2024 yılının Mart ayından itibaren, Türk kişisel verilerin korunması mevzuatında çeşitli değişiklikler yapılmıştır. Özellikle de uzun süredir uygulamadaki belirsizlikler ile tartışma konusu olan kişisel verilerin yurt dışına aktarımı konusunda önemli düzenlemeler gündeme gelmiştir:
- 03.2024 tarih ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yurt dışına veri aktarımını düzenleyen 9.maddesinde önemli değişiklikler yapılmıştır.
- 07.2024 tarih ve 32598 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) ile Kanun’un kişisel verilerin yurt dışına aktarılmasını düzenleyen ve Mart ayında yeni şeklini alan Kanun’un 9. Maddenin uygulanmasına ilişkin usul ve esaslar belirlenmektedir.
- 07.2024 tarihinde Kurum tarafından Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu yayımlanmıştır.
Söz konusu değişiklikler ile, kişisel verilerin yurt dışına aktarımı için gereken şartlar belirlenmiştir. Yurt dışına aktarımda açık rıza aranmayan haller genişletilmiş, belirli şartların varlığı halinde çeşitli kolaylıklar getirilmiştir.
Kanun Madde 9(1)’e, “aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde” yurt dışına veri aktarımı yapılabileceği şartı eklenmiştir.
Böylece, temel prensip olarak, Kurul tarafından verilecek ve Resmî Gazete’de yayımlanacak bir yeterlilik kararının bulunması gerektiği düzenlenmiştir.
Kurul, yeterlilik kararını verirken aşağıdaki hususları dikkate almaktadır:
- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık
- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar
- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu
- Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Yeterlilik kararının bulunmadığı durumlarda ise, yeni madde 9(4) uyarıca, Kanun m.5-6’da bulunan veri işleme şartlarından birinin var olması ve ilgili kişinin aktarım yapılacak ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması şartlarıyla uygun güvencenin sağlanması durumunda kişisel verilerin yurt dışına aktarımı gerçekleşebilecektir.
Ne yeterlilik kararının ne de uygun güvencenin bulunduğu durumlarda ise, madde 9(6)’da belirtilen hallerin varlığında arızi olmak şartıyla yurt dışına kişisel verilerin aktarımına izin verilmektedir. Yönetmelik, arizi yurt dışı aktarımları “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan” veri aktarımları olarak tanımlamaktadır.
Özetle, yeni mekanizmanın işlemesini sağlayan şartlar aşağıdaki gibidir:
Yeterlilik Kararı ile Aktarım Şartları
[Kanun m.9(1),(2),(3), Yönetmelik m.9,10] |
Uygun Güvenceye Dayalı Aktarım Şartları
[Kanun m.9(4), Yönetmelik m.10-15] |
Arızi Olmak Kaydıyla Sınırlı Hallerde Aktarım Şartları
[Kanun m.9(6), Yönetmelik m.16] |
Kanun m.5 ve m.6’daki belirtilen şartlardan birinin varlığı, | Kanun m.5 ve m.6’daki belirtilen şartlardan birinin varlığı, | Sınırlı sayıda aşağıdaki hallerden[1] birinin varlığı (m. 9(6): |
Aktarımın yapılacağı ülke, uluslararası kuruluş veya sektörler hakkında Kurul tarafından verilmiş ve Resmi Gazete’de ilan edilmiş bir yeterlilik kararının bulunması. | İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması, | İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, |
Kanun m.9(4)’te yer alan aşağıdaki uygun güvencelerden birinin taraflarca sağlanması: | Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, | |
Yurt dışındaki kuruluşlarla yapılan uluslararası sözleşme niteliğinde olmayan anlaşmaların varlığı ve Kurul tarafından aktarıma izin verilmesi, | Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. | |
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, | Aktarımın üstün bir kamu yararı için zorunlu olması. | |
Kurul tarafından ilan edilen standart sözleşmenin varlığı, | Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. | |
Yeterli korumayı sağlayan hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. | Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. | |
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla için gereken şartların aktarım yapılması. |
Yönetmelik, Kanun’da öngörülen yeterlilik kararı ve istisnai durumlara ilişkin Kanun’la paralel hükümler içermekle birlikte, uygun güvenceye dayalı aktarım için gerekli koşulları aşağıdaki tabloda görüldüğü gibi detaylandırmaktadır:
Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması
|
|
Bağlayıcı şirket kuralları ile uygun güvencenin sağlanması
|
|
Standart sözleşmeyle uygun güvencenin sağlanması
|
|
Yazılı taahhütname ile uygun güvencenin sağlanması
|
|
Kurum ayrıca bu uygun güvence hallerinden ikisi olan standart sözleşmeler ve bağlayıcı şirket kurallarıyla ilgili olarak 10 Temmuz 2024 tarihinde Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu ile, kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar yayımlamıştır.
Kurum, yukarıda anılan kanun değişikliği ile getirilen düzenlemelerin detaylarını ve uygulama metotlarını Yönetmelikle ve standart sözleşmeler ile bağlayıcı şirket kurallarına dair yardımcı dokümanlarla tamamlayarak kişisel verilerin yurt dışına aktarılmasına ilişkin uygulanabilir ve somut bir çerçeve ortaya koymuştur.
—–
[1] Bu hallerden ilk üçü kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde uygulanmayacaktır. Diğer bir deyişle kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde bir yeterlilik kararı ya da uygun güvence olmaksızın açık rızaya ya da sözleşmeye dayanarak ve arızi olduğu gerekçesiyle yurt dışına veri aktarımında bulunması mümkün değildir.
Konuya ilişkin daha fazla bilgi almak için, bizimle iletişime geçebilirsiniz.
Yasal uyarı: Bu bilgilendirme notu içerisinde sunulan bilgiler yalnızca bilgilendirme amacı taşımakta olup, hukuki tavsiye teşkil etmemektedir.