Kişisel Verilerin Yurt Dışına Aktarılması Yönetmeliği Yayımlandı

Kişisel verilerin korunması, günümüzde önemi artan bir konu. Teknolojinin gelişmesi  ile uluslararası ticaretin ve dijitalleşmenin artmasıyla birlikte kişisel verilerin yurt dışına aktarılması da yaygınlaşmıştır. 8. Yargı Paketi olarak nitelendirilen 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarihli Resmi Gazete’de yayımlanmış, kişisel verilerin yurt dışına aktarılmasıyla ilgili değişiklikler yapılmış ve ayrıntıların yönetmelikle düzenleneceği belirtilmiştir. İşte söz konusu yönetmelik bu kanuna dayanılarak çıkarılmıştır.

İlginizi çekebilir: 8. Yargı Paketiyle Kişisel Verilerin Korunması Alanında Yapılan Değişiklikler

Kanun değişikliğiyle öngörülen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10.07.2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Yönetmelikle birlikte kişisel verilerin yurt dışına aktarılma usul ve esasları belirlenmiş olup yönetmelik yurt dışına kişisel veri aktarımına taraf veri sorumluları ve veri işleyenler hakkında uygulanacaktır. Bu yazıda, yeni yönetmeliğin getirdiği düzenlemeler ve etkileri ele alınacaktır.

Tanımlar

Yönetmelikle kanunda yer almayan veri aktaran ve veri alıcısı tanımları eklenmiştir. Bu tanımlara göre veri aktaran; kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen kişi/kişileri belirtmekte iken veri alıcısı, veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyen kişi/kişileri belirtmektedir.

Ek olarak yönetmelikte kişisel verilerin yurt dışına aktarılması da tanımlanmıştır. Buna göre kişisel verilerin yurt dışına aktarılması; kişisel verilerin Kişisel Verilerin Korunması Kanunu kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesini ifade edecektir. Dolayısıyla kişisel verilerin özel olarak gönderilmesinin yanı sıra bir sisteme yüklenmesi ve bu sisteme yurt dışından erişim sağlanabilmesi de bir kişisel veri aktarımı olarak nitelendirilir.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak yasada öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilecektir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına uyulması da zorunludur. Bu noktada veri sorumlusunun kanun ve yönetmelik kapsamında kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi belirtmekte olduğunu hatırlatmakta fayda vardır. Bu kurallar sadece ilk aktarımda değil kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara yapılan aktarımlar bakımından da uygulanacaktır. Dolayısıyla yurt dışına veri aktarımı yapılacaksa bu usul ve esaslar takip edilmeli ve somut olayda ona göre hareket edilmelidir.

Kişisel Verilerin Yurt Dışına Aktarılma Usulleri

Kişisel verilerin yurt dışına aktarılabilmesi için kanunun 5. ve 6. maddelerinde belirtilen kişisel verilerin işlenme şartlarından birinin varlığı aranmaktadır. Bunlara ek olarak kişisel veriler yalnızca yeterlilik kararının bulunması, uygun güvencelerin sağlanması veya istinai hallerin bulunması durumunda yurt dışına aktarılabilecektir. Öte yandan kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilecektir.

Yeterlilik Kararına Dayalı Aktarımlar

Yeterlilik kararı Kişisel Verileri Koruma Kurulu tarafından verilir ve Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır. Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı verilirken Kurul aşağıdaki hususları öncelikle dikkate alacak ve gerekirse ek kıstaslar tanımlayabilecektir:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

e) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

f) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

Yeterlilik kararında, yeniden değerlendirme dönemleri açıkça belirlenir, fakat bu süre, en geç dört yılda bir olacak şekildedir. Bu süre mutlak bir süre olmayıp kurulca gerekli görülmesi durumunda bu sürenin bitiminden önce yeterlilik kararında değişikliğe gidilebilir. Değişiklik yeterlilik kararının askıya alınması veya kaldırılması gibi işlemleri de kapsar. Böyle bir durumda da değişikliklere ilişkin olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

Uygun Güvencelere Dayalı Aktarımlar

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:

1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
2. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
3. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
4. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması

Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir.

Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.

Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulur ve onaydan sonra veri aktarımı yapılabilir. Bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi hâlinde Türkçe metin esas alınır.

Standart Sözleşmeyle Uygun Güvencenin Sağlanması

Kişisel verilerin yurt dışına aktarılması için gerekli bir diğer alternatif unsur ise standart sözleşmelerdir. Standart sözleşmeler, kurul tarafından belirlenerek kurulun web sitesinde yayınlanır. Bu nedenle standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.

Standart sözleşmenin yabancı dilde akdedilmesi hâlinde Türkçe metin esas alınır. Standart sözleşme, kişisel veri aktarımının tarafları arasında akdedilir. Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilir. Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuruma bildirilir. Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenir. Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde Kuruma bildirim yapılır.

Taahhütnameyle Uygun Güvencenin Sağlanması

Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla da uygun güvence sağlanabilir. Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Taahhütnamenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.

İstisnai Aktarımlar

Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, sadece belirtilen istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar için bu madde uygulama alanı bulur.

İstisnai aktarım hâlleri şunlardır:

• İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
• Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
• Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
• Aktarımın üstün bir kamu yararı için zorunlu olması.
  
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. Fakat aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemez ve meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.
  

Kişisel Verilerin Veri İşleyen Tarafından Yurt Dışına Aktarılması

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür. Veri işleyenin standart sözleşmeyi bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.

Sonuç

Yönetmelik, kişisel verilerin yurtdışına aktarılması sürecinde şeffaflık ve güvenlik sağlamayı hedeflemekte ve özellikle uluslararası iş yapan şirketler ve veri işleyen kurumlar için önemli düzenlemeler içermektedir. Bu düzenlemeler, veri sahiplerinin haklarını korurken, veri sorumluları için de çeşitli yükümlülükler getirmektedir. Kişisel verilerin yurt dışına aktarılmasında üç usul belirlenmiştir. Bunlar yeterlilik kararının bulunması, uygun güvencelerin sağlanması veya istinai hallerin bulunmasıdır. Yönetmelikle bu kıstasların karşılanmasının nasıl gerçekleştirileceği, gerekli belgeler, izlenecek usul ve uygulanacak esaslar belirlenmiştir.

Konu hakkındaki sorularınız ve hukuki yardım için info@paldimoglu.av.tr üzerinden iletişime geçebilirsiniz.