Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Üzerine Bir İnceleme

16.07.2024

Giriş
Yönetmeliğin Amacı ve Kapsamı
Kişisel Verilerin Yurt Dışına Aktarılması ve Usulleri
Yeterlilik Kararına Dayalı Aktarımlar
Uygun Güvenceye Dayalı Aktarımlar
Sonuç

Giriş

Kişisel verilerin korunması, modern dünyada giderek önem kazanan bir konu haline gelmiştir. Türkiye'de kişisel verilerin korunması 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir. Ancak, kişisel verilerin yurt dışına aktarılması konusundaki düzenlemeler, hem veri sorumluları hem de veri işleyenler açısından önemli hususlar içermektedir. 10 Temmuz 2024 tarihinde Resmi Gazete'de yayımlanan "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik," bu konuda ayrıntılı düzenlemeler getirmektedir. Bu makalede, yeni yönetmeliğin getirdiği önemli hükümler ve uygulama esasları incelenecektir.

Yönetmeliğin Amacı ve Kapsamı

Yönetmeliğin amacı, 6698 sayılı KVKK'nın 9. maddesi uyarınca kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları belirlemektir. Yönetmelik, kişisel verilerin yurt dışına aktarımını gerçekleştiren veri sorumluları ve veri işleyenler için bağlayıcı nitelikte olup, bu süreçte uyulması gereken kuralları detaylandırmaktadır.

Kişisel Verilerin Yurt Dışına Aktarılması ve Usulleri

Yönetmelikte, kişisel verilerin yurt dışına aktarılabilmesi için belirli koşulların sağlanması gerektiği belirtilmektedir. Bu koşullar, yeterlilik kararı, uygun güvenceler ve istisnai haller olarak üç ana başlık altında toplanmıştır:

Yeterlilik Kararına Dayalı Aktarımlar

Yeterlilik kararı, Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilen ve bir ülkenin yeterli düzeyde koruma sağladığını belirten bir karardır. Bu karar, kişisel verilerin belirli bir ülkeye veya uluslararası kuruluşa aktarılmasında veri sorumluları ve veri işleyenler için bir güvence teşkil eder. Yeterlilik kararının alınmasında dikkate alınan hususlar şunlardır:

a) Karşılıklılık Durumu: Kişisel verilerin aktarılacağı ülke veya uluslararası kuruluş ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklı düzenlemelerin olup olmadığı incelenir.

b) Mevzuat ve Uygulama: Aktarım yapılacak ülkenin kişisel verilerin korunmasına yönelik mevzuatı ve uygulamaları değerlendirilir. Bu değerlendirme, ilgili ülkenin yasal düzenlemeleri ve veri koruma uygulamaları ile ilgilidir.

c) Veri Koruma Kurumları: Aktarım yapılacak ülkede bağımsız ve etkin bir veri koruma kurumunun varlığı, bu kurumun idari ve adli başvuru yollarının olup olmadığı dikkate alınır.

d) Uluslararası Sözleşmelere Taraf Olma: Aktarım yapılacak ülkenin veya uluslararası kuruluşun kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf olup olmadığına bakılır.

e) Kurulun Görüşü: Kurul, yeterlilik kararını verirken ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alabilir.

Yeterlilik kararları, en geç dört yılda bir yeniden değerlendirilir ve gerekli görülmesi halinde değiştirilebilir, askıya alınabilir veya kaldırılabilir. Yeterlilik kararları, Resmî Gazete ve Kurumun internet sitesinde yayımlanır.

Uygun Güvenceye Dayalı Aktarımlar

Yeterlilik kararının bulunmadığı durumlarda, kişisel verilerin yurt dışına aktarılması için uygun güvencelerin sağlanması gerekmektedir. Uygun güvenceler, veri sorumluları ve veri işleyenler tarafından alınan teknik ve idari önlemleri kapsar. Bu güvenceler arasında, uluslararası sözleşme niteliğinde olmayan anlaşmalar, bağlayıcı şirket kuralları ve standart sözleşmeler yer almaktadır:

a) Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar: Türkiye’deki kamu kurum ve kuruluşları ile yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılan anlaşmalar uygun güvence sağlayabilir. Bu anlaşmalar, kişisel veri aktarımının amacı, kapsamı, veri güvenliği tedbirleri gibi hususları içerir. Kurulun izniyle yürürlüğe girer ve anlaşmada belirtilen hükümlerin ihlali durumunda başvurulacak hak arama yollarını düzenler.

b) Bağlayıcı Şirket Kuralları: Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına ilişkin bağlayıcı kurallardır. Bu kurallar, veri aktarımının hukuka uygunluğunu, veri güvenliği tedbirlerini, ilgili kişilerin haklarını kullanabilmesini ve denetim mekanizmalarını içerir. Bağlayıcı şirket kuralları Kurul tarafından onaylandıktan sonra geçerlilik kazanır.

c) Standart Sözleşmeler: Kurul tarafından belirlenen ve ilan edilen standart sözleşmeler, kişisel verilerin yurt dışına aktarımında uygun güvence sağlar. Bu sözleşmelerde, veri kategorileri, veri aktarımının amaçları, teknik ve idari tedbirler gibi hususlar belirtilir. Standart sözleşmelerin taraflarca imzalanması ve Kurula bildirilmesi zorunludur.

d) Taahhütname: Veri aktarımının tarafları arasında akdedilen yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilir. Taahhütnamede kişisel veri aktarımının amacı, veri güvenliği tedbirleri, ilgili kişilerin haklarının korunması gibi hususlar yer alır. Kurulun izniyle yürürlüğe girer.

Sonuç

Kişisel verilerin yurt dışına aktarılmasına ilişkin yeni yönetmelik, veri sorumluları ve veri işleyenler için önemli yükümlülükler getirmektedir. Bu yönetmelik, kişisel verilerin yurt dışına aktarım süreçlerini daha şeffaf ve güvenli hale getirerek, veri sahiplerinin haklarını korumayı amaçlamaktadır. Veri sorumluları ve veri işleyenler, yönetmelik hükümlerine uygun hareket ederek, hem yasal uyumu sağlamak hem de veri güvenliğini temin etmek için gerekli önlemleri almalıdırlar.

Bu makale, yeni yönetmeliğin getirdiği önemli hükümleri özetleyerek, kişisel verilerin yurt dışına aktarımı konusundaki farkındalığı artırmayı amaçlamaktadır. Yönetmeliğin tam metnine ve detaylarına Resmi Gazete ve Kişisel Verileri Koruma Kurumu'nun internet sitesinden ulaşılabilir.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Possibility for Participants Operating in the Istanbul Financial Center to Keep Their Books in Foreign Currency

Sustainability Audits to Begin

Türkiye’s Green Taxonomy Regulation on the Way

Anonim ve Limited Şirketlerin Rekabet Kurumu Payı Ödeme Usullerinde Yapılan Değişiklikler

Organize Sanayi Bölgeleri Uygulama Yönetmeliği’nde Değişiklik Yapıldı

The Regulation on Contracts Established Outside the Workplace Has Been Amended

A Comparative Analysis of United Arab Emirates and Kingdom of Saudi Arabia Competition Laws: Key Differences and Future Outlook

Draft Guidelines on Competition Infringements on Labour Markets Have Been Published by the Turkish Competition Authority

Two-minute Recap of Turkish Competition Law Developments - September 2024

Genel İşlem Koşulu Denetiminin İnşaat Sözleşmeleri ve Tacirlere Uygulanabilirliği Bağlamında İrdelenmesi

2023 Construction Law Wrap Up

Türkiye’s Green Transition Journey and Effects on Construction Sector

Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Eylül 2024

Critical Insights into Saudi Arabia Data Protection Law: What to Know Before 14 September 2024

Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Ağustos 2024

Yatırım Tahkiminde Yatırımcıların Çevre, Sosyal ve Yönetişim Sorumlulukları

Uluslararası Yatırım Hukukunda Atfedilebilirlik

Yatırım Tahkiminde İnşaat Sektörü Yatırımlarının Yeri

Mesafeli Sözleşmeler Yönetmeliğinde Yapılan Son Düzenlemeler

Reklam Dünyasında Yeşil Aklama (Greenwashing) Uygulamaları Reklam Kurulu Kararları Ne Söylüyor?

E-ticaret Platformları ve Arama Motorlarındaki Verileri Manipüle Etmeye Yönelik Hizmetlere İlişkin Reklamlar Reklam Kurulunun Gündeminde!

Rez WPP-2024 Auctions Announcement and Specification: Legal Evaluation, Opportunities, and Investment Conditions in Renewable Energy

Jeotermal Enerjiye Dayalı Elektrik Üretim Başvurularının Teknik Değerlendirme Süreci: Hukuki Çerçeve ve Enerji Piyasasına Etkileri

Anayasa Mahkemesi’nin Petrol Piyasası Kanunu Kararı: Anayasal Haklar, Ölçülülük İlkesi ve Petrol Piyasası Üzerindeki Etkileri

The Journey of ESG: What Brought Us Here and Where Are We Headed?

Türkiye Yeşil Taksonomi Yönetmeliği Taslağı

Draft Regulation on Türkiye’s Green Taxonomy

2024 Crypto Asset Regulations

Ödeme Mevzuatında Güncel Gelişme: Dijital Cüzdan Hizmetleri ve Geçit Hükümlerine Uyum Süresi Uzatıldı

Amendments to the Compliance Deadlines in the Payment Services and Electronic Money Regulations

Permitted Operations of Foreign Reinsurers in Turkiye Without the Requirement of Local Licensing

Insurance Litigation 2023 - Part 3

Insurance Litigation 2023 - Part 2

Reviews on the Protection of Slogan Trademarks

Turkish Court of Cassation’s Highlighting Decisions on Conceptual Similarity Evaluation

Biyobenzer İlaçlar ve Patent Tecavüzü Karinesi

The BR International Trade Report: October 2024

Understanding the FCPA and FEPA: Objectives, Challenges and Impact on Global Business and Employment

BIS Proposes Prohibitions on Connected Vehicles with Links to China and Russia: Nine Observations for Companies to Consider

Yargıtay 9. Hukuk Dairesinin 27/06/2024 Tarihli ve 2024/7673 E., 2024/10230 K. Numaralı Kararı

Decision of the 9th Civil Chamber of the Supreme Court dated 27.06.2024 and case number 2024/7673, decision number 2024/10230

Şirketler Arası Organik Bağ ve Organik Bağın Hizmet Tespiti Davalarına Etkisi

Calendarization Process for the Market Authorization of Medicines

Regulation on Cannabis Cultivation for Active Pharmaceutical Ingredients Published

Tıbbi Cihaz Satış, Reklam ve Tanıtım Yönetmeliğinin Uygulanmasına İlişkin Kılavuz Güncellendi

Gündüz Kuşağı Programlarına Yeni Etik İlke Kararları

Amendments to the Consumer Protection Law: Updates on Sanctions

New Ethical Principle Decisions for Daytime Programs

Due Diligence Process for Turkish Companies – What to Watch Out for?

Birleşme ve Devralma Süreçlerinde Göz Önünde Bulundurulması Gerekenler

What to Consider in Merger and Acquisition Processes?

Kira Ödemelerini Tevsik Zorunluluğu Getiren Gelir Vergisi Genel Tebliği Yayımlandı

Konut Kira Artış Oranı Bilgilendirme Notu

General Communiqué on Income Tax about the Mandatory Documentation of Rent Payments Published

Konkordato

İcra İnkâr Tazminatında Borçlunun İtirazının Haksız Olması ve Likid Alacak Kavramları

Anonim Şirketlerde Önemli Miktardaki Varlığın Satışı ve İlgili Tartışmalı Konular

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Ters Hak Ediş (Reverse Vesting) Nedir?

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Teknogirişim Şirketi Çalışanlarına Verilen Pay Senetlerinin Vergilendirilmesine İlişkin Gelir Vergisi Genel Tebliği Yayınlandı

Income Tax General Communiqué Regarding the Taxation of Share Certificates Granted to Employees of Technopreneurship Companies Published

Vergi Kanunlarında Son Yıllarda Yapılan Değişikliklere İlişkin Olarak Genel Tebliğ’de Değişiklik Yapıldı

Anayasa Mahkemesi Kararı ile İnternet Kanunu Yeniden Şekilleniyor

Cloud Computing 2024 - Part 1

Review of Turkey's Draft Artificial Intelligence Law

Regulation on Preventing Collision at Sea

Türkiye’de Deniz Kirliliği Cezalarına İlişkin Yeni Düzenleme

Current Pollution Administrative Fines

Ritmi Yakala ve Şirketini Savun: Üç Savunma Hattı Modeli

Suçun Maskesi: Suistimalcilerin Gizlenen Yüzü

Üçüncü Taraf Rüşvet Riski Değerlendirme Süreci: Bilim mi Sanat mı?