KVKK Rehber: “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”

Yayın Tarihi: 02 Ocak 2025
Yayınlayan: KVKK (Yayın No:48)
Boyut: 90 sayfa
İlgili rehbere erişmek için lütfen buraya tıklayınız.

Özet:
Bu rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesindeki değişiklikler sonrasında kişisel verilerin yurt dışına aktarımıyla ilgili ayrıntılı bir kılavuz sunmaktadır. Rehber, yeterlilik kararlarıuygun güvenceler (uluslararası anlaşmalar, bağlayıcı şirket kuralları, standart sözleşmeler, taahhütnameler) ve istisnai aktarım halleri olmak üzere üç aşamalı bir çerçeve üzerinden aktarım süreçlerini açıklamaktadır. Kanun değişikliğinin amacı, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GVKT) uyum sağlamak ve yurt dışına veri aktarımını kolaylaştırmaktır. Rehber, Kurul tarafından yayınlanan standart sözleşme metinleri ve bağlayıcı şirket kuralları için başvuru formları gibi pratik dokümanlara da yer vermektedir.

A. Kişisel Verileri Koruma Kurumu (Kurum) ve Faaliyet Alanı:

  • Anayasal Dayanak ve Kanun: “Kişisel verilerin korunmasını isteme hakkı” 2010 yılında Anayasa değişikliği ile anayasal bir hak olarak düzenlenmiştir.
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
  • Kanunun amacı; özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemek ve denetim mekanizmaları oluşturmaktır.
  • Kurumun Görevleri: Toplumsal farkındalığı artırmak, hak ihlali iddialarını çözmek, veri koruma bilinci oluşturmak.
  • Uygulamaları ve mevzuatı takip etmek, değerlendirmek, önerilerde bulunmak, araştırma ve incelemeler yapmak/yaptırmak.
  • Kurul tarafından, kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek, kurum ve kuruluşları bilgilendirmek, farkındalık faaliyetleri gerçekleştirmek, işbirliği ve koordinasyon çalışmaları yürütmek.
  • Kurulun Bağımsızlığı: Kurul, görev ve yetkilerini bağımsız olarak yerine getirir; hiçbir organ, makam veya kişi Kurul’a emir veya talimat veremez.
  • Geçici Madde 3 ve Yönetmelik: Kanunun 9. maddesinin eski hali, 1 Eylül 2024 tarihine kadar uygulanmaya devam edecektir.
  1. maddenin yeni halinin uygulanmasına ilişkin usul ve esaslar, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ile düzenlenmiştir (10 Temmuz 2024 tarihli Resmi Gazete).

B. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Temel Bilgiler:

  • Değişiklik Öncesi Durum: Eski 9. maddeye göre, kişisel veriler ilgili kişinin açık rızası olmadan yurt dışına aktarılamazdı.
  • Ancak, Kanunun 5/2 ve 6/3 maddelerinde belirtilen şartlar varsa ve yeterli koruma varsa veya yeterli koruma taahhüt edilirse Kurul izni ile açık rıza aranmaksızın aktarım yapılabiliyordu.
  • Değişiklik Gerekçeleri: Uygulamada, yurt dışına veri aktarımının sadece açık rızaya bağlı hale gelmesi, ticari hayatı zorlaştırmış ve yatırımları engellemiştir.
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT)’nin (GDPR) teknolojik gelişmeleri ve ticari dinamikleri dikkate alarak yeni yöntemler öngörmesi.

C. Yeterlilik Kararları:

  • Yeterlilik Kararlarının Alınması: Kurul, yeterlilik kararlarını, ilgili kurum ve kuruluşlardan görüş alarak her dört yılda bir gözden geçirecektir.
  • Gerekirse kararlar değiştirilebilir, askıya alınabilir veya iptal edilebilir.
  • Ölçütler: Yeterlilik kararı alırken, kişisel verilerin aktarılacağı ülke, sektör veya uluslararası kuruluşlar ile Türkiye arasındaki karşılıklılık durumu, ilgili mevzuat, bağımsız veri koruma kurumları, uluslararası sözleşmelere taraf olma durumu, Türkiye’nin üye olduğu kuruluşlara üye olma durumu ve diğer önemli hususlar değerlendirilir.
  • Kurul tarafından oluşturulan “Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” da belirtilen kriterler dikkate alınır.
  • “Yeterlilik kararları ‘yaşayan’ birer doküman olarak nitelendirilebilecek periyodik gözden geçirmelere tabidir.”

D. Uygun Güvencelere Dayalı Aktarımlar:

Yeterlilik kararı olmayan ülkeler için, kişisel verilerin aktarılması için “uygun güvenceler” sağlanmalıdır. Bu güvenceler:

  • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar: Kamu kurumları arasında yapılan anlaşmalar, Kurul’un izniyle veri aktarımına olanak tanır.
  • Bu anlaşmalar, veri koruma güvencelerini sağlamalı, bireysel hakların etkin kullanımını sağlamalıdır.
  • Anlaşmaların içermesi gereken asgari unsurlar:
  • Veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
  • Kanun ve ilgili mevzuata uygun tanımlar.
  • Genel ilkelere uyum taahhüdü.
  • İlgili kişilerin aydınlatılması.
  • İlgili kişi haklarının kullandırılması.
  • Veri güvenliği önlemleri.
  • Özel nitelikli veriler için ek önlemler.
  • Sonraki aktarım kısıtlamaları.
  • İhlal durumunda hak arama yöntemleri.
  • Denetim mekanizmaları.
  • Veri alıcısının yükümlülüklerini yerine getirememesi durumunda veri aktarımını askıya alma ve anlaşmayı feshetme hakkı.
  • Anlaşma sona erdiğinde verilerin iadesi veya yok edilmesi.
  • Bağlayıcı Şirket Kuralları (BŞK):Çok uluslu şirketler ve şirket grupları tarafından uygulanan veri koruma kurallarıdır.
  • GVKT ile uygun güvence olarak kabul edilmiştir.
  • BŞK, grup içindeki tüm şirketler için bağlayıcı olmalıdır.
  • İçermesi gereken asgari unsurlar:
  • Grubun organizasyon yapısı ve irtibat bilgileri.
  • Kişisel veri akışına ilişkin açıklamalar.
  • Bağlayıcılık unsuru.
  • Veri koruma önlemleri.
  • İlgili kişi hakları.
  • İlgili kişilerin BŞK’ya kolay erişimi.
  • Uygun bir eğitim programının varlığı.
  • Uyumun denetlenmesi için uygun personel yapısı ve denetim mekanizmaları.
  • Değişikliklerin kaydedilmesi ve raporlanmasına ilişkin mekanizmalar.
  • Kurum ile iş birliği yükümlülüğü.
  • BŞK’ya uyumu etkileyen ulusal düzenlemeler.
  • BŞK başvurusu Kurul tarafından onaylanır.
  • Gruptaki herhangi bir üyenin BŞK’yı ihlal etmesi durumunda, Türkiye’deki üye sorumluluğu kabul etmelidir.
  • Standart Sözleşmeler: Kurul tarafından belirlenen model sözleşmelerdir.
  • Veri aktaran ve veri alıcısı arasında yapılır.
  • İlgili kişilerin haklarını koruma ve korumanın sonraki aktarımlarda da devam etmesini amaçlar.
  • İçerdiği önemli unsurlar: veri kategorileri, aktarım amaçları, alıcılar, teknik ve idari tedbirler, özel nitelikli veriler için ek önlemler.
  • Sözleşme taraflarca imzalanmalı ve Kuruma bildirilmelidir (5 iş günü içinde).
  • Bildirimde, imzalı sözleşme, yetki belgeleri ve noter onaylı çeviriler sunulmalıdır.
  • Standart sözleşmeler, aktarımın yapılması için doğrudan bir izin yerine uygun güvence sağlar.
  • Taahhütnameler: Yeterli korumayı sağlayacak hükümleri içeren yazılı taahhütnameler.
  • Kurul tarafından incelenip onaylanması gerekir.
  • Taahhütnamelerin içermesi gereken asgari unsurlar:
  • Veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
  • Kanun ve ilgili mevzuata uygun tanımlar.
  • Genel ilkelere uyum taahhüdü.
  • İlgili kişi haklarının kullandırılması.
  • Veri güvenliği önlemleri.
  • Özel nitelikli veriler için ek önlemler.
  • Sonraki aktarım kısıtlamaları.
  • İhlal durumunda hak arama yöntemleri.
  • Veri alıcısının Kurul kararlarına uyma taahhüdü.
  • Veri alıcısının yükümlülüklerini yerine getirememesi durumunda veri aktarımını askıya alma ve taahhütnameyi feshetme hakkı.
  • Anlaşma sona erdiğinde verilerin iadesi veya yok edilmesi.
  • Taahhütnamenin Türk hukukuna tabi olduğu ve Türk mahkemelerinin yetkili olduğu.

E. İstisnai Aktarımlar:

Yeterlilik kararının olmaması ve uygun güvencelerin sağlanamaması durumunda, arızi olmak kaydıyla aşağıdaki hallerde kişisel veriler yurt dışına aktarılabilir:

  • İlgili kişinin açık rızası: İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla açık rıza vermesi.
  • Bilgilendirme, veri aktaranın kimliği, aktarım amacı, aktarılan veriler, rızayı geri alma hakkı ve yeterlilik kararı olmaması gibi konuları içermelidir.
  • Açık rıza, özgür iradeyle verilmelidir.
  • Sözleşmenin İfası veya Sözleşme Öncesi Tedbirler: Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  • Aktarımın arızi olması şarttır.
  • Kamu kurum ve kuruluşlarının kamu hukuku faaliyetlerine uygulanmaz.
  • İlgili Kişi Yararına Sözleşmenin Kurulması veya İfası: Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın arızi olması şarttır.
  • Kamu kurum ve kuruluşlarının kamu hukuku faaliyetlerine uygulanmaz.
  • Üstün Kamu Yararı: Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Kamu yararının varlığına işaret eden bir uluslararası anlaşma veya sözleşme olması.
  • Bir Hakkın Tesisi, Kullanılması veya Korunması: Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Aktarılacak kişisel veri ile hakkın kullanılması arasında bağlantı olması gerekmektedir.
  • Hayat veya Beden Bütünlüğünün Korunması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Aktarımın zorunluluğu ve ilgili kişi ya da başka bir kişinin hayat veya beden bütünlüğünün korunması durumunda geçerli olacaktır.
  • Kamuya Açık Siciller: Kamuyu veya meşru menfaati olan kişilere açık olan sicillerde ilgili mevzuatın sağladığı koşullarla erişilmesi ve talep üzerine aktarım yapılması.

F. Genel Değerlendirme ve Önemli Hususlar:

  • Veri Aktarımının Üç Kriteri: Veri sorumlusu veya işleyenin Kanuna tabi olması.
  • Verilerin iletilmesi veya erişilebilir hale getirilmesi.
  • Verinin yurt dışına aktarılması.
  • Mülkilik İlkesi: Kanunun uygulama alanı, mülkilik ilkesi (Türkiye’de işlenen suçlar hakkında Türk kanunları uygulanır) üzerinden belirlenir.
  • Ancak, teknolojinin gelişimi ve sınır ötesi veri akışı nedeniyle, Kanunun amacı olan bireylerin haklarının korunması gözetilerek mülkilik ilkesi yorumlanmalıdır.
  • Arızi Aktarım: Arızi aktarımlar, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan halleri ifade eder.
  • Olağan faaliyet akışı içindeki aktarımlar, istisnai aktarıma konu edilemez.
  • Veri İşleyenlerin Yükümlülükleri: Veri işleyenler de yurt dışına veri aktarımı yapabilir.
  • Veri işleyenler, veri sorumlusunun talimatlarına uymalı ve veri güvenliğini sağlamalıdır.
  • Standart sözleşmelerde bildirim yükümlülüğü vardır.
  • Sonraki aktarımlarda da Kanun’daki güvencelerin sağlanması gerekir.

Sonuç:

Bu bilgilendirme dokümanı, kişisel verilerin yurt dışına aktarılması sürecindeki temel düzenlemeleri ve koşulları özetlemektedir. Kişisel veri sorumluları ve işleyenleri, yukarıda belirtilen hususlara dikkat ederek, yasal düzenlemelere uygun bir şekilde veri aktarım faaliyetlerini yürütmelidirler. Sürekli olarak değişen mevzuat ve teknolojik gelişmeler takip edilmeli ve kişisel veri aktarım süreçleri bu doğrultuda güncellenmelidir.

Scroll to Top