Insights

KVKK – Yeni Degisiklikler

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK RESMİ GAZETE’DE YAYIMLANDI

12 Mart 2024 tarihli ve 32487 sayılı Resmi Gazete’de, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Değişiklik Kanunu”) yayımlanmış ve bu kanunla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) birtakım değişiklikler yapılmıştı. Kanun’da yapılan değişikliklerle, Avrupa Birliği mevzuatına, uluslararası yeni yaklaşımlara ve gelişen teknolojinin getirdiği yeniliklere uyum sağlanması ve uygulamada ortaya çıkan gereksinimlerin karşılanması amaçlanmıştı.

Değişiklik Kanunu ile yapılan değişikler arasında, Kanun’un, kişisel verilerin yurtdışına aktarılmasını düzenleyen 9. maddesi de yer almaktaydı. Kanun’un 9. maddesinde yapılan değişiklikle, kişisel verilerin yurtdışına aktarılmasındaki şartlar değiştirilmiş ve söz konusu maddenin uygulanmasına ilişkin usul ve esasların düzenlendiği bir yönetmelik yayımlanacağı öngörülmüştü. İşte bu yönetmelik, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) adı ile, 10 Temmuz 2024 tarihli ve 32598 sayılı Resmi Gazete’de yayımlandı.

Değişiklik Kanunu’ndan Önce Kişisel Verilerin Yurtdışına Aktarım Şartları Nelerdi?

Değişiklik Kanunu’ndan önce, kişisel verilerin yurtdışına aktarılabilmesi için aşağıdaki hallerden birisinin varlığı gerekmekteydi:

  1. İlgili kişinin[1] açık rızasının bulunması

İlgili kişinin açık rızasının bulunması halinde, kişisel verilerin yurtdışına aktarılması mümkündü.

  1. Kanun’da öngörülen açık rıza dışındaki kişisel veri işleme şartlarından birisinin [2] mevcudiyeti ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması

Kanun’da, kişisel verilerin, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenen ve ilan edilen yeterli korumaya sahip ülkelerden birisine aktarıldığı ve somut olayda, açık rıza dışındaki kişisel veri işleme şartlarından birisinin mevcut olması halinde, ilgili kişinin açık rızası alınmaksızın, yurtdışına aktarılabileceği öngörülmekteydi. Bununla birlikte, Kurul tarafından yeterli korumaya sahip ülkelere ilişkin herhangi bir belirleme yapılmamıştı. Dolayısıyla, bu kritere dayalı olarak kişisel verilerin yurtdışına aktarılması mümkün değildi.

  1. Kanun’da öngörülen açık rıza dışındaki kişisel veri işleme şartlarından birisinin mevcudiyeti, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının[3] yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması

Kanun’da, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda, (i) Kanun’da düzenlenen açık rıza dışındaki kişisel veri işleme şartlarından birisinin mevcut olması, (ii) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve (iii) Kurul’un izninin bulunması halinde, kişisel verilerin, yeterli korumaya sahip olmayan ülkelerden birine, ilgili kişinin açık rızası alınmaksızın aktarılabileceği öngörülmekteydi. Bununla birlikte, bu yol, detaylı bir çalışma gerektirdiğinden, uygulamada fazla tercih edilmemekte ve kişisel veriler yurtdışına, ilgili kişinin açık rızası alınarak aktarılmaktaydı.

  1. Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda Kurul’un izninin alınması

Kanun’da, kişisel verilerin, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurtdışına aktarılabileceği öngörülmekteydi.

Değişiklik Kanunu Uyarınca Kişisel Veriler Hangi Hallerde, Nasıl Yurtdışına Aktarılabilir? Yönetmelik’te Kişisel Verilerin Yurtdışına Aktarımı Hususunda Neler Öngörüldü?

Değişiklik Kanunu ile kişisel verilerin yurtdışına aktarımında yeni bir yapı öngörüldü. Kişisel verilerin yurtdışına aktarımındaki yeni yapı ve Yönetmelik’te düzenlenen hususlar   temel olarak aşağıdaki şekildedir:

  1. Kanun’da öngörülen veri işleme şartlarından birisinin mevcudiyeti ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul’un yeterlilik kararının bulunması

Kişisel verilerin yurtdışına aktarılmak istenmesi halinde artık, ilk olarak, Kanun’da öngörülen veri işleme şartlarından birisinin (örneğin, ilgili kişinin kişisel veri aktarımına açık rızasını vermesi) mevcudiyet olup olmadığına ve Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı alınıp alınmadığına bakılması gerekmektedir. Değişiklik Kanunu ve Yönetmelik uyarınca, Kurul tarafından verilen yeterlilik kararları, Resmi Gazete’de ve Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanacaktır.

Değişiklik Kanunu ve Yönetmelik’te, Kurul’un, bir ülkenin, ülke içerisindeki bir veya birden fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağlayıp sağlamadığına karar verirken hangi hususları öncelikle değerlendireceği düzenlenmiştir. Bu hususlar arasında, (i) kişisel verilerin aktarılacağı ülkenin mevzuatı ve uygulaması ve kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar ile (ii) Türkiye’nin taraf olduğu uluslararası sözleşmeler yer almaktadır.

Değişiklik Kanunu’nda, yeterlilik kararının, en geç dört yılda bir değerlendirileceği ve Kurul’un, değerlendirme sonucunda ve gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olarak değiştirebileceği, askıya alabileceği veya kaldırabileceği öngörülmüştür. Yönetmelik’te, yeterlilik kararının, Kurul tarafından gözden geçirilmesi hususu daha detaylı olarak düzenlenmiş ve Kurul’un, yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin olarak verdiği kararların, Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacağı öngörülmüştür. Dolayısıyla, kişisel verilerin, Kurul’un yeterlilik kararına dayalı olarak yurtdışına aktarıldığı durumlarda, bu iki kaynağın yakından takip edilmesi özellikle önem arz etmektedir.

  1. Kanun’da öngörülen veri işleme şartlarından birisinin mevcudiyeti, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması ve Kanun’da öngörülen uygun güvencelerden birisinin sağlanması

Kurul’un yeterlilik kararının bulunmadığının tespit edilmesi halinde incelenmesi gereken ikinci husus, (i) Kanun’da öngörülen veri işleme şartlarından birisinin mevcut olup olmadığı, (ii) ilgili kişinin, aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunup bulunmadığı ve Değişiklik Kanunu’nda ve Yönetmelik’te öngörülen uygun güvencelerden birisinin taraflarca sağlanıp sağlanmadığıdır. Peki bu uygun güvenceler nelerdir?

Yurtdışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı  ve Kurul tarafından aktarıma izin verilmesi

Değişiklik Kanunu ve Yönetmelik’te, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılan ve uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabileceği öngörülmüştür. Bu yol, yalnızca, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasındaki veri aktarımları açısından uygulanabilecektir.

Yönetmelik’te, (i) söz konusu anlaşmanın özellikle hangi hususları içermesi gerektiği, (ii) söz konusu anlaşmaya dayalı olarak kişisel veri aktarımı için veri aktaranın Kurul’un iznine nasıl başvuracağı ve (iii) kişisel veri aktarımına ancak Kurul tarafından verilen izin sonrasında başlanabileceği gibi hususlar düzenlenmiştir.

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler barındıran ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı

Değişiklik Kanunu ve Yönetmelik’te, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabileceği öngörülmüştür.

Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurtdışına aktarılabilmesi için, Kurul’a onay başvurusunda bulunulması gerekmektedir. Yönetmelik’te, (i) söz konusu başvurunun nasıl yapılacağı, (ii) Kurul’un bağlayıcı şirket kurallarını onaylarken özellikle hangi hususları dikkate alacağı, (iii) bağlayıcı şirket kurallarının asgari olarak hangi hususları içermesi gerektiği ve (iv) kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanabileceği düzenlenmiştir[4].

Standart sözleşmenin varlığı

Değişiklik Kanunu ve Yönetmelik’te, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları barından standart sözleşme vasıtasıyla uygun güvencenin sağlanabileceği öngörülmüştür. Kanun’da ve Yönetmelik’te ek olarak, standart sözleşmenin, imzalanmasından itibaren 5 (beş) iş günü içerisinde, Kurum’a bildirilmesi gerektiği düzenlenmiştir.

İlaveten, Değişiklik Kanunu ve Yönetmelik’te, standart sözleşmenin Kurul tarafından ilan edileceği öngörülmüştür. 10 Temmuz 2024 tarihinde standart sözleşme, Kurum’un internet sitesinde yayımlanmıştır

(Link: https://www.kvkk.gov.tr/Icerik/7938/Standart- Sozlesmeler-ve-Baglayici-Sirket-Kurallarina- Iliskin-Dokumanlar-Hakkinda-Kamuoyu- Duyurusu)

Yukarıdaki hususlara ek olarak Yönetmelik’te, (i) standart sözleşmenin kişisel veri aktarımının taraflarınca imzalanacağı, (ii) standart sözleşme metninin, herhangi bir değişiklik yapılmaksızın imzalanmasının zorunlu olduğu, (iii) standart sözleşmenin Kurum’a nasıl bildirileceği, (iv) standart sözleşmenin taraflarında veya sözleşme içeriğinde verilen bilgi ve açıklamalarda değişiklik olması ya da standart sözleşmenin sona ermesi halinde yeniden Kurum’a bildirim yapılması gerektiği gibi ilave hususlar düzenlenmiştir.

Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi

Değişiklik Kanunu ve Yönetmelik’te, aktarımın tarafları arasında akdedilecek yazılı taahhütnamede yer alacak kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabileceği öngörülmüştür. Taahhütnameye dayalı olarak kişisel verilerin yurtdışına aktarılabilmesi için, veri aktaran tarafından Kurul’a başvuruda bulunulması ve izin alınması gerekmektedir.

Yönetmelik’te, (i) taahhütnamede yer alacak kişisel verilerin korunmasına yönelik hükümlerin özellikle hangi hususları içermesi gerektiği, (ii) Kurul’a yapılacak başvurunun detayları ve (iii) kişisel veri aktarımına, Kurul’un izninin alınmasından sonra başlanabileceği gibi ilave hususlar düzenlenmiştir.

  1. İstisnai aktarım hallerinden birisinin varlığı

Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, kişisel verilerin yurtdışına aktarılabilmesi için, Kanun’da ve Yönetmelik’te öngörülen istisnai aktarım hallerinden birisinin var olup olmadığının belirlenmesi gerekmektedir. İstisnai aktarım halleri aşağıdaki gibidir:

İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

Aktarımın üstün bir kamu yararı için zorunlu olması.

Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

İstisnai aktarım hallerinden birisinin bulunduğunun tespit edilmesi halinde, arızi olmak kaydıyla kişisel verilerin yurtdışına aktarılması mümkündür. Yönetmelik’te, arızi aktarımlar, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak belirtilmiştir. Yurtdışına kişisel veri aktarımının, anılan nitelikleri taşımaması durumunda, istisnai hallere dayalı olarak aktarım yapılmaması gerekmektedir.

  1. Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda Kurul’un izninin alınması

Kanun’un, kişisel verilerin, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, Kurul’un izniyle yurt dışına aktarılabileceğine ilişkin düzenlemesi, Değişiklik Kanunu ve Yönetmelik’te korunmuştur. Bu gibi bir durumda Kurul’un izni alınarak kişisel verilerin yurtdışına aktarılması hala mümkündür.

Değişiklik Kanunu’nda Öngörülen Yeni Yapıya Uyum

Kanun’un 9. maddesinin yeni hali, 1 Haziran 2024 tarihi itibarıyla yürürlüğe girdi. Bununla birlikte, 9. maddenin önceki halinde yer alan, ilgili kişinin açık rızası alınarak kişisel verilerin yurtdışına aktarılabileceğini belirten hükmün, maddenin yeni haliyle birlikte, 1 Eylül 2024 tarihine kadar uygulanmaya devam edeceği öngörüldü. Bu çerçevede, 1 Eylül 2024 tarihine kadar kişisel veriler, ilgili kişinin açık rızası alınarak yurtdışına aktarılmaya devam edebilecek; ancak bu tarih itibarıyla yurtdışına yapılacak kişisel veri aktarımlarında, tamamıyla yeni yapıya uygun hareket edilmesi gerekecektir. Aksi takdirde, hukuki yaptırımlar ile karşılaşılması riski doğacaktır.

Yeni yapıya uyum sağlanabilmesi adına, özellikle, kişisel veri envanterlerinin gözden geçirilmesi ve yurtdışına aktarılan kişisel veriler, aktarım yapılan ülkeler ile alıcı gruplarının tespit edilmesi ve yeni yapı hakkında, veri işleme faaliyetinde rol alan çalışanlara eğitimler verilmesi önem arz etmektedir.

Konuya ilişkin daha detaylı bilgi almak istemeniz halinde bizimle her zaman iletişime geçebilirsiniz.

[1]Kanun uyarınca ilgili kişi, kişisel verisi işlenen gerçek kişiyi ifade eder.

[2]Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, kişisel verilerin, açık rıza alınmaksızın işlenebileceği hallerden birisidir.

[3] Kanun uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

[4]10 Temmuz 2024 tarihinde, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar, Kurum’un internet sitesinde yayımlanmıştır (Link: https://www.kvkk.gov.tr/Icerik/7938/Standart- Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin- Dokumanlar-Hakkinda-Kamuoyu-Duyurusu).