1. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) Hakkında
Bültenimizde yer alan 19.04. 2024 tarihli yazımızda yer verdiğimiz üzere ‘’Sekizinci Yargı Paketi” olarak bilinen ve Kişisel Verileri Koruma Kanunu’nda (“Kanun”) önemli değişiklikler yapılmasını öngören Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.04.2024 tarihli Resmi Gazete’de yayımlanmıştı. Böylece, Kanunun Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu hale getirilmesini amaçlayan değişiklikler yasallaşıp Kanunun 9. maddesinde düzenlenen kişisel verilerin yurt dışına aktarılması için yeni bir sistem öngörülmüştü.
10.07. 2024 tarihli Resmî Gazetede yayımlanarak yürürlüğe giren Yönetmelik ile birlikte mezkur kanunda 12.04. 2024 tarihinde yapılan değişiklikler bağlamında yurt dışına veri aktarımı hakkında prosedür ve yükümlülükler belirlenmiş oldu. Yönetmeliğin yayınlanmasının hemen akabinde ise Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yapılan kamuoyu duyurusu ile kanun ve yönetmelikte anılan Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına ilişkin kılavuzlar Kurumun internet sitesinde paylaşıldı.
Bu yazımızda Yönetmelik ile getirilen başlıca değişiklikleri derledik.
2. Kişisel Verilerin Yurt Dışına Aktarılma Usulleri
Hatırlanacağı üzere, yakın zamanda Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9. maddesinde yapılan değişiklik ile kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağına yönelik anlayış esnetilmiş ve kişisel verilerin birtakım gerekliliklerin sağlanması halinde yurt dışına aktarılabileceği alternatifli bir aktarım rejimi kurulmuştu. Yönetmelik ise Kanun sistematiğine paralel şekilde kişisel verilerin arklı usuller ile veri sorumluları ve veri işleyenler tarafından yurt dışına aktarımın gerçekleştirilebileceğini öngörüyor. Bu çerçevede, Kanunun 5’. ve 6. maddelerinde yer verilen kişisel veriler ile özel nitelikli kişisel verilerin işlenmesine ilişkin şartlardan birinin varlığı ve aşağıda incelediğimiz üç farklı durumdan birinin gerçekleşmesi durumunda kişisel verilerin yurt dışına aktarılabileceği düzenleniyor.
Yönetmelikte yer verilen aktarım usulleri şu şekilde:
Yeterlilik Kararı: İlk olarak, Yönetmeliğin 8. Maddesi ile Kişisel Verileri Koruma Kurulunun (“Kurul”)bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar vermesi halinde aktarım yapılabilmesinin önü açılıyor...Kurulun yeterlilik kararı verirken Türkiye ile veri aktarımı yapılacak ülke veya kuruluşlar arasındaki karşılıklılık durumu, ilgili ülke veya uluslararası kuruluşun mevzuat ve uygulamaları, bağımsız ve etkin bir veri koruma kurumunun varlığı, kişisel verilerin korunmasına yönelik uluslararası sözleşmelere taraf olma durumu ve Türkiye’nin üyesi olduğu uluslararası kuruluşlara üyelik gibi kriterlerin öncelikli olarak dikkate alınacağı belirtiliyor. Ayrıca, yeterlilik kararının en geç dört yılda bir yeniden değerlendirilerek değiştirilebileceği, askıya alınabileceği ya da kaldırılabileceği düzenleniyor.
Uygun Güvencelerin Sağlanması Koşuluna Bağlı Aktarım: İkinci olarak, Yönetmeliğin 10. maddesi ile, yeterlilik kararının bulunmadığı durumlarda uygun güvencelere dayalı aktarım yapılabileceği hüküm altına alınıyor. Buna göre, kişisel veriler ile özel nitelikli kişisel verilerin işlenmesine ilişkin şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla aşağıda yer verilen vasıtalar ile güvence sağlanması durumunda aktarım yapılmasına imkân tanınıyor.
Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma: Yönetmeliğin 11. maddesinde yer verilen bu yöntem ile, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabileceği düzenleniyor. Yönetmeliğin 11. maddesi, anlaşmanın müzakere sürecinde Kurulun görüşüne başvurulmasını zorunlu kıldığı gibi anlaşmaların içeriğinde yer alması gereken hususlara yer veriyor. Bu çerçevede, kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulması ve veri aktarımına Kurul tarafından izin verilmesinden sonra başlanacağı belirtiliyor.
Bağlayıcı Şirket Kuralları: Yönetmeliğin 12. maddesinde, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kurallarının varlığı uygun güvence olarak kabul ediliyor. Yönetmelikte bağlayıcı şirket kurallarında bulunması gereken asgari hususlara ilişkin detaylı hükümlere yer veriyor. Nitekim, 10.07.2024 tarihinde Kurumun internet sitesinde yayımlanan Bağlayıcı Şirket Kurallarına İlişkin Yardımcı Kılavuz da konuya ışık tutuyor. i. Benzer şekilde, bağlayıcı şirket kurallarına istinaden kişisel veri aktarımına başlanabilmesi için Kurul onayının alınması gerekiyor.
Standart Sözleşme: Yönetmeliğin getirdiği bir başka alternatif yöntem ise standart sözleşme yoluyla uygun güvencenin sağlanması. Yönetmeliğin 14. maddesinde düzenlenen bu mekanizma ile; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme ile de yurt dışına veri aktarımına cevaz veriliyor. Kurul tarafından ilan edilen standart sözleşmenin üzerinde herhangi bir değişiklik yapılmadan kullanılması, kişisel veri aktarımının tarafları arasında akdedilmesi ve taraflarca imzalanmasının ardından beş iş günü içinde Kuruma bildirilmesi gerekiyor. Nitekim, 10.07.2024 tarihinde Kurumun internet sitesinde yayımlanan duyuru ile dört farklı tip standart sözleşme metni kamuoyu ile paylaşıldı.
Taahhütname: Uygun güvenceye istinaden öngörülen son veri aktarım yöntemi ise aktarım tarafları arasında akdedilecek yazılı bir taahhütname sunulması. Taahhütnamede bulunması gereken asgari koşullar Yönetmeliğin 15. Maddesinde düzenleniyor. Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula başvuruda bulunulması ve veri aktarımına başlanabilmesi için Kurul onayı alınması gerekiyor.
İstisnai Hallerde Aktarım: Yönetmelik ile görülen son aktarım yöntemi ise istisnai aktarım. Buna göre, Yeterlilik kararının bulunmaması ve herhangi bir uygun güvencenin sağlanmaması durumunda yurt dışına veri aktarımı istisnai hallerden birinin varlığı halinde ve aktarımın arızi olması şartıyla gerçekleştirilebilir. Yönetmeliğe göre arızi aktarım; düzenli olmayan, tek veya birkaç kez gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlardır. Bu aktarım halleri Yönetmeliğin 16. maddesinde belirtiliyor:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
3. Sonuç
Kişisel verilerin yurt dışına aktarılması konusu son yıllarda sıkça gündeme gelen ve teşebbüslerin ticari faaliyetlerinin işleyişi bakımından birtakım problemler yaratan bir konuydu. Kanunda yapılan değişiklikler ve Yönetmelik ile yürürlüğe konulan düzenlemeler ile birlikte yürürlüğe konulan veri aktarım sistematiği ile birlikte uzun süredir beklenen mevzuat değişiklikleri gerçekleştirilmiş ve Avrupa Birliği Genel Veri Koruma Tüzüğü ile uyum sağlanmış oldu.