Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik

17.07.2024

I. Yönetici Özeti
II. Kanun Değişikliği ve Yönetmelik ile Düzenlenen Hususlar
1. Yeterlilik Kararı Bulunması
2. Uygun Güvencelere Dayalı Aktarımlar
3. İstisnai Aktarımlar
4. Yaptırım Riski
III. Sonuç

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10.07.2024 tarihli Resmi Gazete’de yayımlanmıştır.

Yönetmelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) 12.03.2024 tarihinde gerçekleşen değişiklik (“Kanun Değişikliği”) doğrultusunda oluşturulmuş ve kişisel verilerin yurt dışına aktarılmasında izlenecek usul ve esasları belirlemiştir.

I. Yönetici Özeti

Aşağıda ayrıntılı olarak açıklayacağımız üzere, Yönetmelik ile KVKK ile paralel olarak şekilde kişisel verilerin yurt dışına aktarım sürecinde izlenecek yolun ayrıntıları şöyle düzenlenmiştir: [1]

— Veri işleyenlerin veri sorumlusunun talimatlarına KVKK ve Yönetmelik’e uygun bir aktarım süreci yürütmesi gerekmektedir.

— Aktarım yapılacak ülkede yeterlilik kararı bulunmaması halinde kişisel verilerin aktarımı için uygun güvencelerin varlığının aranmaktadır.

— Uygun güvencelerin, aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yoluna başvurma imkanının bulunmasının yanı sıra aktarıma ilişkin özel bir uluslararası anlaşmanın bulunması, bağlayıcı şirket kurallarının varlığı, aktarım yapılan tarafla akdedilen bir standart sözleşmenin varlığı veya KVK Kurulu’na onaylatılmış bir aktarım taahhütnamesinin varlığı olarak sıralanabilmektedir.

— Yukarıda belirtilen hususlar haricinde kişisel verilerin yurt dışına arızi hallerde açık rıza alınarak aktarılabileceği düzenlenmiştir.

— Aktarım sürecinde bilgi güvenliğine ilişkin önlemler alınmalıdır.

— Uyum sürecinin takibi için öncelikle yurt dışına aktarım yapılan süreçlerde çalışılan tedarikçilerin ve aktarım yapılan ülkelerin listelenmesi, bu şirketlerle standart sözleşme akdedilmesi ve 1 Eylül 2024 tarihi sonrasında KVK Kurumu’na sunulması gerekmektedir.

— Veri aktarımı gerçekleştirilen uluslararası grup şirketler arası bağlayıcı şirket kuralları imzalanmışsa bu belgenin Kurum’a sunulması önerilmektedir.

Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin belge örnekleri KVKK internet sitesinde 10 Temmuz 2024 tarihinde duyuru olarak yayınlanmıştır. [2]

Bu bilgiler ışığında öncelikle kişisel veri envanterinin şirket içinde departmanlara iletilip tedarikçi ve verilerin paylaşıldığı ülke bilgilerinin doğruluğunun teyit edilmesini önerdiğimizi belirtiriz.

II. Kanun Değişikliği ve Yönetmelik ile Düzenlenen Hususlar

KVKK’nın 9. maddesi kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Kanun Değişikliği ve Yönetmelik ile birlikte; Kişisel verilerin yurt dışına aktarılmasında açık rıza temelli anlayıştan yeni bir sistematiğe geçiş yapılarak yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım ve arızi hallere dayalı aktarım şeklinde üç farklı alternatif getirilmiştir.

1. Yeterlilik Kararı Bulunması

Yurt dışına kişisel veri aktarılabilmesini öngören ilk hukuka uygunluk sebebi olan yeterlilik kararına dayalı aktarımda; yeterlilik kararı verilirken veri aktarımı yapılacak olan ülke ile karşılıklılık ilişkisine, veri aktarımı yapılacak ülkenin mevzuatına, bu ülkenin bağımsız bir veri koruma otoritesinin olup olmadığına ve uluslararası sözleşmelere taraf olup olmadığına bakılacaktır. Ayrıca yeterlilik kararına dayalı aktarımda ülkelere ek olarak yeterlilik kararına uluslararası kuruluşlar ve sektörlerin de konu edilebilecektir. Kanun Değişikliği’nde ve Yönetmelik’te yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin bir kural da getirilmiştir.

Kurul henüz sitesinde yeterlilik kararı yayınlamamıştır.

2. Uygun Güvencelere Dayalı Aktarımlar

Yeterlilik kararı bulunmaması halinde, öncelikle aktarım yapılan ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yoluna başvurma imkânı var mı diye teyit edilmesi ayrıca uygun güvencelere dayalı aktarım yöntemlerinden birine başvurulması gerekmektedir.

Uygun güvenceler, Yönetmelik’te şöyle sıralanmıştır:

— Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

— Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

— Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

— Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Bu kapsamda daha önce akdedilmiş bir bağlayıcı şirket kuralları veya taahhütname yoksa aktarım yapılan tedarikçilerle standart sözleşme imzalanması ve aşağıda yer alan usulde KVK Kurumu’na sunulması önerilmektedir:

— Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.

— Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır.

— Standart sözleşme, kişisel veriyi aktaran veri sorumlusu ile aktarım yapılan veri işleyen arasında akdedilir. Standart sözleşme örneği Kurum sitesinde yayınlanmıştır.[3]

— Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunlu olduğundan sözleşmeyle birlikte imza sirküleri de ibraz edilmelidir. Yabancı dildeki belgeler Türkçe çevirileri ve noter tasdikleriyle Kuruma sunulmalıdır.

— Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ile Kuruma bildirilir.

— Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran veri sorumlusu tarafından Kuruma bildirilir.

— Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde aynı usulde Kuruma bildirim yapılır.

Bu bilgiler ışığında, tedarikçi ve aktarım yapılan ülkeler listesi netleştirildikten sonra 1 Eylül 2024 itibariyle standart sözleşme imzası ve ibrazı işlemleri yapılabilecektir.

3. İstisnai Aktarımlar

Arızi hallere dayalı aktarımın ise yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanmadığı hallerde, süreklilik arz etmeyecek şekilde kullanılması gerektiği belirtilmiştir. Bu kapsamda arızi olmak kaydıyla;

— Açık rızaya dayalı yurtdışına kişisel veri aktarımı

— İlgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması

— Üstün kamu yararı için zorunlu olan haller

— Bir hakkın tesisi, kullanılması veya korunması için zorunlu haller

— Fiili imkânsızlık halleri

— Meşru menfaati olan kişinin talebi üzerine açık sicillere erişmesi

halinde yurt dışına aktarım yapılabileceği düzenlenmiştir. Yönetmelik’te özellikle bu yöntemin istisnai olduğu her veri işleme süreci için benimsenemeyeceği vurgulanmıştır. Bu kapsamda, yurt dışına aktarım süreçlerinde açık rıza alımının 01.09.2024 tarihine kadar sürdürülebileceğini ardından yalnızca istisnai durumlarda yapılabileceğini belirtiriz.

4. Yaptırım Riski

Kanun Değişikliği’nin ardından belirtmiş olduğumuz üzere KVKK kapsamındaki güncel idari para cezası riskleri aşağıda belirtilmiş olup yurt dışına aktarım usullerine aykırılık veri güvenliği kriterinde görülmektedir.

YÜKÜMLÜLÜK

2024 YILI CEZA TUTARLARI

Aydınlatma yükümlülüğünün ihlali

47.303-946.308

Veri güvenliği yükümlülüklerinin ihlali

141.934-9.463.213

Kurul tarafından verilen kararların yerine getirilmemesi

236.557-9.463.213

Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünün yerine getirilmemesi

189.245-9.463.213

Standart sözleşmelerin süresinde Kurum’a bildirilmemesi

50.0 - 1.000.000

III. Sonuç

Yönetmelik’in yürürlüğe girmesi ve standart sözleşme örneklerinin yayınlanması ile birlikte,

— Yurt dışına aktarım yapılan tedarikçilerin ve aktarım yapılan ülkelerin güncel kişisel veri envanteri aracılığıyla listelenmesi,

— Tedarikçi şirketlerle görüşme sağlanarak 01.09.2024 tarihine kadar standart sözleşmelerin imzalatılması,

— Standart sözleşmelerin yukarıda açıklanan usulde KVK Kurumu’na sunulması,

— Sözleşmenin süresi sona erdiğinde veya fesih gerçekleştiğinde KVK Kurumu’na bilgi verilmesi

yönünde hazırlık yapılmasını önerdiğimizi belirtiriz.

[1] https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm

[2] https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu

[3] https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Türkiye’de Kripto Varlıklara ve Kripto Varlık Hizmet Sağlayıcılara İlişkin Yasal Düzenlemeler ve Mevcut Durum

Geri Alımlarda Öze Dönüş

Back to Basics in Buyback

Amendments to the Decree on State Aids in Investments

New Rules Introduced to the Regulation on the Trade in Motor Vehicles

The BR International Trade Report: August 2024

Overview of the 2023 Annual Report of the Turkish Competition Authority

Rekabet Kurumu’nun 2023 Yıllık Raporu Yayımlandı

Competition Authority Publishes Its 2023 Annual Report

Genel İşlem Koşulu Denetiminin İnşaat Sözleşmeleri ve Tacirlere Uygulanabilirliği Bağlamında İrdelenmesi

2023 Construction Law Wrap Up

Türkiye’s Green Transition Journey and Effects on Construction Sector

Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Ağustos 2024

5651 sayılı Kanun Uyarınca Roblox’un Erişime Engellenmesi Hakkında Bilgilendirme

2024 Amendments to Turkish Data Protection Law - Infographic (Updated 2 August 2024)

Kanunî Faiz Oranı, Gecikme Zammı ve Tecil Faizi Oranı Güncellendi

Update on Legal Interest, Late Payment Fee and Deferment Interest Rates

Challenging and Enforcing Arbitration Awards: Türkiye - Part 3

Mesafeli Sözleşmeler Yönetmeliğinde Yapılan Son Düzenlemeler

Reklam Dünyasında Yeşil Aklama (Greenwashing) Uygulamaları Reklam Kurulu Kararları Ne Söylüyor?

E-ticaret Platformları ve Arama Motorlarındaki Verileri Manipüle Etmeye Yönelik Hizmetlere İlişkin Reklamlar Reklam Kurulunun Gündeminde!

Elektrik Piyasasında Önlisans Sahibi Tüzel Kişiler İçin Ortaklık Yapısı Değişikliklerinde Kurul Onayı Zorunluluğu

24/7/2019 Tarihli ve 30841 Sayılı Resmi Gazete'de Yayımlanan, "8730 Sayılı Farklılaştırılmış Akaryakıtlara İlişkin Kurul Kararında Değişiklik Yapılmasına İlişkin Kurul Kararı" Kabul Edilerek, 04.05.2024 Tarihli 32536 Sayılı Resmi Gazete'de Yayımlanmıştır.

Kamu İhale Sözleşmelerinde Düşük Karbon Emisyonuna Sahip Yeşil Çimento Kullanımının Yaygınlaştırılmasına İlişkin Tebliğ Yayımlandı

2024-2028 Yılları İçin Türkiye’de Yeşil Dönüşüm Stratejileri

Green Transformation Strategies in Türkiye 2024-2028

Rekabet Hukuku Merceğinden Sürdürülebilirlik Uygulamaları

Sermaye Piyasa Kurulu’ndan Kripto Varlık Platformlarına Yönelik Önemli İlke Karar

Significant Principal Decision from the Capital Markets Board for Crypto Asset Platforms

BigTech ve Dijital Cüzdanlar - FCA ve PSR'den Dijital Cüzdanların Ödeme Ekosistemine Etkisini Değerlendirmek İçin Sektörel Çağrı

Insurance Litigation 2023 - Part 3

Insurance Litigation 2023 - Part 2

Insurance Litigation 2023 - Part 1

Implementation of Discovery of Evidence in Patent Law

The Turkish Court of Cassation Reminds of the Significance of “Vested Rights” in Two Recent Decisions: Frigo V Frico

Software and IP: 2 - Elements of Computer Programs That Are Protected by Copyright in Türkiye

Teknogirişim Şirketleri Tarafından Çalışanlara Verilen Pay Senetlerine İlişkin Gelir Vergisi İstisnası

İş Hukuku Kapsamında İşverenlerin Engelli İşçi İstihdam Zorunluluğu ve Engelli İşçilerin İş Akdinin Feshi Sürecinde Dikkat Edilmesi Gereken Hususlar

Kısa Çalışma ve Kısa Çalışma Ödeneğine İlişkin Usul ve Esaslar Hakkında Yönetmelik ile Getirilmiş Olan Değişiklikler

Guideline on Circumstances Requiring Reissue of a Marketing Authorization For a Licensed Pharmaceutical

Access to Orphan Drugs in Türkiye: A Guide for Foreign Pharmaceutical Companies

TİTCK Tıbbi Cihaz Yönetmelikleri Avrupa Birliği Mevzuatı ile Uyumlu Hale Getirildi

Instagram'a Erişim Yasağı Hakkında Değerlendirme

Evaluation on the Ban on Access to Instagram

Ticari Uygulamalara Karşı Reklam Kurulu Kararları

Due Diligence Process for Turkish Companies – What to Watch Out for?

Birleşme ve Devralma Süreçlerinde Göz Önünde Bulundurulması Gerekenler

What to Consider in Merger and Acquisition Processes?

Konutların Turizm Amaçlı Kiralanması Faaliyetlerinin Düzenlenmesine İlişkin Yönetmelikte Değişiklik

Amendment to the Regulation on Rental Activities of Residential Properties for Tourism Purposes

Amendment to the Communiqué on Principles Regarding Real Estate Investment Funds

İcra İnkâr Tazminatında Borçlunun İtirazının Haksız Olması ve Likid Alacak Kavramları

Anonim Şirketlerde Önemli Miktardaki Varlığın Satışı ve İlgili Tartışmalı Konular

Sale of Significant Assets in Joint Stock Companies and Related Contentious Issues

Ters Hak Ediş (Reverse Vesting) Nedir?

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Türkiye’de Çalışan Pay Opsiyon Planları ve Yatırım Sürecindeki Etkileri

7524 Sayılı Kanun ile Vergi Usul Kanunu’nda Yapılan Kapsamlı Düzenlemeler

Comprehensive Amendments Regarding Tax Procedural Law under Law No. 7524

Yurt Dışından Alışverişte Yeni Dönem

AB Yapay Zeka Yasası Yürürlüğe Giriyor

EU Artificial Intelligence Law Enters into Force

Token Kavramına ve Türk Hukukundaki Yasal Statüsüne Genel Bir Bakış

Regulation on Preventing Collision at Sea

Türkiye’de Deniz Kirliliği Cezalarına İlişkin Yeni Düzenleme

Current Pollution Administrative Fines

Üçüncü Taraf Rüşvet Riski Değerlendirme Süreci: Bilim mi Sanat mı?

Don’t Let the Cure Be Worse Than the Ailment: Ensuring Safe Harbor in Internal Investigations - Türkiye Perspective

Zorunlu İzin Uygulaması: Suistimallerin Tespitinde ve Önlenmesinde Etkin Bir Strateji