Daha önce 21.05.2024 tarihli bültenimiz ile 12.03.2024 tarihli Resmi Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 34. maddesiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında yapılan değişiklik uyarınca oluşturulan yönetmelik taslağına ilişkin bilgi verilmiş olmakla, 10.07.2024 tarihli 32598 sayılı Resmi Gazete’de “Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) yayınlanmış olup işbu yönetmelik ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin yurt dışına aktarılmasını düzenleyen 9. maddesinin uygulanmasına ilişkin usul ve esaslar belirlenmiştir. Bu kapsamda Yönetmelik’e ilişkin detaylı açıklamalar aşağıda bilgilerinize sunulmuştur.
I- Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik
Yönetmelik’in 6. maddesinde kişisel verilerin, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve işbu Yönetmelik’in 6. maddesinde belirtilen aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, yeterlilik kararının bulunmaması durumunda ise aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde, yeterlilik kararının bulunmaması ve 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda ise 16. maddede belirtilen istisnai hâllerden birinin varlığı hallerinde de veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği, ayrıca kişisel verilerin uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşünün alınması şartıyla ve Kurulun izniyle yurt dışına aktarılabileceği düzenlenmiştir.
Yönetmelik’in 7. maddesi ile kişisel verilerin veri işleyen tarafından yurtdışına aktarımının gerçekleştirildiği durumlarda, aktarımın veri işleyen tarafından gerçekleştirilmiş olmasının veri sorumlusunun buna ilişkin sorumluluğunu ortadan kaldırmadığı belirtilmiştir. Veri sorumlusu ilgili teknik ve idari tedbirleri yerine getirmekle yükümlü olmakla birlikte, veri işleyenin veri aktarması halinde standart sözleşmelerin kuruma bildirilmesine ilişkin 14. madde kapsamındaki yükümlülüklerin veri sorumlusunun talimatına gerek olmaksızın veri işleyen tarafından yerine getirilmesi gerektiği belirtilmiştir.
Yönetmelik’in 8. maddesinde yeterlilik kararının verilmesinde öncelikle dikkate alınacak hususlar sıralanmıştır. Buna göre öncelikle dikkate alınacak hususlar şunlardır:
Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
Veri aktarılacak ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar.
Veri aktarılacak ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
Veri aktarılacak ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
Veri aktarılacak ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Yönetmelik’in 10. maddesi kapsamında; yeterlilik kararının bulunmaması durumunda kişisel verilerin, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabileceği düzenlenmiştir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Yönetmelik’in 11. maddesi kapsamında; yurt dışına kişisel veri aktarım mekanizmalarından olan uluslararası sözleşme niteliğinde olmayan bir anlaşmayla uygun güvencenin sağlanmasına ilişkin detaylar açıklanmıştır. Buna göre söz konusu anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilecektir. Anlaşma yoluyla uygun güvence sağlanması için Kişisel Verileri Koruma Kurulu’na izin başvurusunda bulunulacağı ve aktarıma Kurul’un izni ile başlanacağı düzenlenmiştir. Madde 12 ve 13 kapsamında; bağlayıcı şirket kuralları için “ortak ekonomik faaliyette bulunan teşebbüs grubu” ifadesi tercih edilmiştir. Ayrıca, bağlayıcı şirket kuralları içerisinde sunulacak yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesi talep edilmiştir. Hem yabancı dilde hem de Türkçe olarak hazırlanacak bağlayıcı şirket kurallarında ise Türkçe dilinin esas alınacağı belirtilmiştir. Madde 14 kapsamında, standart sözleşmenin fiziki, KEP adresi veya Kurul tarafından belirlenecek yöntemlerle Kurum’a gönderilmesi öngörülmüştür. Ayrıca, standart sözleşmeyi Kurum’a bildirecek tarafın sözleşme serbestisi çerçevesinde belirlenebileceği ancak herhangi bir belirlenme hali yoksa veri aktaran tarafından bu yükümlülüğünün yerine getirilmesi gerektiği belirtilmiştir. Son olarak 14. madde kapsamında yurt dışına veri aktarımı yapılırken kullanılması öngörülen standart sözleşmelerle ilgili Kurum’a bildirim yükümlülüğü genişletilerek; standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde beşinci fıkrada belirtilen usule uygun olarak Kuruma bildirim yapılmasının gerekli olduğu belirtilmiştir. Uygun güvencelere ilişkin son olarak, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumaya dair yazılı taahhüdünün varlığı hususu da 15. maddede yer almaktadır. Yönetmelik Taslağı kapsamında düzenlenen hükümlerde yer almayan ve ya tereddüt oluşturacak hususlarda Kurul’un karar merci olduğu belirtilmiş olup, anılan hükümlerin yönetmeliğin yayım tarihinde yürürlüğe gireceği düzenlenmiştir.
Yönetmelik yayım tarihinde, yani 10.07.2024 tarihi itibari ile yürürlüğe girmiştir.
II- Standart Sözleşme, Bağlayıcı Şirket Kuralları
Yönetmelik haricinde, daha önce taslağı oluşturulan ve Yönetmelik kapsamında kullanılması öngörülen standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar da yapılan geri dönüşler neticesinde nihai haline getirilmiş ve Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde 10.07.2024 tarihinde kamuoyu duyurusu ile paylaşılmıştır.
Bu kapsamda; Kurum tarafından kişisel verilerin veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri sorumlusuna ve veri işleyenden veri işleyene yapılacak aktarımlarda kullanılmak üzere tüm maddeleriyle matbu halde toplam dört adet standart sözleşme taslağı yayınlanmıştır. Standart sözleşmelere ilişkin dokümanlarda özellikle tarafların hak ve yükümlülüklerinin düzenlenmiş olduğu maddede kişisel verilerin korunmasına yönelik güvencelerin, bilgilerin doğruluğunun ve sınırlı süre ile saklanacağının, tarafların bilgilendirme yükümlülüklerinin, veri güvenliği ilkelerinin, özel nitelikli kişisel verilere ilişkin yükümlülüklerin, başkaca üçüncü kişilere gerçekleştirilecek sonraki aktarımların düzenlendiği görülmektedir.
Ayrıca Standart Sözleşmede ilgili kişinin haklarına da yer verilmiş, hak arama yöntemlerine ilişkin ayrı bir madde düzenlenmiş, tarafların sözleşmeden doğan sorumlulukları düzenlenmiştir. Sözleşmenin imzalandıktan sonra 5 iş günü içerisinde Kurum’a bildirilmesi gerektiğine ilişkin madde de ayrıca sözleşmede yer almıştır. Yönetmelik’in 14. maddesi uyarınca Kurum tarafından yayımlanmış olan bu standart sözleşmelerin kullanılması zorunlu olup standart sözleşmede değişiklik yapılamayacağı da düzenlenmiştir.
Kurum’un yayımlamış olduğu 4 adet standart sözleşmenin genel itibari ile birbirleri ile aynı minvalde düzenlenmiş olduğu görülmektedir. Bağlayıcı Şirket Kurallarında bulunması gereken hususlar ise Yönetmelik’in 13. maddesinde yer almakta olup Kurum tarafından 13. madde ile zorunlu tutulan bilgileri de içeren bir Bağlayıcı Şirket Kuralları oluşturulmuştur. 13. maddede ve dolayısıyla Kurumca yayınlanan metinde yer alan bilgi ve hususlar asgari nitelikte olup bu hususlar haricinde de bu kurallar ile çelişmemek üzere sözleşme taraflarınca ek kurallar belirlenebilmesi mümkündür. Kurum ayrıca bu Bağlayıcı Şirket Kurallarının nasıl oluşturulabileceğine ilişkin bir kılavuz da hazırlamıştır.
Comments