Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı Yayınlandı!

on Haziran 3, 2024 by admin
Makaleler

Kişisel Verileri Koruma Kurumu’nun 09.05.2024 tarihinde yayımlamış olduğu “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı (“Yönetmelik Taslağı”) Hakkında Kamuoyu Duyurusu” ile birlikte 01.09.2024 tarihinde yürürlüğe girecek olan 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesindeki değişikliklere ilişkin genel bir taslak ortaya konmuştur.

Mevcut durumda yurt dışına veri aktarımı ilgilinin açık rızasının alınması veya Kanun’un 5. maddesindeki veri işleme şartlarının bulunması ile birlikte Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından veri aktarılan yabancı ülkede yeterli korumanın bulunduğuna dair yeterlilik kararının verilmiş olması gerekmektedir. Ayrıca yeterlilik kararının bulunmaması halinde veri aktarımı, Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izin vermesi halinde mümkün olabilmektedir.

Uygulamada ise, Kurul tarafından güvenli ülkeler listesi yayınlanmadığı için ve Kurul tarafından taahhütname başvurularının çok azına izin verilmekte olduğu için, yurt dışına veri aktarımı sadece ilgilinin açık rızasının alınması ile mümkün olmaktaydı.

Kurul tarafından Yönetmelik Taslağı’na ilişkin yayımlanan genel gerekçede, Kanun’un 9. maddesinde yapılan değişiklikle; veri temelli ekonomide özel ve kamusal faktörlerin uluslararası rekabet kapasitelerinin artırılmasının amaçlandığı ve bu kapsamda, kişisel verilerin aktarılmasında temel hak ve özgürlükleri güvence altına alan, alternatif, kolaylaştırılmış ve maliyetsiz yollar öngören bir hukuki çerçevenin oluşturulması hedeflendiği belirtilmiştir.

Yönetmelik Taslağı genel mahiyetinde Kanun’un 9. maddesinde yapılan değişiklikleri tekrar eder nitelikte olsa da, değişikliklerin uygulanmasına ilişkin detaylı açıklamalar içermektedir. Aşağıda, önem arz eden yerleri başlıklar altında derledik:

  1. Tanımlar: Yönetmelik Taslağı ile ilk defa veri aktaran ve veri alıcısı tanımları yapılmıştır. Veri aktaran, kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyeni ifade ederken, veri alıcısı ise kişisel verilerin aktarıldığı yurt dışındaki veri sorumlusu veya veri işleyeni ifade etmektedir. Bu tanımlar sayesinde, veri aktarım sürecinde hangi tarafın hangi yükümlülüklere sahip olduğu daha net bir şekilde anlaşılabilecek ve olası uyuşmazlıkların çözümü kolaylaşacaktır.
  2. Yeterlilik kararının değerlendirilmesi/değiştirilmesi/askıya alınması: Yeterlilik kararının verilmesi sırasında Kurulu’nun dikkate alacağı ve yeterlilik kararının gözden geçirilmesine ilişkin ayrıntılar belirtilmiştir. Kurul’a, yeterlilik kararı alırken esas olarak aranan ölçütlerin yanı sıra ek ölçütler belirleme yetkisi verilmiştir. Ayrıca, yeterlilik kararının değerlendirilmesi aşamasında gerekli olduğunda Kurul, ilgili kamu kurumlarından görüş alabilecektir.

    Sektör veya kuruluşlara verilen yeterlilik kararı, en fazla 4 yılda bir Kurul tarafından yeniden değerlendirilecektir. Ayrıca, yeniden değerlendirme sonucunda veya Kurulun gerekli gördüğü durumlarda söz konusu 4 yıllık süre beklenmeksizin Kurula, yeterlilik kararını ileriye dönük olarak değiştirme, askıya alma veya kaldırma yetkisi verilmiştir. Kurul, bu durumlarda ilgili ülke veya uluslararası kuruluşların yetkili makamlarıyla görüşebilecektir. Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin kararlar ise, Resmî Gazete ve Kurumun internet sitesinde yayımlanacaktır.
  3. Uygun Güvenceye Dayalı Aktarım: Yeterlilik kararı olmadığında, “Uygun Güvenceye Dayalı Aktarımlar” başlıklı dördüncü bölümde belirtilen uygun güvence sağlama yöntemlerinden herhangi biri varsa, yurt dışına veri aktarımı gerçekleştirilebilecektir. Bu mekanizmalar arasında, uluslararası sözleşme niteliğinde olmayan anlaşma, bağlayıcı şirket içi kuralları ve taahhütname gibi asgari hususlar belirlenmiştir. Standart Sözleşme ise Kurul tarafından belirlenip ilan edilecek şekilde düzenlenmiştir.
  4. Standart Sözleşme: Kanun değişikliği ardından Yönetmelik ile standart sözleşmeler hakkında detaylı düzenleme getirileceğini beklemekteydik. Bu doğrultuda Yönetmelik Taslağı’nda, standart sözleşmelerin geçerliliğine ilişkin kapsamlı bir değerlendirme yapılmıştır. Buna göre, standart sözleşmenin aktarım taraflarınca veya onları temsilen ve imzalamak için yetkilendirilmiş kişilerce imzalanması gerekmektedir. İmzalayanların yetkilendirildiğini gösteren belgeler ve yabancı dildeki belgelerin noter onaylı çevirisi de eklenmesi gerekecektir. Birden fazla dilde imzalanan standart sözleşmelerde, geçerli dil Türkçe olarak belirlenmiştir. Standart sözleşmenin imzalanmasından itibaren beş iş günü içinde fiziksel olarak, KEP adresi üzerinden veya Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirilmesi gerekecektir. Bildirim yükümlülüğünün hangi tarafça yerine getirileceği belirlenmediyse, standart sözleşme veri aktaran tarafından Kurum’a bildirilecektir. Kurul tarafından ilan edilen standart sözleşmede değişiklik yapıldığında veya standart sözleşmede geçerli imzaların eksik olduğu durumlarda ise Kurul tarafından inceleme yapılacaktır.
  5. Arızı hallerde aktarım: Kanunun 9. maddesinin güncel halinde, Yeterlilik Kararı ve Uygun Güvencelerin sağlanamadığı aktarımlar için başvurulabilecek “arızi” ibaresi, Yönetmelik Taslağı’nda istisnai aktarım halleri altında; düzenli olmayan, tek veya birkaç kez gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar olarak yer almıştır.
  6. Veri sorumlusunun talimatları: Yönetmelik Taslağı, yurt dışına kişisel veri aktarımına taraf olan veri sorumluları ve veri işleyenler hakkında düzenlenmiştir. Kişisel verilerin veri işleyen tarafından aktarılması durumunda, ayrıca veri sorumlusunun talimatlarına uyma zorunluluğu getirilmiştir. Bu zorunluluk, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar açısından da uygulanacaktır.
  7. Tereddütlerin giderilmesi: “Tereddütlerin Giderilmesi” başlıklı Yönetmelik Taslağı maddesi gereğince; Yönetmelik’te yer almayan veya tereddüt oluşacak konular hakkında Kurul’un karar mercii olduğu belirtilmiştir.

Uzun zamandır beklenen Kanun değişikliğini Türkiye’deki kişisel verilerin korunması mevzuatının Avrupa Birliği’nde uygulanan General Data Protection Regulation (GDPR) ile uyumlu hale getirilmesi yolunda önemli bir adım olarak değerlendirmekteyiz. Kanun değişikliği ve yayımlanan Yönetmelik Taslağı ile birlikte özellikle kişisel verilerin yurt dışına aktarılması alanında artık yeni bir dönem başlıyor. Söz konusu yeni düzenlemeler ile; ilgili kişinin açık rızası olmaksızın yurt dışına veri aktarımı mekanizmalarının uygulanabilir hale geleceğini temenni etmekteyiz. Söz konusu Yönetmelik Taslağı’na ilişkin olarak 20.05.2024 tarihinde Kurum tarafından görüş toplanması bitirilmiş olup alınan görüşlerin taslak üzerinde ne gibi değişiklikler yaratacağını ve yönetmeliğin son halini beklemekteyiz.  

Yönetmelik Taslağı’na buradan ulaşabilirsiniz:

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/aaf0eeec-9599-4c68-8b7a-33039059ca41.pdf

Tüm hakları saklıdır. 2024 Aksan Hukuk Bürosu
incele

Aksan Hukuk sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin