Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmelik yürürlüğe girdi.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) kişisel verilerin yurt dışına aktarılmasını düzenleten 9. maddesinin uygulanmasına ilişkin usul ve esasları düzenleyen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”), 10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

Yönetmelik, 7499 Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile yeniden düzenlenmiş ve 1 Eylül 2024 tarihinde yürürlüğe girecek olan KVKK madde 9’un uygulanmasına ilişkin usul ve esasları ihtiva etmektedir. Yönetmelik yurt dışına veri aktarımına taraf veri sorumlu ve veri işleyenler hakkında uygulanacaktır.

Yönetmelik’in 5. maddesinde kişisel verilerin veri sorumlusu veya veri işleyen tarafından ancak KVKK ve Yönetmelik ile öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabileceği belirtilmiştir. Buna ek olarak veri işleyenlerin yurt dışına veri aktarımlarında veri sorumlusunun talimatlarına uyması gerektiği de düzenlenmiştir. Veri işleyen veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde hareket etmekle ve kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasının sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almakla yükümlü kılınmıştır.

Yönetmelik’in 6. maddesinde de veri aktarımı için öngörülen 3 aşamalı sisteme değinilmiştir. Bu kapsamda kişisel veriler, KVKK madde 5 ve 6’da belirtilen şartlardan birinin mevcudiyeti ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veriler yurt dışına aktarılabilecektir:

a) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı var ise,
b) Yeterlilik kararı bulunmuyor ise ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ön koşullarının da mevcudiyeti hâlinde Yönetmeliğin 10. Ve KVKK’nın 9. maddesinin 4. Fıkrasında belirtilen uygun güvencelerden birinin taraflarca sağlanması hâllinde ve
c) İşbu iki durumun da sağlanamaması halinde arızi olmak kaydıyla Yönetmelik 16. Maddesinde belirtilen istisnai hâllerden birinin varlığı halinde kişisel verileri yurt dışına aktarılabilecektir.

Uluslararası sözleşme hükümleri saklı olmak kaydıyla Türkiye’nin veya ilgili kişinin menfaatinin ciddi zarar göreceği durumlar ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul izni ile verilerin yurt dışına aktarılmasına izin verilmiştir.

I. Yeterlilik kararına dayalı aktarım (Yönetmelik, md. 8-9)

Kişisel Verileri Koruma Kurulu (“Kurul”) kişisel verilerin yurt dışına aktarımıyla ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağladıklarına karar verebilir. Yeterlilik kararı verilirken dikkate alınacak hususlar Yönetmelik’in 8. maddesinde düzenlenmiştir. Bu çerçevede aktarılacak taraf ile Türkiye arasındaki karşılıklık durumu, aktarılacak olan ülkenin ilgili mevzuat ve uygulaması ile aktarılacak kuruluşun tâbi olduğu kurallar, tâbi olunan bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması, kişisel verilerin korunması ile ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu ve Türkiye’nin taraf olduğu uluslararası sözleşmelerin yeterlilik kararı verilirken dikkate alınması gerektiği belirtilmiştir ayrıca Kurul’un ek hususlar belirleme konusunda yetkisi olduğu ve ihtiyacı olması halinde ilgili kurum ve kuruluşlardan görüş alabileceğine değinilmiştir. Yeterlilik kararları Resmî Gazete’de ve Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanacaktır.

Düzenleme uyarınca, yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecektir. Yeterlilik kararlarında yeniden değerlendirme dönemleri açıkça belirlenecektir. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecektir. Belirlenen değerlendirme dönemi ile bağlı olmaksızın Kurul gerekli görüdüğü hâllerde ilgili değerlendirmeyi yapabilecektir. Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin olarak verilen kararların da Resmî Gazete’de ve Kurum’un internet sitesinde yayımlanacağı düzenlenmiştir.

II. Uygun güvencelere dayalı aktarım (Yönetmelik, md. 10-15)

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilecektir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabileceği düzenlenmiştir. Anlaşmanın müzakere sürecinde Kurul’un görüşüne başvurulacağı ve anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin özellikle aşağıdaki hususları içermesi gerektiği Yönetmeliğin 11. Maddesinde yer almaktadır.

Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulması ve yapılacak başvuru kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulması gerektiği düzenlenmiştir. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanabileceği belirtilmiştir.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabileceği düzenlenmiştir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulması ve bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgelerin Kurul’a sunulması gerektiği düzenlenmiştir. Başvuruda sunulacak yabancı dildeki her belgenin noter onaylı çevirisinin de başvuruya eklenmesi gerektiği belirtilmiştir. Bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi hâlinde Türkçe metin esas alınacaktır.

Kurul tarafından bağlayıcı şirket kuralları onaylanırken özellikle aşağıdaki hususlar dikkate alınacağı belirtilmiştir:

i. Çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.
ii. İlgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.
iii. Asgari olarak Yönetmelik madde 13’te belirtilen hususları içermesi.

Yukarıda da belirtildiği üzere madde 13’te bağlayıcı şirket kurallarında bulunması gereken asgari hususlara detaylı bir şekilde yer verilmiştir. Kurul, ilave hususlar belirlemeye yetkili kılınmıştır. Bağlayıcı şirket kuralları başvurusunda kullanılacak belgeler Kurul tarafından belirlenecektir. Kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanabilecektir.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme vasıtasıyla uygun güvence sağlanabileceği düzenlenmiştir. Standart sözleşmeler Kurul tarafından belirlenerek ilan edilecektir. Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunlu olduğu ve sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınacağı belirtilmiştir.

Standart sözleşmenin kişisel veri aktarımının tarafları arasında akdedilerek aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunlu tutulmuştur. KVKK’ya getirilmiş olan bildirim yükümlülüğüne ilişkin detaylı usule Yönetmelik’te yer verilmiştir. Bu kapsamda, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilmesi gerektiği düzenlenmiştir. Standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğine taraflarca belirleme imkânı sunulmuştur. Taraflar standart sözleşmede bildirimin kimin tarafından yapılacağını düzenleyebilecektir, bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuruma bildirilecektir. Yapılacak bildirimde, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisinin de eklenmesi gerektiği belirtilmiştir. Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde bildirim usulüne uygun olarak Kuruma bildirim yapılması gerektiği belirtilmiştir.

d) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabileceği düzenlenmiştir. Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümlerin özellikle içermesi gereken hususlara Yönetmelik’in 15. maddesinde detaylı bir şekilde yer verilmiştir. Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulması ve taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgelerin başvuruda Kurul’a sunulması gerektiği düzenlenmiştir. Taahhütnamenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınacaktır. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanabilecektir.

III. İstisnai aktarımlar (Yönetmelik, md. 16)

Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece Yönetmelik’in 16. Maddesinin 2. fıkrasında belirtilen istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına kişisel veri aktarılabileceği düzenlenmiştir. Arızi bir başka deyişle istisnai aktarımlar; düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak tanımlanarak Yönetmelik ile açıklığa kavuşmuştur.

İstisnai aktarım olarak Yönetmelik’te 7 hâl sayılmıştır:

1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
4. Aktarımın üstün bir kamu yararı için zorunlu olması.
5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

İstisnai aktarımın, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemeyeceği, meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımların yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebileceği belirtilmiş ve yukarıda sayılan ilk 3 hâlin kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanamayacağı belirtilmiştir.

Yönetmelik ile KVKK madde 9’a getirilmiş olan yeni sistematik çerçevesinde 1 Eylül 2024 tarihi itibariyle yürürlüğe girecek değişikliklerin uygulama ve esaslarına, dikkat edilmesi gereken unsurlara açıklık getirilmiştir.

Kişisel verilerin yurt dışına aktarımına ilişkin olarak KVKK madde 9’da meydana gelen değişikleri de ihtiva eden 7499 Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’a (“Kanun”) ilişkin yayınlamış bulunduğumuz 12 Mart 2024 tarihli “6698 Sayılı Kişisel Verilerin Korunması Kanunu’na Getirilen Yenilikler” başlıklı ve Kanun’un Teklif aşamasına ilişkin yayınlamış bulunduğumuz 20 Şubat 2024 tarihli “8. Yargı Paketi Teklifinin Kişisel Verilerin Korunması Kanunu Özelinde Getirdiği ve Genel Veri Koruma Tüzüğüne Uyumu İçerir Düzenlemeler” başlıklı sirkülerlerimizi inceleyebilirsiniz.

Kişisel verilerin korunmasına yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.

Saygılarımızla.
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erkan Baykuş