1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)’na ilişkin son değişiklikler 12 Mart 2024 tarihinde kabul edilmiş[1], yurt dışına kişisel veri aktarımı ile ilgili getirilen düzenlemeler için 1 Eylül 2024 tarihine kadar bir geçiş süreci öngörülmüştü. Kanun’daki değişiklikler kapsamında, özellikle yurt dışına kişisel veri aktarımına ilişkin olarak getirilen yeni sistemin uygulanmasına ilişkin olarak Kişisel Verilerin Korunması Kurumu (“Kurum”)’undan bir yönetmelik beklenmekteydi. Beklendiği üzere, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10 Temmuz 2024 tarih ve 32598 sayılı Resmi Gazete’de yayımlanmıştır. Yönetmelik ile amaçlanan, kişisel verilerin yurt dışına aktarılmasını düzenleyen Kanun’un 9. maddesinin uygulanmasına ilişkin usul ve esasları belirlemektir. İşbu bültenimiz ile yurt dışına kişisel veri aktarımının usul ve esaslarını belirleyen ilgili Yönetmelik hükümlerine dair sizleri bilgilendirmek isteriz.

2. Yönetmelik Uyarınca Yurt Dışına Kişisel Veri Aktarmanın Hukuki Sebepleri

2.1. Yeterlilik Kararı

Kanun ile paralel olarak Yönetmelik’te, kişisel verilerin yeterlilik kararına dayalı olarak yurt dışına aktarılabileceği düzenlenmiştir. Buna göre, Kişisel Verilerin Korunması Kurulu (“Kurul”), kişisel verilerin yurt dışına aktarımı ile ilgili olarak (i) bir ülkenin, (ii) ülke içerisindeki bir veya daha fazla sektörün ya da (iii) bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir ve bu yeterlilik kararı doğrultusunda kişisel veriler yurt dışına aktarılabilir.

Yönetmelik’te, yeterlilik kararı verilirken dikkate alınacak hususlar arasında, kişisel verilerin aktarılacağı ülke ile mütekabiliyet durumu, ilgili ülkenin tâbi olduğu mevzuat, aktarım yapılacak kuruluşun tâbi olduğu kurallar, bunların tâbi olduğu bağımsız ve etkin koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması, bunların ilgili uluslararası sözleşmelere taraf ve uluslararası kuruluşlara üye olma durumu gibi hususlar sayılmıştır. Sayılan bu hususların sınırlı sayıda olmadığı, yeterlilik kararı verilirken Kurul’un ek hususları dikkate almakta yetkili olduğu Yönetmelik’te ifade edilmiştir.

Yönetmelik hükümleri uyarınca, Kurul tarafından verilen yeterlilik kararları Resmi Gazete’de ve Kurum’un internet sitesinde yayımlanacak ve en geç dört yılda bir Kurul tarafından yeniden değerlendirilecektir. Yeniden değerlendirme neticesinde Kurul, yeterlilik kararı verdiği ülke, sektör veya kuruluşun yeterli koruma sağlamadığını tespit eder ise kararını ileriye etkili olarak değiştirebilecek, askıya alabilecek veya kaldırabilecektir.

2.2. Uygun Güvenceler

Yeterlilik kararının bulunmaması halinde kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, Kanun ile getirilen ve Yönetmelik’te de tekrar edilerek düzenlenen uygun güvencelerden birinin varlığı halinde yurt dışına aktarılabilecektir. Yönetmelik’te Kanun’a paralel olarak düzenlenen uygun güvenceler aşağıda açıklanmaktadır.

2.2.1. Uluslararası sözleşme niteliğinde olmayan anlaşma yapılması ve Kurul tarafından aktarıma izin verilmesi.

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı, uygun güvencelerden biri olarak kabul edilmektedir. Yönetmelik hükümlerine göre, bu tür bir anlaşmanın müzakere sürecinde Kurul’un görüşüne başvurulması gerekmektedir. Anlaşmada yer verilecek, kişisel verilerin korunmasına yönelik hükümlerin özellikle hangi hususları içermesi gerektiği Yönetmelik’te detaylı olarak düzenlenmiştir. Yalnızca anlaşmanın varlığı uygun güvencenin sağlandığı anlamına gelmemektedir. Kanun ile paralel olarak Yönetmelik’te de, böyle bir anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a başvurulması ve Kurul’dan izin alınması gerektiği ifade edilmiştir. Anlaşma kapsamında yurt dışına kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanılabilecektir.

2.2.2. Bağlayıcı şirket kuralları ve Kurul’un onayı.

Uygun güvencelerden bir diğeri de bağlayıcı şirket kurallarıdır. Kanun ile paralel olarak Yönetmelik’te de bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a onay başvurusunda bulunulması gerektiği düzenlenmiştir. Onay başvurusu kapsamında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgelerin Kurul’a sunulması gerekmektedir. Başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenmelidir. Yönetmelik’te, bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi halinde Türkçe metninin esas alınacağı düzenlenmiştir.

Yönetmelik madde 12 hükmü uyarınca, Kurul tarafından bağlayıcı şirket kuralları onaylanırken dikkate alınacak hususlar aşağıdaki gibidir:

a) Bağlayıcı şirket kurallarının, çalışanları da dâhil olmak üzere, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması,

b) Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması ve

c) Bağlayıcı şirket kurallarının asgari olarak Yönetmelik madde 13’te sayılan hususları içermesi.

Yönetmelik madde 13 hükmünde bağlayıcı şirket kurallarında bulunması gereken hususlar detaylı olarak düzenlenmiştir. 10 Temmuz 2024 tarihinde ise Kurum’un internet sitesinde, veri sorumluları ve veri işleyenler için bağlayıcı şirket kuralları başvuru formu ile temel hususlara yardımcı ek kılavuz yayımlanmıştır.

2.2.3. Standart sözleşme ile uygun güvencenin sağlanması.

Kanun ile kabul edildiği üzere, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel verileri için alınan ek önlemleri gibi hususları içeren bir standart sözleşmenin varlığı, kişisel verilerin yurt dışına aktarılmasında uygun güvenceyi sağlamaktadır. Yönetmelik’te, standart sözleşmenin Kurul tarafından belirlenerek ilan edileceği düzenlenmiştir. Bununla paralel olarak da Kurul tarafından, Yönetmelik’in Resmi Gazete’de yayımlandığı tarih olan 10 Temmuz 2024 tarihinde, veri sorumlusu ile veri sorumlusu, veri sorumlusu ile veri işleyen, veri işleyen ile veri işleyen ve veri işleyen ile veri sorumlusu arasında imzalanması gereken standart sözleşme metinleri ilân edilmiştir. 

Yönetmelik uyarınca standart sözleşme ile ilgili uyulması gereken düzenlemeler aşağıdaki gibidir:

(i) Standart sözleşme metinlerinin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur.

(ii) Standart sözleşmenin yabancı dilde de akdedilmesi halinde Türkçe metni esas alınacaktır.

(iii) Standart sözleşmenin, kişisel veri aktarımının tarafları arasında akdedilmesi ve tarafları temsile ve imzaya yetkili kişilerce imzalanması gerekmektedir.

(iv) Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kurum’a bildirilecektir.

(v) Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir; belirlememiş ise, standart sözleşme veri aktaran tarafından Kurum’a bildirilmelidir.

(vi) Kurum’a bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenmelidir.

(vii) Standart sözleşmenin içeriğinde veya taraflarında bir değişiklik olması veya standart sözleşmenin sona ermesi halinde, sözleşmenin akdedilmesi ile öngörülen aynı usulde Kurum’a bildirim yapılması gerekmektedir.

Yönetmelik uyarınca, Kurul tarafından ilan edilen standart sözleşme metninde değişiklik yapılması veya aktarım taraflarından biri veya her ikisinin geçerli imzasının standart sözleşmede bulunmaması halinde Kurul tarafından Kanun’un 15. Maddesi uyarınca inceleme yapılacaktır.

2.2.4. Taahhütname ile uygun güvencenin sağlanması.

Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla da kişisel verilerin yurt dışına aktarılmasına yönelik uygun güvence sağlanabilmektedir. Yönetmelik ile taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler detaylandırılmıştır. Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurul’a izin başvurusunda bulunulması gerekmektedir. Bu kapsamda kişisel veri aktarımına, Kurul tarafından bu yönde izin verilmesinden sonra başlanabilecektir. Yapılacak başvuru kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurul’a sunulmalıdır. Taahhütnamenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınacaktır.

3. Arızi Haller

Yurt dışına kişisel veri aktarımı için yeterlilik kararının bulunmaması ve yukarıda sayılan uygun güvencelerden herhangi birinin sağlanmaması halinde, arızi olması şartıyla aşağıda belirtilen istisnai hallerden herhangi birinin varlığı halinde yurt dışına kişisel veri aktarılabilecektir. Arızi haller ilk defa Kanun’daki değişiklik ile getirilmiş olup, Yönetmelik’te de tekrar edilmiştir. Ancak Yönetmelik ile, yeni kabul edilen “arızi” niteliğe ilişkin açıklama getirilmiştir. Buna göre, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir. Arızi olmak kaydıyla istisnai aktarım halleri aşağıdaki gibidir:

a. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

d. Aktarımın üstün bir kamu yararı için zorunlu olması.

e. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

f. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

g. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yönetmelik’te ayrıca istisnai hallerden olan yukarıdaki (g) bendinin uygulanmasına ilişkin bir açıklama hükmü getirilmiştir. Buna göre, (g) bendi kapsamında yapılacak aktarımlarda;

i. Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilmemelidir.

ii. Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.

Ayrıca Yönetmelik’te istisnai aktarımlarla ilgili olarak, yukarıdaki (a), (b) ve (c) bentlerinin, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmayacağı düzenlenmiştir.

4. Sonuç

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Resmi Gazete’de yayımlandığı tarihte yürürlüğe girmiştir. Kanun ile getirilen ve Yönetmelik ile tekrar edilen yeni sistem uyarınca, yurt dışına kişisel veri aktarımında öncelikle yeterlilik kararı ile uygun güvencelerin varlığı sağlanmalıdır. Bunların sağlanamaması halinde, istisnai olarak arızi hallerde, açık rıza ve sayılan diğer hukuka uygunluk sebepleri ile yurt dışına kişisel veri aktarımı yapılabilecektir. Ancak Kanun’da yer alan geçici madde uyarınca, kişisel verilerin ilgili kişilerin açık rızası ile yurt dışına aktarılabilmesine dair eski sistem, yukarıda açıklanan yeni sistem ile birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam edecektir. Bu sebeple, yurt dışına kişisel veri aktarımını açık rızaya dayalı olarak yapanların 1 Eylül 2024 tarihine kadar Kanun’un değişen ve Yönetmelik ile tekrar eden hali ile uyumlu hale gelmeleri gerekmektedir. Bu doğrultuda, Yönetmelik’in yayımlandığı tarihte Kurum’un sitesinde ilan edilen standart sözleşmelerin kullanılması da artık mümkündür. 

Saygılarımızla,

Bilgi ve sorularınız için:

info@ozel-law.com

ÖZEL Avukatlık Bürosu

İşbu bülten Türk hukukundaki gelişmeleri paylaşmak amacıyla 11/8/2024 tarihinde hazırlanmıştır. Bülten, hukuki bir görüş veya yönlendirme içermez; yalnızca genel bilgi için hazırlanmıştır