Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Üzerine Bir İnceleme
Contents
- Giriş
- Yönetmeliğin Amacı ve Kapsamı
- Kişisel Verilerin Yurt Dışına Aktarılması ve Usulleri
- Yeterlilik Kararına Dayalı Aktarımlar
- Uygun Güvenceye Dayalı Aktarımlar
- Sonuç
Giriş
Kişisel verilerin korunması, modern dünyada giderek önem kazanan bir konu haline gelmiştir. Türkiye'de kişisel verilerin korunması 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir. Ancak, kişisel verilerin yurt dışına aktarılması konusundaki düzenlemeler, hem veri sorumluları hem de veri işleyenler açısından önemli hususlar içermektedir. 10 Temmuz 2024 tarihinde Resmi Gazete'de yayımlanan "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik," bu konuda ayrıntılı düzenlemeler getirmektedir. Bu makalede, yeni yönetmeliğin getirdiği önemli hükümler ve uygulama esasları incelenecektir.
Yönetmeliğin Amacı ve Kapsamı
Yönetmeliğin amacı, 6698 sayılı KVKK'nın 9. maddesi uyarınca kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları belirlemektir. Yönetmelik, kişisel verilerin yurt dışına aktarımını gerçekleştiren veri sorumluları ve veri işleyenler için bağlayıcı nitelikte olup, bu süreçte uyulması gereken kuralları detaylandırmaktadır.
Kişisel Verilerin Yurt Dışına Aktarılması ve Usulleri
Yönetmelikte, kişisel verilerin yurt dışına aktarılabilmesi için belirli koşulların sağlanması gerektiği belirtilmektedir. Bu koşullar, yeterlilik kararı, uygun güvenceler ve istisnai haller olarak üç ana başlık altında toplanmıştır:
Yeterlilik Kararına Dayalı Aktarımlar
Yeterlilik kararı, Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilen ve bir ülkenin yeterli düzeyde koruma sağladığını belirten bir karardır. Bu karar, kişisel verilerin belirli bir ülkeye veya uluslararası kuruluşa aktarılmasında veri sorumluları ve veri işleyenler için bir güvence teşkil eder. Yeterlilik kararının alınmasında dikkate alınan hususlar şunlardır:
a) Karşılıklılık Durumu: Kişisel verilerin aktarılacağı ülke veya uluslararası kuruluş ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklı düzenlemelerin olup olmadığı incelenir.
b) Mevzuat ve Uygulama: Aktarım yapılacak ülkenin kişisel verilerin korunmasına yönelik mevzuatı ve uygulamaları değerlendirilir. Bu değerlendirme, ilgili ülkenin yasal düzenlemeleri ve veri koruma uygulamaları ile ilgilidir.
c) Veri Koruma Kurumları: Aktarım yapılacak ülkede bağımsız ve etkin bir veri koruma kurumunun varlığı, bu kurumun idari ve adli başvuru yollarının olup olmadığı dikkate alınır.
d) Uluslararası Sözleşmelere Taraf Olma: Aktarım yapılacak ülkenin veya uluslararası kuruluşun kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf olup olmadığına bakılır.
e) Kurulun Görüşü: Kurul, yeterlilik kararını verirken ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alabilir.
Yeterlilik kararları, en geç dört yılda bir yeniden değerlendirilir ve gerekli görülmesi halinde değiştirilebilir, askıya alınabilir veya kaldırılabilir. Yeterlilik kararları, Resmî Gazete ve Kurumun internet sitesinde yayımlanır.
Uygun Güvenceye Dayalı Aktarımlar
Yeterlilik kararının bulunmadığı durumlarda, kişisel verilerin yurt dışına aktarılması için uygun güvencelerin sağlanması gerekmektedir. Uygun güvenceler, veri sorumluları ve veri işleyenler tarafından alınan teknik ve idari önlemleri kapsar. Bu güvenceler arasında, uluslararası sözleşme niteliğinde olmayan anlaşmalar, bağlayıcı şirket kuralları ve standart sözleşmeler yer almaktadır:
a) Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar: Türkiye’deki kamu kurum ve kuruluşları ile yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılan anlaşmalar uygun güvence sağlayabilir. Bu anlaşmalar, kişisel veri aktarımının amacı, kapsamı, veri güvenliği tedbirleri gibi hususları içerir. Kurulun izniyle yürürlüğe girer ve anlaşmada belirtilen hükümlerin ihlali durumunda başvurulacak hak arama yollarını düzenler.
b) Bağlayıcı Şirket Kuralları: Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına ilişkin bağlayıcı kurallardır. Bu kurallar, veri aktarımının hukuka uygunluğunu, veri güvenliği tedbirlerini, ilgili kişilerin haklarını kullanabilmesini ve denetim mekanizmalarını içerir. Bağlayıcı şirket kuralları Kurul tarafından onaylandıktan sonra geçerlilik kazanır.
c) Standart Sözleşmeler: Kurul tarafından belirlenen ve ilan edilen standart sözleşmeler, kişisel verilerin yurt dışına aktarımında uygun güvence sağlar. Bu sözleşmelerde, veri kategorileri, veri aktarımının amaçları, teknik ve idari tedbirler gibi hususlar belirtilir. Standart sözleşmelerin taraflarca imzalanması ve Kurula bildirilmesi zorunludur.
d) Taahhütname: Veri aktarımının tarafları arasında akdedilen yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilir. Taahhütnamede kişisel veri aktarımının amacı, veri güvenliği tedbirleri, ilgili kişilerin haklarının korunması gibi hususlar yer alır. Kurulun izniyle yürürlüğe girer.
Sonuç
Kişisel verilerin yurt dışına aktarılmasına ilişkin yeni yönetmelik, veri sorumluları ve veri işleyenler için önemli yükümlülükler getirmektedir. Bu yönetmelik, kişisel verilerin yurt dışına aktarım süreçlerini daha şeffaf ve güvenli hale getirerek, veri sahiplerinin haklarını korumayı amaçlamaktadır. Veri sorumluları ve veri işleyenler, yönetmelik hükümlerine uygun hareket ederek, hem yasal uyumu sağlamak hem de veri güvenliğini temin etmek için gerekli önlemleri almalıdırlar.
Bu makale, yeni yönetmeliğin getirdiği önemli hükümleri özetleyerek, kişisel verilerin yurt dışına aktarımı konusundaki farkındalığı artırmayı amaçlamaktadır. Yönetmeliğin tam metnine ve detaylarına Resmi Gazete ve Kişisel Verileri Koruma Kurumu'nun internet sitesinden ulaşılabilir.