top of page

KİŞİSEL VERİLERİN YURTDIŞINA AKTARIMI REHBERİ YAYIMLANDI.



Kişisel Verileri Koruma Kurumu (“Kurum”), 2 Ocak 2025 tarihinde resmi internet sitesinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberini (“Rehber”) yayımlamıştır. Bu Rehber ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yurtdışına veri aktarımı ile ilgili düzenlemelerinin uygulayıcılar bakımından açıklanması amaçlanmıştır.


Yurtdışına Veri Aktarımına Genel Bakış

“Yurt dışı veri aktarımı” kavramı, ilk defa 10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’te (“Yönetmelik”) tanımlanmıştır. Buna göre, kişisel verilerin, Kanuna tabi bir veri sorumlusu ya da veri işleyen tarafından yurt dışında bulunan başka bir veri sorumlusu ya da veri işleyene iletilmesi ya da başka bir şekilde erişilebilir hale getirilmesi yurt dışına veri aktarılması faaliyetidir.


Rehberde ise, bu faaliyetin şartlarına açıklık getirilmiştir:


  1. Veri sorumlusu veya veri işleyen (veri aktaran) işlediği kişisel verilere bağlı olarak Kanuna tabi olmalıdır. Kanunun kapsamı “etki ilkesi” üzerinden yorumlanmalıdır.

  2. Kişisel veriler, iletilmiş veya başka bir şekilde erişilebilir hale getirilmiş olmalıdır.

  3. Veri aktarılan veri sorumlusu ya da veri işleyen, Kanuna tabi olup olmamasına bakılmaksızın, coğrafi olarak bir üçüncü ülkede bulunmalıdır.


Yine Rehberde, yurt dışı veri aktarımı süreçlerinde üç aşamalı bir yapı oluşturulduğu ifade edilmiştir.


Buna göre, kişisel veriler aşağıdaki şartlardan birinin varlığı halinde yurtdışına aktarılabilir:


1.      Yeterlilik kararının bulunması,

2.      Uygun güvencelerin sağlanması,

3.      İstisnai aktarım hallerinin mevcut olması


Bu yapıda, yurt dışına veri aktarımı için öncelikli olarak yeterlilik kararı aranır. Yeterlilik kararı yoksa, alternatif güvence mekanizmaları sağlanmalıdır. Bu da mevcut değilse, sınırlı istisnai durumların varlığı halinde aktarım yapılabilir.


  1. Yeterlilik Kararı

Yeterlilik kararı, bir ülkenin, sektörün veya uluslararası kuruluşun veri koruma seviyesinin Türkiye ile eşdeğer olduğunu ifade eder. Bu karar, Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından verilir ve Resmi Gazete’de yayımlanır.


Yeterlilik Kararının Yeniden Değerlendirilmesi 

Kurul, yeterlilik kararını en az dört yılda bir gözden geçirir. Gerekli hallerde bu kararları askıya alabilir, değiştirebilir veya iptal edebilir.

 

 

  1. Uygun Güvenceler

Yeterlilik kararı bulunmadığında, veri aktarımı için tarafların aşağıdaki güvence yöntemlerinden birini sağlaması gerekir:


a. Uluslararası Sözleşme Olmayan Anlaşmalarla Güvence Sağlanması

Yurt dışındaki kamu ve uluslararası kuruluşlarla, Türkiye’deki kamu kurumları ya da kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliği taşımayan anlaşmalarla, yurt dışına veri aktarımı mümkün olacaktır. Bu süreçte Kurul’dan görüş alınmalıdır. Ayrıca, Rehber’de, anlaşmalarda kişisel verilerin korunmasıyla ilgili hükümlerin detaylandırılması ve Kurul’un belirlediği standartlara uyulması gerektiği belirtilmiştir. Bu tür anlaşmalar genellikle iş birliği protokolü, mutabakat zaptı veya idari anlaşma şeklinde olabilir. Örnek olarak, Türkiye İlaç ve Tıbbi Cihaz Kurumu ile Avrupa Komisyonu arasında imzalanan idari anlaşma gösterilebilir.


b. Bağlayıcı Şirket Kuralları ("BŞK")

Bağlayıcı Şirket Kuralları ile ilgili olarak, yeni düzenlemeyle hem veri sorumlularının hem de veri işleyenlerin için yurt dışı veri aktarımı faaliyetinde bulunması mümkün hale gelmiştir. Bu kapsamda, artık her iki taraf da Kurul’a başvuru yaparak BŞK başvurusunun kabulü sonrasında yurt dışına veri aktarımını gerçekleştirebilecektir. Kurum’un internet sitesinde, veri sorumluları ve veri işleyenler için standart bir form oluşturulması amacıyla “Bağlayıcı Şirket Kuralları Başvuru Formu” ve “Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu” yayımlanmıştır. Yine bu amaç doğrultusunda, başvuruda bulunması gereken asgari unsurlar, Rehber’de de ayrıntılı olarak açıklanmıştır. Bu unsurlar arasında, organizasyon yapısı, veri akışına ilişkin açıklamalar, bağlayıcılık unsuru, veri koruma önlemleri, uyum denetimi ve Kurum ile işbirliği yapma yükümlülüğü gibi başlıklar yer almaktadır.


Rehber’de BŞK’ye dayanılarak veri aktarımı yapılabilmesi için başvuruda dikkat edilmesi gereken hususlar da ele alınmıştır. Kısaca; Kurul onayı, BŞK metni, yabancı metinlerin noter onaylı çevirileri, imzalayan kişinin yetki belgesi gibi zorunlu unsurlar belirtilmiştir.



c. Standart Sözleşme ile Veri Aktarımı

Rehber, kişisel verilerin yurt dışına aktarımı için kullanılan standart sözleşmeleri, veri sorumlusu veya işleyeni ile veri alıcısı arasında uygun güvence sağlamayı amaçlayan bir yöntem olarak tanımlamaktadır. Bu sözleşmeler, kişisel verilerin korunmasını temin eder ve veri aktarım süreçlerinin verimli bir şekilde sürdürülmesini sağlar.


Kurul, dört farklı standart sözleşme türü onaylamış ve sözleşme maddelerinde yalnızca seçimlik veya alternatif maddelerde değişiklik yapılabileceğini belirtmiştir. Sözleşmeler, genel hükümler, tarafların yükümlülükleri, ulusal hukuk ve kamu makamları erişim yükümlülükleri, son hükümler gibi dört ana bölümde düzenlenmiştir.


Sözleşme eklerinde, veri aktaran ve alıcının faaliyetleri, veri türü, aktarımın amacı, sıklığı, işleme faaliyetinin niteliği ve saklama süresi gibi bilgiler yer almalıdır. Sözleşme, veri aktaran tarafından beş iş günü içinde Kurum’a bildirilmeli ve bildirilen belgeler, noter onaylı çeviriler dahil edilmelidir. Sözleşme değişiklikleri veya sona ermesi durumunda da güncellenmiş bilgilerle bildirim yapılması gerekmektedir.

 

d. Taahhütname ile Aktarım

Rehberde, yurt dışına kişisel veri aktarımında yazılı taahhütnameler ile aktarım yapılmasının usul ve esasları detaylandırılmıştır. Aktarım tarafları arasında yapılacak taahhütname, aktarımın amacı, kapsamı, hukuki sebebi ve veri güvenliği önlemleri gibi temel unsurları içermelidir. Ayrıca, özel nitelikli kişisel verilerin aktarılması durumunda ek güvenlik tedbirleri alınması gerektiği belirtilmiştir. Taahhütnamede, ilgili kişilerin haklarının korunmasına yönelik taahhütler ile bu hakların kullanımına dair usul ve esaslar da yer almalıdır. Taahhütnamenin ihlali hâlinde, başvurulacak hak arama yöntemleri ve veri aktarımının askıya alınması veya feshedilmesi gibi düzenlemeler de taahhütnameye dâhil edilmelidir. Kurul, taahhütname başvurusunu değerlendirmeden veri aktarımına başlanmasının hukuka aykırı olduğunu vurgulamaktadır; dolayısıyla, taahhütnamenin Kurul tarafından onaylanmasından önce veri aktarımı gerçekleştirilemez.



  1. İstisnai Aktarım Hallerine Dayalı Aktarımlar

Yeterlilik kararı ve uygun güvenceler yoksa, veriler yalnızca aşağıdaki istisnai durumlarda yurtdışına aktarılabilir:


  1. Açık Rıza: İlgili kişinin geçerlilik şartlarına uygun açık rızasının bulunması.

  2. Sözleşme Gerekliliği: İlgili kişiyle yapılan bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için aktarımın zorunlu olması.

  3. Hayati Durumlar: Bir kişinin hayatını veya beden bütünlüğünü korumak için aktarımın zorunlu olması.

  4. Kamu Yararı: Üstün bir kamu yararının mevcut olması.

  5. Hukuki Zorunluluk: Bir hakkın tesisi, kullanılması veya korunması için aktarımın gerekli olması.


    İstisnai durumlar süreklilik arz etmez; yalnızca tek seferlik veya geçici durumlar için uygulanabilir.


Özet ve Sonuç

Kişisel verilerin yurtdışına aktarımı, Kanun’un koyduğu sıkı düzenlemelere tabidir. Aktarımlar, yeterlilik kararına, uygun güvencelere veya istisnai hallere dayanmalıdır. Veri sorumluları ve işleyenler, aktarım süreçlerinde teknik ve idari tedbirler alarak yasalara tam uyum sağlamalıdır.


Bu Rehber, uygulamada karşılaşılabilecek sorunları en aza indirmek ve yasal uyumluluğu artırmak için bir yol haritası sunmaktadır.

bottom of page