Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ile kişisel verilerin yurt dışında aktarılmasında izlenmesi gereken esaslara ve bu esaslar kapsamında aktarımın yapılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının bulunmasına ilişkin önemli kurallar getirilmiştir.
10 Temmuz 2024 tarihli ve 32598 sayılı Resmi Gazete’de yayımlanan ve yayımlandığı tarihte yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. Maddesi uyarınca kişisel verilerin veri sorumlusu ve veri işleyen tarafından yurt dışına aktarılmasına ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) uygulama izinlerine yönelik yeni düzenleme getirilmiştir.
Yönetmelik hükümleri, Kişisel Verileri Koruma Kurumu Başkanı tarafından yürütülecektir.
Yönetmelik’te bulunan önemli satır başlıkları aşağıdaki gibidir:
- Yönetmeliğin amacı, kişisel verilerin yurt dışına aktarılmasına ilişkin kuralları belirlemektir.
- Kurul, verilerin yurt dışına aktarımı ile ilgili olarak, belirli ülkeler, sektörler veya uluslararası kuruluşlar hakkında yeterli düzeyde koruma sağladığına dair yeterlilik kararı verebilir. Bu kararlar, en geç dört yılda bir yeniden değerlendirilir ve Resmî Gazete’de yayımlanır.
- Yeterlilik kararı verilirken, şu hususlar dikkate alınmaktadır: kişisel verilerin aktarılacak olduğu ülke ile Türkiye arasındaki karşılıklılık durumu, aktarılacak ülkenin mevzuatı ve uygulaması ile uluslararası kuruluşun kuralları, aktarılacak ülke veya uluslararası kuruluşta bağımsız ve etkin bir veri koruma kurumunun varlığı ve idari ve adli başvuru yollarının bulunması, aktarılacak ülkenin veya uluslararası kuruluşun uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olup olmaması, aktarılacak ülkenin veya uluslararası kuruluşun Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olup olmaması, ve Türkiye’nin taraf olduğu uluslararası sözleşmeler.
- Kişisel veriler, yeterlilik kararı bulunmaması durumunda, Kanun’un 5. ve 6. maddelerinde belirtilen şartların sağlanması ve ilgili kişinin haklarını kullanabilme imkânının bulunması koşuluyla yurt dışına aktarılabilir. Bu aktarım, belirli uygun güvencelerin sağlanması durumunda mümkündür.
- Bu güvenceler şunlardır: Türkiye’deki ve yurt dışındaki kamu kurumları veya uluslararası kuruluşlar arasında yapılan ve Kurul’un izin verdiği anlaşmalar; ortak ekonomik faaliyette bulunan teşebbüs grubu şirketlerinin uyması gereken, Kurul tarafından onaylanmış bağlayıcı şirket kuralları; Kurul tarafından ilan edilen standart sözleşmeler, Kurul tarafından yeterli koruma sağlayan yazılı bir taahhütname.
- Uluslararası sözleşme niteliğinde olmayan anlaşmalarda yer alacak kişisel verilerin korunmasına ilişkin hükümler aracılığıyla, Türkiye’deki kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurumları veya uluslararası kuruluşlar arasında gerçekleştirilecek kişisel veri aktarımları için uygun güvenceler sağlanabilir. Bu anlaşmalar, kişisel veri aktarımının tarafları arasında imzalanır. Anlaşmanın müzakere sürecinde, Kurul’un görüşüne başvurulur ve izin verildikten sonra aktarım gerçekleştirilir.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik, bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilecektir.
- Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’un onay başvurusunda bulunulacaktır.
- Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi konuları içeren standart sözleşme ile uygun güvence sağlanabilir. Standart sözleşme, Kurul tarafından belirlenerek ilan edilir ve değişiklik yapılmaksızın kullanılmalıdır.
- Aktarım tarafları arasında yazılı bir taahhütnamede yer alacak kişisel verilerin korunmasına yönelik hükümlerle uygun güvence sağlanabilir. Taahhütnameye dayanarak veri aktarımı için Kurul’un izni alındıktan sonra aktarım yapılır.
- Yeterlilik kararının bulunmaması ve Yönetmelik’te öngörülen uygun güvencelerin sağlanamaması durumunda, kişisel veriler belirli istisnai hallerde yurt dışına aktarılabilir. Bu istisnai haller arasında, ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi, aktarımın üstün bir kamu yararı için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının gerekli olması, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan ya da rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için verilerin aktarılmasının zorunlu olması durumları yer almaktadır.
- Veri işleyenler, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Ayrıca, veri işleyenlerin yurt dışına veri aktarması, veri sorumlusunun sorumluluğunu ortadan kaldırmamaktadır.
Yönetmelik’in tam metnine bu bağlantıdan erişebilirsiniz.