Artık bültenlerimizi sesli olarak da dinleyebilirsiniz!
Yeni Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum“) 24 Mart 2021 tarihinde gerçekleştirdiği Çarşamba Seminerinde yurt dışına kişisel veri aktarımı kapsamındaki taahhütname başvurularını ele aldı ve başvurularda usulen ve esasen dikkat edilmesi gereken hususlara değindi. Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kişisel verilerin yurt dışına aktarımı konusunda bazı düzenlemeler getirmekte. Bu düzenlemelerden biri de, veri aktaracak ve veri aktarılacak kişilerin Kurum’a taahhütname sunarak ve Kurum’un iznini alarak veri aktarımı gerçekleştirmesi. Veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarıma ilişkin iki adet taslak form Kurum’un internet sitesinde yayımlanmış durumda. Taahhütname taslaklarına buradan ulaşabilirsiniz. Kurum KVKK’nın yürürlüğe girdiği 2016 yılından bu yana ilk kez izin için sunulan taahhütnamelerden birini onayladığını 9 Şubat 2021 tarihinde duyurdu. Ardından 4 Mart 2021 tarihinde ikinci taahhütnamenin onaylandığı duyuruldu.
Seminerde Nelerden Bahsedildi?
Seminerde taahhütname başvurularında usule ve esasa ilişkin dikkat edilmesi gereken hususlar iki başlık altında ele alındı.
Usule ilişkin olarak aşağıdaki hususlara dikkat çekildi:
- Gerçek kişi veri sorumlusu adına yapılan başvurularda başvuranın adı ve soyadı, adresi, imzası ve imzalayanın imzaya yetkili olduğunu gösteren belgenin (imza sirküleri gibi) üst yazıda bulunması gerekir. Tüzel kişi veri sorumlusu adına yapılan başvurularda aynı şekilde imza sirküleri sunulmalı. Vekaleten yapılan başvurularda vekaletnamenin noter onaylı bir örneği sunulmalı. Başvurularda vekaletnamenin fotokopisi kabul görmeyebilir.
- Yabancı şirketler bakımından, imzalayanların imza yetkisini gösteren belgenin (ilgili ülkede yetkili kurumdan alınan ticaret sicil özeti veya imza sirküleri gibi) apostil şerhli ve noter onaylı bir nüshası sunulmalı.
- Taahhütnamenin ve Ek 1 dokümanının sonunda imza ve kaşe, kalan sayfalarda her bir imzalayanın parafı bulunmalı.
- Yabancı dilde sunulan her belgenin (teknik ve idari tedbirleri gösteren belgeler dahil) noter onaylı Türkçe tercümeleri sunulmalı.
- Kurum’un internet sitesinde yayımlanan taahhütname taslaklarından, mevcut duruma uygulanabilir olan, içeriğindeki bölümler asgari şekilde muhafaza edilecek şekilde kullanılmalı. Taahhütnamelere asgari hususların yanında ilave bilgi eklenmesi mümkün. Her halükarda taahhütnamelerin Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) veya Kaliforniya Tüketici Gizliliği Yasası (CCPA) kapsamında hazırlanan taslaklardan ziyade, Kurum’un internet sitesinde yayımlanan ve KVKK’ya uygun şekilde hazırlanan taslaklar olması gerekiyor.
Kurum sunulan taahhütnameler üzerinde usule ilişkin incelemeyi tamamladıktan sonra esasa ilişkin incelemeye geçiyor. Seminerde esasa ilişkin olarak aşağıdaki hususlara dikkat çekildi:
- Kurum’un sitesinde yayımlanan taahhütnamelerden hangisinin kullanılacağını tespit edebilmek için, öncelikle aktarımın veri sorumlusundan veri sorumlusuna mı, yoksa veri sorumlusundan veri işleyene mi yapılacağı doğru bir şekilde analiz edilmeli. Veri sorumlusu ve veri işleyen ilişkisinin tespiti için Kurum’un 30 Ocak 2020 tarihli ve 2020/71 sayılı kararından faydalanılabilir. İlgili karara buradan ulaşabilirsiniz.
- Taahhütnamelerde KVKK’nın terminolojisi kullanılmalı. Örneğin “veri sahibi” yerine “ilgili kişi” ifadesi tercih edilmeli.
- Açık rızaya dayanılarak gerçekleştirilecek aktarımlara taahhütnamede yer verilmemeli.
- Veri sorumlusundan veri sorumlusuna yapılacak aktarımlara ilişkin taahhütnamenin Ek 1 belgesinde, (i) veri konusu kişi grubu (kimin verisinin aktarılacağı) (ii) aktarılacak veri kategorileri (örneğin iletişim verisi, finans verisi) (iii) dayanılan hukuki sebep (KVKK’nın 5(2) ve 6(3). maddelerinde yer alan hukuki sebepler) ve (iv) veri aktarımının amacı (örneğin bilgi teknoloji alt yapısının kullanılması) şeklinde dört başlık bulunuyor. Veri sorumlusundan veri işleyene yapılacak aktarımlara ilişkin taahhütnamenin Ek 1 belgesinde ise veri aktarımının amacı başlığı hariç bu üç başlığa yer verilmiş durumda. Bu başlıklar arasında sağlıklı bir bağ kurulması ve gerekli bilgilerin doğru bir şekilde sunulması gerektiğinin altı çizildi. Bu amaçla Kurum söz konusu başlıkların bir tablo ile Kurum’a sunulmasını tavsiye etti.
- KVKK’nın 4(2). maddesi kapsamında kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesi doğrultusunda, taahhütnamelerde “gibi”, “gelecekteki çalışanlar” şeklinde ucu açık, muğlak ifadelerden kaçınılmalı, başvuru açık ve net bilgiler içermeli. Başvurunun açık ve net olması için aktarıma konu verilerin “Alt veri kategorisi (kişisel verinin ismi)” gibi bir formülle sunulması tavsiye ediliyor.
- Aktarımda dayanılan hukuki sebeple aktarım amacı karıştırılmamalı, hukuki sebep olarak KVKK’nın 5(2) ve 6(3). maddelerindeki hukuki sebeplerden eldeki olaya uygulanabilir olan belirtilmeli. Sağlık ve cinsel hayata ilişkin veriler açısından 6(3). maddedeki koşulların sağlandığından emin olunmalı.
- KVKK “sonraki aktarıma” (onward transfer) yani aktarıldığı yurt dışındaki alıcının bu verileri veri sorumlusu konumundaki üçüncü bir tarafa aktarımlara, hukuki yükümlülükler gereği kamu kurumlarına ve mahkemelere yapılan aktarım hariç izin vermemektedir. Buna göre, veriler kamu kurumlarına aktarılacaksa ve bu kurumlar belirlenebiliyorsa (rekabet otoritesi, telekomünikasyon otoritesi gibi) bu otoriteler alıcı ve alıcı grupları arasında belirtilmeli.
- Teknik ve idari tedbirler bakımından Kurum’un yayımladığı rehber dikkate alınmalı. Özel nitelikli kişisel veriler açısından ise rehberde yer alan hususların yanında, Kurum’un 31 Ocak 2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin dikkate alınması ve bunların başvuruda belirtilmesi gerektiği unutulmamalı. Rehbere buradan, ilgili karara ise buradan ulaşabilirsiniz.
- Saklama sürelerine “Ek Faydalı Bilgiler” başlığı altında yer verilmeli. Saklama süresi kanundan doğan bir yükümlülüğe istinaden belirlenmişse, ilgili kanun ve ilgili madde açıkça belirtilmeli.
- Aktarımdan sonra gerçekleştirilecek veri işleme faaliyetleri KVKK’nın 3(1). maddesindeki tanıma bağlı kalınarak (örneğin depolama, muhafaza etme), “İşleme Faaliyeti” başlığı altında belirtilmeli. İşleme faaliyeti yerine işleme amacı belirtilmemeli.
- Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) başlığı altında gerekli bilgiler sunulurken, VERBİS kayıt yükümlülüğü altında olunmaması halinde, muafiyet gerekçesiyle birlikte, ilgili Kurum kararına atıfta bulunularak belirtilmeli. VERBİS kayıt yükümlülüğünden muaf olunmaması halinde ise, VERBİS kaydına ilişkin bilgiler, örneğin başvuru kayıt numarası başvuruya eklenmeli.
- Taahhütnameler hazırlanırken Kurum’un buradan ulaşabileceğiniz, 7 Mayıs 2020 tarihli duyurusu özenle incelenmeli.
Sonuç
Açık rızaya gerek olmaksızın yurt dışına veri aktarımına imkan veren mekanizmalardan biri olan taahhütname başvurusu önemini artırıyor. Kurum, 2021 yılında kendisine izin için sunulan taahhütnameleri onaylamaya başladı. Kurum’un seminerde aktardığı bilgiler taahhütname mekanizmasıyla ilerlemek isteyen şirketlere yol gösterici olacak.