Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik
Contents
- I. Yönetici Özeti
- II. Kanun Değişikliği ve Yönetmelik ile Düzenlenen Hususlar
- 1. Yeterlilik Kararı Bulunması
- 2. Uygun Güvencelere Dayalı Aktarımlar
- 3. İstisnai Aktarımlar
- 4. Yaptırım Riski
- III. Sonuç
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10.07.2024 tarihli Resmi Gazete’de yayımlanmıştır.
Yönetmelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) 12.03.2024 tarihinde gerçekleşen değişiklik (“Kanun Değişikliği”) doğrultusunda oluşturulmuş ve kişisel verilerin yurt dışına aktarılmasında izlenecek usul ve esasları belirlemiştir.
I. Yönetici Özeti
Aşağıda ayrıntılı olarak açıklayacağımız üzere, Yönetmelik ile KVKK ile paralel olarak şekilde kişisel verilerin yurt dışına aktarım sürecinde izlenecek yolun ayrıntıları şöyle düzenlenmiştir: [1]
— Veri işleyenlerin veri sorumlusunun talimatlarına KVKK ve Yönetmelik’e uygun bir aktarım süreci yürütmesi gerekmektedir.
— Aktarım yapılacak ülkede yeterlilik kararı bulunmaması halinde kişisel verilerin aktarımı için uygun güvencelerin varlığının aranmaktadır.
— Uygun güvencelerin, aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yoluna başvurma imkanının bulunmasının yanı sıra aktarıma ilişkin özel bir uluslararası anlaşmanın bulunması, bağlayıcı şirket kurallarının varlığı, aktarım yapılan tarafla akdedilen bir standart sözleşmenin varlığı veya KVK Kurulu’na onaylatılmış bir aktarım taahhütnamesinin varlığı olarak sıralanabilmektedir.
— Yukarıda belirtilen hususlar haricinde kişisel verilerin yurt dışına arızi hallerde açık rıza alınarak aktarılabileceği düzenlenmiştir.
— Aktarım sürecinde bilgi güvenliğine ilişkin önlemler alınmalıdır.
— Uyum sürecinin takibi için öncelikle yurt dışına aktarım yapılan süreçlerde çalışılan tedarikçilerin ve aktarım yapılan ülkelerin listelenmesi, bu şirketlerle standart sözleşme akdedilmesi ve 1 Eylül 2024 tarihi sonrasında KVK Kurumu’na sunulması gerekmektedir.
— Veri aktarımı gerçekleştirilen uluslararası grup şirketler arası bağlayıcı şirket kuralları imzalanmışsa bu belgenin Kurum’a sunulması önerilmektedir.
Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin belge örnekleri KVKK internet sitesinde 10 Temmuz 2024 tarihinde duyuru olarak yayınlanmıştır. [2]
Bu bilgiler ışığında öncelikle kişisel veri envanterinin şirket içinde departmanlara iletilip tedarikçi ve verilerin paylaşıldığı ülke bilgilerinin doğruluğunun teyit edilmesini önerdiğimizi belirtiriz.
II. Kanun Değişikliği ve Yönetmelik ile Düzenlenen Hususlar
KVKK’nın 9. maddesi kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Kanun Değişikliği ve Yönetmelik ile birlikte; Kişisel verilerin yurt dışına aktarılmasında açık rıza temelli anlayıştan yeni bir sistematiğe geçiş yapılarak yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım ve arızi hallere dayalı aktarım şeklinde üç farklı alternatif getirilmiştir.
1. Yeterlilik Kararı Bulunması
Yurt dışına kişisel veri aktarılabilmesini öngören ilk hukuka uygunluk sebebi olan yeterlilik kararına dayalı aktarımda; yeterlilik kararı verilirken veri aktarımı yapılacak olan ülke ile karşılıklılık ilişkisine, veri aktarımı yapılacak ülkenin mevzuatına, bu ülkenin bağımsız bir veri koruma otoritesinin olup olmadığına ve uluslararası sözleşmelere taraf olup olmadığına bakılacaktır. Ayrıca yeterlilik kararına dayalı aktarımda ülkelere ek olarak yeterlilik kararına uluslararası kuruluşlar ve sektörlerin de konu edilebilecektir. Kanun Değişikliği’nde ve Yönetmelik’te yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin bir kural da getirilmiştir.
Kurul henüz sitesinde yeterlilik kararı yayınlamamıştır.
2. Uygun Güvencelere Dayalı Aktarımlar
Yeterlilik kararı bulunmaması halinde, öncelikle aktarım yapılan ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yoluna başvurma imkânı var mı diye teyit edilmesi ayrıca uygun güvencelere dayalı aktarım yöntemlerinden birine başvurulması gerekmektedir.
Uygun güvenceler, Yönetmelik’te şöyle sıralanmıştır:
— Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
— Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
— Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
— Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Bu kapsamda daha önce akdedilmiş bir bağlayıcı şirket kuralları veya taahhütname yoksa aktarım yapılan tedarikçilerle standart sözleşme imzalanması ve aşağıda yer alan usulde KVK Kurumu’na sunulması önerilmektedir:
— Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.
— Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır.
— Standart sözleşme, kişisel veriyi aktaran veri sorumlusu ile aktarım yapılan veri işleyen arasında akdedilir. Standart sözleşme örneği Kurum sitesinde yayınlanmıştır.[3]
— Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunlu olduğundan sözleşmeyle birlikte imza sirküleri de ibraz edilmelidir. Yabancı dildeki belgeler Türkçe çevirileri ve noter tasdikleriyle Kuruma sunulmalıdır.
— Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ile Kuruma bildirilir.
— Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran veri sorumlusu tarafından Kuruma bildirilir.
— Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde aynı usulde Kuruma bildirim yapılır.
Bu bilgiler ışığında, tedarikçi ve aktarım yapılan ülkeler listesi netleştirildikten sonra 1 Eylül 2024 itibariyle standart sözleşme imzası ve ibrazı işlemleri yapılabilecektir.
3. İstisnai Aktarımlar
Arızi hallere dayalı aktarımın ise yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanmadığı hallerde, süreklilik arz etmeyecek şekilde kullanılması gerektiği belirtilmiştir. Bu kapsamda arızi olmak kaydıyla;
— Açık rızaya dayalı yurtdışına kişisel veri aktarımı
— İlgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması
— Üstün kamu yararı için zorunlu olan haller
— Bir hakkın tesisi, kullanılması veya korunması için zorunlu haller
— Fiili imkânsızlık halleri
— Meşru menfaati olan kişinin talebi üzerine açık sicillere erişmesi
halinde yurt dışına aktarım yapılabileceği düzenlenmiştir. Yönetmelik’te özellikle bu yöntemin istisnai olduğu her veri işleme süreci için benimsenemeyeceği vurgulanmıştır. Bu kapsamda, yurt dışına aktarım süreçlerinde açık rıza alımının 01.09.2024 tarihine kadar sürdürülebileceğini ardından yalnızca istisnai durumlarda yapılabileceğini belirtiriz.
4. Yaptırım Riski
Kanun Değişikliği’nin ardından belirtmiş olduğumuz üzere KVKK kapsamındaki güncel idari para cezası riskleri aşağıda belirtilmiş olup yurt dışına aktarım usullerine aykırılık veri güvenliği kriterinde görülmektedir.
YÜKÜMLÜLÜK | 2024 YILI CEZA TUTARLARI |
Aydınlatma yükümlülüğünün ihlali | 47.303-946.308 |
Veri güvenliği yükümlülüklerinin ihlali | 141.934-9.463.213 |
Kurul tarafından verilen kararların yerine getirilmemesi | 236.557-9.463.213 |
Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünün yerine getirilmemesi | 189.245-9.463.213 |
Standart sözleşmelerin süresinde Kurum’a bildirilmemesi | 50.0 - 1.000.000 |
III. Sonuç
Yönetmelik’in yürürlüğe girmesi ve standart sözleşme örneklerinin yayınlanması ile birlikte,
— Yurt dışına aktarım yapılan tedarikçilerin ve aktarım yapılan ülkelerin güncel kişisel veri envanteri aracılığıyla listelenmesi,
— Tedarikçi şirketlerle görüşme sağlanarak 01.09.2024 tarihine kadar standart sözleşmelerin imzalatılması,
— Standart sözleşmelerin yukarıda açıklanan usulde KVK Kurumu’na sunulması,
— Sözleşmenin süresi sona erdiğinde veya fesih gerçekleştiğinde KVK Kurumu’na bilgi verilmesi
yönünde hazırlık yapılmasını önerdiğimizi belirtiriz.
[1] https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm