Bildiğiniz üzere, 7499 sayılı kanun ile Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) önemli değişiklikler yapılmıştır. Bu önemli değişikliklerden biri de kişisel verilerin yurt dışına aktarılması noktasında gerçekleşmiş olup konu değişikliklere ilişkin daha önce 13.03.2024 tarihli bültenimiz ile ve akabinde çıkartılan ikincil mevzuata ilişkin ise 11.07.2024 tarihli bültenimiz ile sizlere bilgi verilmiştir. Şimdi de Kişisel Verileri Koruma Kurumu tarafından 02.01.2025 tarihinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) yayımlanmış olup Rehber ile değinilen hususlara ilişkin bilgilendirmeye aşağıda yer verilmiştir.
Kanun değişikliği ile önceki bültenlerimiz ile de belirtilmiş olduğumuz üzere, yurt dışına kişisel verinin aktarılması için imkanlardan biri olan veri sahibinin açık rıza vermesi bu imkanlar arasından çıkartılmış ve Kanun’un 5. ve 6. maddelerinde sıralanan işleme şartlarından birinin varlığı halinde, işlenen kişisel verilerin aynı zamanda yurt dışına aktarılabileceği de düzenlenmiştir. Kanun değişikliği öncesindeki taahhütnameler ise değişiklik akabinde yerini Standart Sözleşmelere bırakmıştır. Rehber ile Kanun’da değişikliğe gidilmesindeki ana amacın Avrupa Birliği Genel Veri Koruma Tüzüğü ile (GDPR) uyum sağlamak olduğu belirtilmiştir.
Rehber ile alt veri işleyen, bağlayıcı şirket kuralları, arızi aktarım gibi kavramların tanımlarına yer verilmiş olup bu tanımlar şu şekildedir.
Arızi Aktarım: Yurtdışına kişisel veri aktarımlarında düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan haller.
Alt Veri İşleyen: Veri işleyenin talimatları doğrultusunda hareket eden, veri işleyen adına kişisel verileri işleyen bir gerçek veya tüzel kişi.
Bağlayıcı Şirket Kuralları: Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde yer alan Türkiye’de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı Grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından Grup Üyeleri tarafından uyulması gereken kişisel veri koruma kuralları.
I- KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI KRİTERLERİ
Rehberde kişisel verilerin aktarılması üç kriterde değerlendirilmiştir. Buna göre, (i) kişisel verilerin yurt dışına aktarımından bahsedebilmek için öncelikle veri sorumlusu ya da veri işleyenin yani veri aktaran tarafın söz konusu kişisel veri işleme faaliyeti için Kanuna tabi olması gerekmekte, (ii) veri aktaran tarafın işlenen kişisel verileri üçüncü kişilere iletmesi veya başka bir suretle erişilebilir hale getirmesi gerekmekte ve (iii) veri aktarılan taraf olan üçüncü kişinin (veri sorumlusu yahut veri işleyen olabilir) Kanun’a tabi olup olmadığı ayrımı gözetilmeksizin coğrafi olarak yabancı bir ülkede olması gerekmektedir.
II- KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI YÖNTEMLERİ
Rehber ile Kanun’a uyumlu şekilde kişisel verilerin yurt dışına aktarılması üç kademeye ayrılmış olup bu üç kademe aşağıdaki şekilde sıralanmıştır.
- Yeterlilik Kararının Bulunması
- Uygun Güvencelerden Birinin Bulunması
- İstisnai Aktarım Hallerinden Birinin Bulunması
A) Yeterlilik Kararının Bulunması
Yeterlilik kararı Kurul tarafından üçüncü ülkeler hakkında verilen ve veri aktarımının gerçekleştirileceği ülke, sektör veya uluslararası kuruluşun veri koruma seviyesinin en azından Türkiye’deki veri koruma seviyesine eş değer olduğunu göstermek için verilen karardır. Kurul tarafından bu karar verilirken, uygulanabilir kurallar bulunup bulunmadığı, kuralların uygulanabilmesi için uygun araçlar bulunup bulunmadığı değerlendirmeye alınmaktadır. Kurul tarafından yeterlilik kararı verilirken karşılıklılık durumu, tabi olunan kurallar, adli ve idari yollar gibi hususlar göz önüne alınmaktadır. Kurul tarafından verilen yeterlilik kararları da en geç 4 yılda bir değerlendirilecek olup yeterlilik kararı verilmesi halinde dahi, bu kararın sonrasında kaldırılması mümkündür.
Bu anlamda kişisel verilerin aktarılmak istendiği ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında Kurul tarafından verilmiş bir yeterlilik kararının mevcut olması ve Kanunun 5. ve 6. maddelerinde düzenlenen kişisel veri işleme şartlarından birinin bulunması koşuluyla, hakkında yeterlilik kararı verilen ülke, sektör veya uluslararası kuruluşa kişisel veri aktarımı yapılabilmesi mümkün olacaktır. Böyle bir kararın bulunmaması halinde ise, diğer kademe değerlendirmeye alınacaktır.
B) Uygun Güvencelerden Birinin Bulunması
Kanun değişikliği öncesindeki uygulamada da Kanun ile Kurul’un yeterlilik kararı vermesi öngörülmüş olmasına rağmen Kurul’un oluşturulmuş olduğu tarihten bu yana henüz bir yeterlilik kararı mevcut olmadığı için eskiden de açık rıza dahilinde ve taahhütnameler kapsamında verilerin yurt dışına aktarılması mümkün kılınmıştı. Ancak gerek bu durumun uygulamada zorluklara sebep olması gerekse de efektif olarak kullanılamaması nedeniyle Kanun ile değişikliğe gidilmiştir. Bu anlamda uygun güvence sağlanabiliyorsa, kişisel verilerin yurt dışına aktarılabilmesinin önü açılmıştır. Uygun güvencenin sağlanması için ise Kanun ile dört farklı yol öngörülmüştür. Bunlardan ilki uluslararası anlaşma niteliğini taşımayan sözleşmeler ile uygun güvencenin sağlanması, ikincisi bağlayıcı şirket kuralları ile güvencenin sağlanması, üçüncüsü ise standart sözleşmeler aracılığıyla uygun güvencenin sağlanması ve taahhütname aracılığıyla güvence sağlanmasıdır.
Uluslararası Sözleşme Niteliğinde Olmayan Sözleşmeler ile Güvencenin Sağlanması: Kanunun 9. maddesi ile yeterlilik kararındakine benzer bir şekilde, Kanun ile öngörülen işleme şartlarının varlığı halinde ve ilgili kişinin veri aktarımının gerçekleştirildiği ülkede adli ve idari başvuru yollarının açık olması koşulu ile veri aktarımı gerçekleştirilebilir olacaktır. Bu ihtimal dahilinde sözleşmede yer alması gereken bilgiler ayrıca rehberde sıralanmış olup tarafların verinin güvenliğinin sağlanacağına ilişkin taahhütte bulunması gerekmektedir. Kurul bu sözleşmeye dayanarak veri aktarımına izin vermelidir.
Bağlayıcı Şirket Kuralları ile Güvencenin Sağlanması: Bağlayıcı şirket kuralları, GDPR ile “bir üye devletin topraklarında yerleşik bir veri sorumlusu veya veri işleyen tarafından bir teşebbüs grubu veya ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu içerisinde bir veya daha fazla üçüncü ülkedeki bir veri sorumlusu veya veri işleyene yapılan aktarımlar veya bir dizi kişisel veri aktarımı için uyulması gerekli kişisel veri koruma politikaları” olarak tanımlanmıştır. Kanun değişikliği akabinde benzer bir tanım Türk hukuku içerisinde Kişisel Verilerin Korunması mevzuatında da yer edinmiştir. Rehber ile Bağlayıcı Şirket Kurallarında yer alması gereken asgari unsurlar detaylandırılmış olup bağlayıcı şirket kuralları ile genel olarak en azından Kanun’un sağlamakta olduğu korumanın sağlanması gerektiği ve bu bağlayıcı şirket kurallarının da ayrıca Kurul’un onayına sunulması gerektiği belirtilmiştir. Bu anlamda yurt dışında faaliyet gösteren ve teşebbüsü bulunan şirket toplulukları bakımından bağlayıcı şirket kuralları oluşturulması ve Kurul’un onayına sunulması ile Kurul’un onayı akabinde mevzuata uygun bir şekilde kişisel verilerin yurt dışına aktarımının gerçekleştirilebileceğini söylemek mümkündür. Önceki bültenlerimiz ile de bağlayıcı şirket kuralları örneklerine ve Kurul tarafından yayımlanan kılavuzlara ilişkin bilgi paylaşılmıştır.
Standart Sözleşmeler ile Güvencenin Sağlanması: Son olarak üçüncü bir yöntem olarak standart sözleşme imzalanması halinde de güvencenin sağlandığı kabul edilecek ve yurt dışına mevzuata uygun veri aktarımı gerçekleştirilebilecektir. Kurul 4/6/2024 tarihli ve 2024/959 sayılı kararı ile farklı aktarım senaryolarını içeren 4 tip standart sözleşme metni hazırlamış ve yayımlamıştır. Bu standart sözleşme metinlerinde izin verilen alanlar haricinde değişiklik yapılması mümkün olmayıp metinlerin imzalanması akabinde Kurul’a bildirimde bulunulmalıdır. Yine standart sözleşmelerin bildirilebilmesi için Kurul tarafından sistem oluşturulmuş olup sözleşmelerin imzalaması akabinde 5 iş günü içerisinde Kurul’a bildirim belirlenen usul ile gerçekleştirilecektir.
Taahhütname ile Güvencenin Sağlanması: Taahhütname ile de standart sözleşmelere benzer şekilde güvence sağlanacağına ilişkin taahhüt verilmekle birlikte standart sözleşmelerden farklı olarak bu taahhütlerin yabancı dilde de yapılması mümkün olup bunların Kurulun onayına sunulması gerekmektedir. Taahhütnameler için bildirim yeterli görülmemiş ayrıca Kurul’un onayı aranmıştır.
C) İstisnai Aktarım Hallerinden Birinin Bulunması
Ne yeterlilik kararı ne de uygun güvencenin sağlanabilmesi durumlarında Kanun, istisnai olarak da kişisel verilerin yurt dışına aktarımının yapabileceğini öngörmüştür. Rehber ile bu istisnai durumlara ilişkin açıklamalar yapılmış ve bunun yanı sıra örnekler verilmiştir. Bu anlamda kişisel verilerin istisnai olarak aktarılabilmesi için belli durumlar öngörülmüştür. Temel olarak istisnai aktarımlarda arızilik esas alınmaktadır.
Açık Rıza Varlığı: Veri aktarımının belli bir duruma özgü olması, ilgili kişinin aktarıma ilişkin açık rızasının alınması, ilgili kişinin konuya ilişkin aydınlatılmış olması, muhtemel risklere ilişkin ilgili kişinin bilgilendirilmiş olması şartlarının varlığı halinde istisnai olarak aktarım mümkündür.
Sözleşmenin Kurulması/İfası İçin Gerekli Olması: Kanun’un 9. Maddesi ile sayılan istisnai hallere dayanılarak yurt dışına kişisel veri aktarımı yapılabilmesi için aktarımın arızi olması genel bir şart olarak düzenlenmiştir. Her ne kadar aktarımın, sözleşmenin ifasına ilişkin veya sözleşme öncesi tedbirlerin uygulanmasına ilişkin istisnai bir hale dayandırılması kapsam olarak geniş gibi gözükse de “arızi olma” ve “zorunlu” olma kriterleri ile sınırlandırılmaktadır.
İlgili Kişi Yararına Veri Sorumlusu ve Üçüncü Kişi Arasında Sözleşme Kurulması/İfası için Zorunlu Olması: Bu istisnai durumda da yukarıdakine benzer bir şekilde “arızi olma” ve “zorunlu” olma kriterleri aranmakta olup buna ek olarak ilgili kişi yararına bir sözleşme kurulmasının mevzu bahis olması gerekmektedir.
Yukarıdaki istisnai durumlar haricinde veri aktarımının kamu yararı için zorunlu olması ve bir hakkın tesisi, kullanılması veya korunması için de zorunlu olması durumlarında ve kanunen işlenmesi mümkün olan şartların varlığı halinde de zorunluluk ve arızilik unsurlarının sağlanması durumunda veri aktarımının arızi olarak gerçekleştirilmesi mümkündür.
İlgili rehbere buradan ulaşabilirsiniz.
Comentários