmesi gerektiği ifade edilmiştir.

Yorumumuz: Söz konusu kanun değişikliği yapıldığından beri süre gelen bir tartışma bulunuyor: “Yurt dışına aktarımda ayrı bir hukuki sebep belirlemeli miyiz, yoksa ana işleme faaliyet için dayanılan hukuki sebep, aktarım için de geçerli olur mu?” Maalesef Rehber buna net bir cevap vermemiş görünüyor. Fakat en azından standart sözleşmede “Aktarımın hukuki sebebi” kısmında aktarıma ilişkin bir hukuki sebep yazılması gerektiği, ana işleme faaliyetinin hukuki sebebinin yazılmasının beklenmediği gibi bir anlam çıkartılabileceği görüşündeyiz. Fakat bu hususun Rehberin güncellemelerinde netleştirilmesi uygulama açısından çok faydalı olacaktır.

F. Bağlayıcı Şirket Kuralları

Rehberde, Kuruma yapılacak bağlayıcı şirket kuralları başvurusunun ancak Kurum tarafından onaylanması durumunda, kişisel verilerin yurt dışına aktarılabileceği belirtilmektedir. Dolayısıyla, eski aktarım sisteminde taahhütname başvurularında olduğu gibi, Kurumun onayından önce aktarım faaliyetlerine başlanması halinde yaptırım riski ile karşılaşılması riski söz konusu olabilecektir.

Ancak, yine Rehberde, Kurum tarafından verilen onayın, her veri işleme faaliyetinin Kanundaki tüm gerekliliklerle uyumlu olup olmadığı hususunda Kurum tarafından değerlendirme yapıldığı anlamına gelmediği ve veri aktaranın, her aktarım faaliyeti için Kanunda yer alan gerekliliklerin karşılandığından emin olması gerektiği vurgulanmıştır.

Ayrıca Rehberde, şirketler grubunun merkezinin Türkiye’de bulunması halinde başvurunun, bu merkez kuruluş veya belirli koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından -bu kuruluşun neden başvurucu olarak belirlendiğine ilişkin ek gerekçeler ile birlikte- yapılması gerektiği ifade edilmektedir. Grubun merkezinin Türkiye dışında olması halinde ise, grup, Türkiye’de yerleşik bir grup kuruluşunu, kişisel verilerin korunmasına ilişkin sorumlulukların devredilmiş olduğu yetkili grup üyesi olarak atamalı ve bu yetkili kuruluş da daha sonrasında grup adına başvuruyu Kuruma sunmalıdır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th

Popular Articles on Data Protection & Privacy

Kişisel Verileri Koruma Kurulunun 2023/134 Sayılı Kararı Doğrultusunda Tiktok Hakkında 1.750.000 TL İdari Para Cezası Uygulanmasına Karar Verildi
Data Protection & Privacy 2023 Guide for Turkey - 2
Data Protection & Privacy 2023 Guide for Turkey - 1
Epic Games, Çocuk Mahremiyeti İhlalleri ve İstenmeyen Ücretlerle İlgili FTC İddiaları Üzerine 520 Milyon Dolar Ödeme Yapacak
Guide to Direct Marketing Using Live Calls Published By ICO

Latest Insights from YAZICIOGLU LEGAL

Kişisel Verileri Koruma Kurumundan Yeni Yıl Hediyesi: Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayımlandı!
A New Year’s Gift from the Turkish Data Protection Authority: The Guideline on Transferring Personal Data Abroad Has Been Published!
Kişisel Verileri Koruma Kurulu’ndan Lokasyon (Yer) Bazlı Pazarlamaya ve Ortak Veri Sorumluluğuna İlişkin Önemli Bir Karar
E-ticaret Şirketlerinin Coğrafi Veri İzni Alma Zorunluluğunda Önemli Değişiklikler
Tüketicinin Korunması ve E-Ticaret Düzenlemelerinde Önemli Değişiklikler
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent