Kişisel Verilerin Yurt Dışına Aktarımı:

Yeni Düzenlemeler

Yurt dışındaki bir şirkete kişisel veri aktarmak için, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) 9. maddesinde yapılan değişikliklerle getirilen üç basamaklı yapıya uygun olarak hareket etmek gerekmektedir. Bu sistem, Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (GVKT) uyum sağlamayı ve kişisel veri aktarım süreçlerindeki mevcut pratik sorunları gidermeyi amaçlamaktadır.

 

Yeterlilik Kararına Dayalı Aktarımlar

Kişisel veri aktarımının yapılabilmesi için öncelikle Kanun'un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birinin bulunması gerekmektedir.Bununla birlikte, verilerin aktarılacağı ülke, o ülke içerisindeki belirli sektörler veya uluslararası kuruluşlar hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilmiş bir yeterlilik kararı bulunmalıdır.

Yeterlilik Kararı: Kurul tarafından verilir ve Resmî Gazete'de yayımlanır. Bu kararlar, en geç dört yılda bir değerlendirilir; Kurul, gerekli gördüğü hallerde kararı değiştirebilir, askıya alabilir veya kaldırabilir.

Değerlendirme Kriterleri: Kurul, yeterlilik kararı verirken Türkiye ile aktarım yapılacak ülke, sektör veya kuruluş arasındaki karşılıklılık durumu, ilgili mevzuat ve uygulamalar, bağımsız ve etkin bir veri koruma kurumunun varlığı, idari ve adli başvuru yollarının bulunması, uluslararası sözleşmelere taraf olma durumu ve Türkiye'nin taraf olduğu uluslararası sözleşmeler gibi hususları dikkate alır.

Uygun Güvencelere Dayalı Aktarımlar

Eğer Kurul tarafından verilmiş bir yeterlilik kararı bulunmuyorsa, Kanun'un 5. ve 6. maddelerinde belirtilen veri işleme şartlarından herhangi birinin varlığına ek olarak, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanabilme ve etkili yasal çözümlere başvurabilme imkanının bulunması kaydıyla uygun güvencelerden birinin sağlanması gerekmektedir.

Uygun Güvence Yöntemleri:

Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan ve Kurul tarafından aktarıma izin verilen anlaşmalardır. Bu anlaşmalar, kişisel verilerin bir kamu kurumundan özel bir kuruma veya özel bir kurumdan bir kamu kurumuna aktarımını kapsamaz. Anlaşma metninin müzakere sürecinde Kurul'un görüşüne başvurulması ve Kurul'dan izin alınması şarttır.
Bağlayıcı Şirket Kuralları (BŞK): Ortak bir ekonomik faaliyette bulunan aynı teşebbüs grubu içindeki şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren kurallardır. BŞK, Türkiye'de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı grup içindeki yurt dışında yerleşik bir veri sorumlusuna veya veri işleyene yapılan aktarımları kapsar. BŞK'nın hukuken bağlayıcı ve uygulanabilir olması temel bir gerekliliktir. Başvuru Kurul'a yapılır ve Kurul'un onayı beklenir.
Standart SözleşmelerKurul tarafından yayımlanan ve içeriği belirlenmiş model sözleşmelerdir. Bu sözleşmelerin imzalanması, ek bir izin gerektirmeden veri aktarımına olanak tanır. Dört farklı tip standart sözleşme metni bulunmaktadır (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen, veri işleyen-veri işleyen, veri işleyen-veri sorumlusu aktarımları için) İmzalanan standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde Kuruma bildirilmesi zorunludur. Bu bildirim yükümlülüğüne uyulmaması idari para cezası ile sonuçlanabilir. Türkçe metin esas alınır.
Taahhütname: Yeterli korumayı sağlayacak hükümleri içeren yazılı bir taahhütnamenin bulunması ve Kurul'un bu aktarıma izin vermesi halinde yurt dışına kişisel veri aktarımı gerçekleştirilebilir. Taahhütnameler Türk hukukuna tabi olmalı ve taraflar Türk mahkemelerinin yargı yetkisini kabul etmelidir.

GÜNCELLEME: KVKK'nın 9. maddesinde yapılan değişikliklerle birlikte, "açık rıza"ya dayalı yurt dışına veri aktarımı artık arızi hallerle sınırlandırılmıştır ve ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartı getirilmiştir. Eğer aktarım arızi değilse, ilgili kişiler bilgilendirilse dahi açık rızaya dayalı aktarım mümkün olmayacaktır. Bu değişiklikler, KVKK'nın 9. maddesinin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrasıyla birlikte 01/9/2024 tarihine kadar uygulanmaya devam etmiştir. Bu durum, Kanun koyucunun açık rızayı genel bir aktarım sebebi olmaktan çıkarıp istisnai hale getirme tercihiyle yapılmış stratejik bir değişikliktir.