Duyurular

Kişisel Verilerin Yurt Dışına Aktarılması Rehber'i Üzerine Değerlendirme

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehber'i ("Rehber") 12.3.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 34. maddesi ile 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu maddesinde yapılan değişikliklerin uygulanmasında yol gösterici olması amacıyla hazırlanmıştır.

 

Rehber’de temel olarak aşağıdaki sorulara yanıt verilmiştir;

 

  • Kişisel verilerin yurt dışına aktarılması için mevzuatta öngörülen yöntemler nelerdir?
  1. Yeterlilik kararı nedir, nasıl alınabilir?
  2. Uygun güvencelere dayalı aktarım kapsamında;
  • Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması nedir?
  • Bağlayıcı şirket kuralları ile uygun güvencenin sağlanması nedir?
  • Standart sözleşmeyle uygun güvencenin sağlanması nedir?
  • Taahhütnameyle uygun güvencenin sağlanması nedir?
  1. İstisnai aktarım kapsamında kişisel verilerin yurt dışına aktarılması yöntemleri nelerdir?
  2. Yurt dışına veri aktarımında sorumluluk kime ait olacaktır?

 

Kanun’da Değişiklik Yapılmadan Önce Kişisel Verilerin Yurt Dışına Aktarılması Süreci Nasıl Yürütülmekteydi?

Kanun’da değişiklik yapılmadan önceki süreçte kişisel verilerin yurt dışına aktarılması için iki yöntem bulunmaktaydı. Bunlar;

  1. Açık rızaya dayalı veya
  2. Taahhütnameler yoluyla aktarımdır.

Kanun’un uygulanması incelendiğinde Türkiye’den yabancı ülkelere kişisel veri aktarılmasının ilgili kişilerin açık rızasının alınması dışında ülkemizdeki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun (“Kurul”) izin vermesiyle yapılabilmekte olduğu, 1.06.2024 tarihine kadar Kurul’a 86 adet taahhütname başvurusu yapılmış ve bunlardan sadece 10 tanesi Kurul tarafından kabul edilmiştir.

Görüldüğü üzere, bu yöntemler ticari hayatta kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini oldukça güçleştirmekteydi.

Açıklanan nedenlerle 28.05.2018 tarihlinde yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (“General Data Protection Regulation”) esas alınarak Kanun’da değişiklik yapılmıştır.

 

Hangi Durumlar Kişisel Verilerin Yurt Dışına Aktarımı Olarak Kabul Edilecektir?

 

Bir kişisel verinin ülkemizden yurt dışındaki bir tarafa gönderilmesi/aktarılması her durumda kişisel verilerin yurt dışına aktarılması niteliği taşımamaktadır. Aşağıda yer alan 3 şartın gerçekleşmesi halinde kişisel verilerin yurt dışına aktarımının gerçekleştiği kabul edilecektir:

 

  • Aktarım yapılan taraf yabancı ülkede bulunmalıdır.
  • İlgili kişi dışındaki taraflar arasında aktarım yapılmış olmalıdır.
  • Kişisel veriler yabancı ülkeye iletilmiş veya erişilebilir hale getirilmiş olmalıdır.

Açıklanan işbu kriterlerin hepsinin gerçekleşmesi halinde Kanun’un 9. maddesine uyum sağlanmalıdır. Rehber’de yurt dışına veri aktarımı teşkil eden ve etmeyen durumlar aşağıdaki örneklerle açıklığa kavuşturulmuştur.

Yurt Dışına Veri Aktarımı Teşkil Eden Hallere Örnekler

Yurt Dışına Veri Aktarımı Teşkil Etmeyen Hallere Örnekler

 

  • Türkiye’deki bir veri sorumlusunun verileri üçüncü ülkedeki veri işleyene iletmesi.

 

  • Türkiye’deki veri işleyenin verileri üçüncü ülkedeki veri sorumlusuna geri göndermesi.

 

  • Türkiye’deki veri işleyenin üçüncü ülkedeki alt veri işleyene veri iletmesi.

 

  • Türkiye’deki alt kuruluş olan veri sorumlusunun üçüncü ülkedeki ana şirketi ile kişisel veri paylaşması.

 

  • Üçüncü ülkedeki veri sorumlusunun Türkiye’deki ilgili kişiden doğrudan kişisel veri elde etmesi.

 

  • Üçüncü ülkedeki veri sorumlusunun doğrudan Türkiye’deki ilgili kişiden kişisel veri elde etmesi ve bazı işleme faaliyetlerinin Türkiye dışındaki bir veri işleyen tarafından gerçekleştirilmesi.

 

 

 


6689 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Kişisel Verilerin Yurt Dışına Aktarılması Şeması

 

Kişisel Verilerin Yurt Dışına Aktarımında İzlenecek Yol Haritası Nedir?

 

  1. Kişisel verilerin yurt dışına aktarılması için öncelikle Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından birinin gerçekleşip gerçekleşmediği incelenmelidir. Bu inceleme yurt dışına veri aktarımında bir “Ön Şart” olarak aranmaktadır.

 

  1. Kanun’da aranan kişisel verileri işleme şartlarından birisi gerçekleşmişse “Yeterlilik Kararı” nın var olup olmadığı incelenir. Yeterlilik Kararı varsa yurt dışına aktarım yapılabilir.

 

  1. Yeterlilik Kararı yoksa ve kişisel verileri işleme şartları da gerçekleşmişse “Uygun Güvenceler” in var olup olmadığı incelenir. Uygun güvenceler varsa yurt dışına aktarım yapılabilir.

 

  1. Yeterlilik Kararı ve uygun güvenceler bulunmuyorsa ön şart aranmaksızın istinai aktarım hallerinin varlığı söz konusu ise yurt dışına aktarım yapılabilir.

 

 

  1. Kademe: Yeterlilik kararı nedir, nasıl alınabilir?

 

Kişisel verilerin yurt dışına aktarılabilmesi için Kanun’da belirtilen kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarından birinin gerçekleşmesi ön şart olarak aranmaktadır.

 

Kişisel verilerin gönderileceği ülkenin, uluslararası bir kuruluşun veya bu ülke içindeki belirli bir sektörün yeterli korumayı sağladığına dair Kurum tarafından verilen Yeterlilik Kararı” aranmaktadır. İşbu yeterlilik kararı ile yalnızca bir ülkenin geneli için değil, o ülkenin belirli bir sektörü veya uluslararası kuruluşu için de verilecektir. Henüz Kurum tarafından verilmiş bir Yeterlilik Kararı bulunmamaktadır.

 

Rehber’de Sektörel Yeterlilik Kararı’na örnek olarak Türkiye’deki otomotiv sektörünün yoğun ticaret yaptığı bir yabancı ülkede sadece o ülkenin otomotiv sektörü açısından yeterlilik kararı verilmesi gösterilmiştir.

 

Kurul, gerektiğinde ilgili kurum ve kuruluşlardan görüş alarak yeterlilik kararlarını dört yıllık sürede gözden geçirecektir. Gerekli görülürse dört yıllık süre beklenmeden yeterlilik kararı yeniden değerlendirilebilir. 4 yıllık sürede herhangi bir değerlendirme yapılmazsa Yeterlilik Kararı geçerliliğini korumaya devam edecektir.

 

  1. Kademe: Uygun güvencelere dayalı aktarım nedir?

 

Ön koşul gerçekleşmiş ancak yurt dışında bulunan bir ülke, uluslararası için kuruluş veya bir sektör için yeterlilik kararı bulunmuyorsa ve aktarım yapılacak ülkede ilgili kişilerin haklarını kullanabilme ve etkili yasal çözümlere başvurabilme imkânı da varsa Kanun’da yer alan “uygun güvenceler” sağlandığında kişisel verilerin aktarılması mümkün olacaktır.

 

  1. Kademe: İstisnai aktarım kapsamında kişisel verilerin yurt dışına aktarılması yöntemleri nelerdir?

 

Arızi nitelikte kabul edilecek olan veri aktarımı halidir. Arızilik, yalnızca tek seferlik veya birkaç kez gerçekleşecek ve süreklilik arz etmeyecek kişisel veri aktarımları olarak belirtilmiştir. Arızilik söz konusu ise Kurum’un izni veya Kurum’a başvuru şartı aranmayacaktır.

 

Aşağıdaki hallerden birinin mevcudiyeti durumunda arızi olarak kişisel verilerin yurt dışına aktarılması mümkün olacaktır;

 

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermişse ve bu açık rıza özel riskler nedeniyle aşağıdaki şartları sağlıyorsa;
  • Bilgilendirilmeye dayanıyorsa
  • Özgür iradeyle açıklanmışsa
  • Muhtemel riskler hakkında bilgilendirilmişse
  • Belirli bir konuya ilişkinse
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması halinde
  • Aktarım ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu ise
  •  Aktarım üstün bir kamu yararı için zorunlu ise
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu ise
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu ise
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişi talep etmişse

 

kişisel verilerin yurt dışına aktarılması mümkündür.

 

Yurt dışına veri aktarımında sorumluluk kime ait olacaktır?

 

Yurt dışına veri aktarımında yalnızca veri sorumlusu değil aynı zamanda yurt dışına veri aktarımının veri işleyen tarafından yapılması halinde veri işleyen de veri güvenliğini sağlamakla yükümlü olacaktır.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.