Kişisel Verilerin Korunması Kanunu’nun (“KVKK”), yurtdışına kişisel veri aktarımını düzenleyen 9’uncu maddesinde, yurtdışına kişisel veri aktarımına ilişkin hukuki sorunları gidermek ve GDPR’a uyum sağlamak amacıyla 12 Mart 2024 tarihinde değişiklik yapılmıştır. Anılan kanun değişikliği, söz konusu maddenin uygulanması amacıyla ikincil düzenleme yapılacağını öngörmektedir. Bu kapsamda 10 Temmuz 2024 tarihli ve 32589 sayılı Resmi Gazetede Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik yayınlanmış ve yürürlüğe girmiştir. Yönetmelik’in getirdiği düzenlemeler hakkında bilgiler aşağıda paylaşılacaktır.
Yönetmelik kapsamında kişisel verilerin yurtdışına aktarımına ilişkin olarak aşağıdaki kurallar belirlenmiştir.
- Aşağıdaki tabloda gösterilen kişisel veri aktarım imkanlarının kullanılabilmesi için aynı zamanda KVKK m. 5 ya da 6’da bulunan hukuki sebeplerden birinin de varlığı aranmaktadır.
- Kişisel veriler yurtdışına, bir veri sorumlusunun talimatı altında olan veri işleyen tarafından da aktarılabilir. Böyle durumlarda kişisel veri aktarımının hukuka uygunluğundan yine veri sorumlusu sorumlu olacaktır.
- Kişisel verilerin yurtdışına aktarımına ilişkin kurallara uyum, sadece ilk yurtdışına aktarımda değil; sonraki aktarımlara da uygulama alanı bulacaktır. Örneğin bir bulut bilişim hizmeti sağlayıcısı ile sözleşme yapıldığında; o bulut bilişim sağlayıcısının veri aktarımında bulunduğu tüm kişiler (grup şirketler ya da taşeronlar gibi) için de Kanun ve Yönetmelikte yer alan şartlara uyum sağlanması gerekmektedir.
Yönetmelik kapsamında özel sektör aktörleri için öngörülen yurtdışına kişisel veri aktarım imkanları aşağıdaki tabloda gösterilmiştir:
| Kişisel Veri Aktarım İmkânı | Kullanılacak Hukuki Enstrüman | Kurul[1] Dahiliyeti | Yorumlar |
| Ülkeler, sektörler ya da uluslararası kuruluşlar hakkında yeterlilik kararı | N/A | Yeterlilik kararı, KVKK ve Yönetmelikte belirtilen şartlara göre Kurul tarafından verilecektir. | Yeterlilik kararı için mütekabiliyet şartı aranmaya devam ettiğinden, kanun değişikliği öncesi duruma göre kayda değer bir değişiklik beklenmemektedir. |
| Aktarımın yapılacağı ülkede veri sahiplerinin haklarını kullanma ve etkili kanun yollarına başvurma imkânı bulunması şartıyla | Türk ve yabancı kamu kurum ve kuruluşları ile meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan bir anlaşmanın varlığı. | Kurul’dan izin alınması gerekmektedir. | Yeni öngörülen bu yurtdışına veri aktarım imkanlarının, yurtdışına kişisel veri aktarımlarını kolaylaştırması öngörülmektedir. |
| uygun güvencelerin sağlanması | Ortak ekonomik faaliyette bulunan şirketler arasında imzalanan bağlayıcı şirket kuralları. | Kurul’dan izin alınması gerekmektedir. | Öte yandan açık rıza imkanının kullanımı istisnai hale getirildiği için veri sorumlularının mevcut uygulamalarını önemli ölçüde değiştirmeleri gerekecektir. |
| Aktarımın tarafları arasında standart sözleşmenin varlığı. | Standart sözleşme taslakları Kurul tarafından yayınlanacaktır. İmzalanan her standart sözleşmenin 5 iş günü içerisinde Kurula bildirilmesi gerekmektedir[2]. Standart sözleşmede değişiklik olması veya sona ermesi hali de aynı bildirim şartına tabiidir. | ||
| Yeterli korumanın sağlanmasına dair tarafların hazırladığı bir taahhütnamenin taraflar arasında imzalanması. | Kurul’dan izin alınması gerekmektedir. | ||
| Uygun güvencelerin sağlanamaması halinde kullanılabilecek istisnai aktarım imkanları | İlgili kişiyi yurtdışına aktarımdan kaynaklı riskler hakkında bilgilendirme kaydıyla açık rıza alınması. | İstisnai kişisel veri aktarım imkanlarında Kurul’un herhangi bir dahiliyeti bulunmamaktadır. | İstisnai aktarım imkanları arızi durumlarda kullanılabilmektedir. Arızi aktarım,Yönetmelikte tek ya da birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar şeklinde tanımlanmıştır. Dolayısıyla istisnai aktarım imkanlarının şirketlerin ana ya da düzenli veri aktarımları açısından herhangi bir fayda sağlamayacağı değerlendirilmektedir. |
| İlgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası için ya da ilgili kişinin talebi üzerine sözleşme öncesinde alınan tedbirlere ilişkin olarak aktarımın zorunlu olması. | |||
| İlgili kişi yararına veri sorumlusu ile üçüncü bir kişi arasında yapılacak sözleşmenin kurulması ya da ifası için aktarımın zorunlu olması. | |||
| Üstün bir kamu yararı için aktarımın zorunlu olması. | |||
| Bir hakkın tesisi, kullanılması ya da korunması için aktarımın zorunlu olması. | |||
| Fiili imkânsızlık nedeniyle rızasını |
| açıklayamayan kişilerin hayatının korunması için aktarımın zorunlu olması. | |||
| Kamuya ya da meşru menfaati bulunan kişilere açık siciller kapsamında aktarım yapılması. |
[1] Kişisel Verileri Koruma Kurulu.
[2] Söz konusu bildirimin hangi veri aktaran tarafça yapılacağı, sözleşme ile belirlenebilecektir. Eğer böyle bir hüküm yoksa, bildirim veri aktaran tarafından yapılmalıdır.
