Yeni Gelişme
6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun“) ilişkin değişiklikler 12 Mart 2024 tarihinde kabul edilmiş (“Kanun Değişikliği“), yurt dışına aktarım süreçlerine dair mevcut rejim değiştirilerek -standart sözleşme hükümleri başta olmak üzere- yeni mekanizmalar öngörülmüştü. Kişisel Verileri Koruma Kurumu (“Kurum“) tarafından yeni mekanizmaların nasıl işleyeceğine ilişkin hazırlanan, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik“) 10 Temmuz 2024 tarihli ve 32598 sayılı Resmi Gazete’de yayımlandı. Yönetmelik’in yayımlanmasını takiben, aynı gün, yeni getirilen standart sözleşmeler ile bağlayıcı şirket kurallarına ilişkin dokümanların nihai halleri de (“Nihai Metinler”) Kurum’un internet sitesinde duyuru yoluyla yayımlandı.
Yönetmelik’e buradan, Nihai Metinler’e ise buradan ulaşabilirsiniz. Ayrıca, Kanun Değişikliği’ne ilişkin detaylı bilgi edinmek için 12 Mart tarihli hukuk bültenimize buradan ulaşabilirsiniz.
Yönetmelik Neler Getiriyor?
Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları içeren Yönetmelik’te özetle aşağıdaki hususlar düzenlenmektedir:
- Yeterlilik Kararına Dayalı Aktarımlar: Kurum’un, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebileceği ve bu karar verilirken dikkate alınması gereken hususlar düzenlenmektedir. Ek olarak, yeterlilik kararının en geç dört yılda bir yeniden değerlendirileceği ifade edilmektedir.
- Uygun Güvencelere Dayalı Aktarımlar: Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun’un 5 ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla uygun güvencelerden birinin sağlanması halinde yurt dışına aktarılabilmektedir. Söz konusu uygun güvencelere ilişkin olarak Yönetmelik ile getirilen düzenlemeler aşağıdaki gibidir:
- Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması: Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvencenin sağlanabileceği belirtilerek, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin hangi hususları içermesi gerektiği düzenlenmektedir.
- Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması: Kanun Değişikliği’ne paralel olarak, Yönetmelik’te, bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri sorumlusu ve veri işleyenlerin Kurum’a onay başvurusunda bulunması gerektiği ve kişisel verilerin aktarımına, bağlayıcı şirket kurallarının Kurum tarafından onaylanmasını takiben başlanabileceği düzenlenmektedir. Ek olarak, Yönetmelik’in 13. maddesinde, bağlayıcı şirket kurallarının içermesi gereken asgari hususlar düzenlenmektedir.
- Standart Sözleşme ile Uygun Güvencenin Sağlanması: Kanun Değişikliği uyarınca, standart sözleşmelerin, imza tarihinden itibaren beş iş günü içerisinde Kurum’a bildirilmesi gerekmektedir. Yönetmelik ile, aktarım taraflarınca standart sözleşme içerisinde, bildirim yükümlülüğünün kimin tarafından yerine getirileceğinin belirlenebileceği ve taraflarca belirlenmemesi halinde ilgili bildirimin veri aktaran tarafın gerçekleştirilmesi gerektiği düzenlenmektedir. Yönetmelik ile, ayrıca, standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin sona ermesi hâlinde Kurum’a bildirim yapılması gerektiği ifade edilmektedir.
- Taahhütname ile Uyun Güvencenin Sağlanması: Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için, Kanun Değişikliği öncesinde olduğu gibi, veri aktaran tarafından Kurum’a izin başvurusunda bulunulması gerekmektedir. Yönetmelik’in 15. maddesi ile, taahhütnamede yer verilmesi gereken kişisel verilerin korunmasına yönelik hususlar düzenlenmektedir.
- İstisnai Aktarım Halleri: Kanun Değişikliği ile, veri sorumlularının açık rızaya dayalı olarak kişisel verileri yurt dışına aktarması ancak 1 Eylül 2024 tarihine kadar mümkün olup, bu tarihten sonraki aktarımlar yalnızca “arızi” olmaları halinde açık rızaya dayalı olarak gerçekleştirilebilecektir. Bu kapsamda, Yönetmelik’te, “arızi aktarım” ifadesi “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar” şeklinde tanımlanmaktadır. Yönetmelik’te, ayrıca, Kanun Değişikliği’nde sayılan istisnai aktarım halleri tekrar edilmektedir.
Yönetmelik yayımı tarihinde yürürlüğe girmiştir.
Standart Sözleşme Hükümleri ve Bağlayıcı Şirket Kurallarına İlişkin Metinler Neler Getiriyor?
Kurum, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR“) uyumlu şekilde (i) veri sorumlusundan veri sorumlusuna, (ii) veri sorumlusundan veri işleyene, (iii) veri işleyenden veri işleyene, (iv) veri işleyenden veri sorumlusuna gerçekleştirilecek aktarımlar için olmak üzere 4 tip standart sözleşme hükümleri (“SSH“) yayımlamıştır. Kurum tarafından yayımlanan SSH metinleri ile GDPR kapsamında yayımlanan SSH metinleri büyük oranda paralel olmakla birlikte, Kurum tarafından yayımlanan SSH metinlerinin, genellikle Kanun’un mevcut hali ile GDPR arasındaki farklar dolayısıyla (örneğin, veri ihlallerin ilgili veri koruma otoritelerine bildirimi, şeffaflık yükümlülükleri bakımından tanınan istisnalar vb.), GDPR kapsamında yayımlanan SSH metinlerinden ayrışan noktaları olduğu görülmektedir. Bunun haricinde, GDPR kapsamında yayımlanan SSH metinlerinden farklı olarak, Kurum tarafından yayımlanan SSH metinlerinde dikkat çeken hususlardan biri standart sözleşmelerin yalnızca bir veri aktaran ile bir veri alıcısı arasında imzalanabilecek şekilde düzenlenmiş olması ve birden fazla veri aktaran ve/veya veri alıcısının sözleşmeye taraf olmasına imkan tanıyan hükümlere yer verilmemesidir.
Benzer şekilde, Kurum, GDPR kapsamında yayımlanan metinler ile büyük oranda paralel olacak şekilde, veri sorumluları ve veri işleyenlerin grup içi aktarımlarına ilişkin olarak, ikişer tip bağlayıcı şirket kuralları (“BŞK“) başvuru formu ve BŞK’de bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar yayımlamıştır.
Sonuç
Kanun Değişikliği 1 Haziran 2024 tarihi itibari ile yürürlüğe girmiş olmakla beraber, öngörülen geçiş süreci kapsamında veri sorumlularının, 1 Eylül 2024 tarihine kadar Kanun’un 9. Maddesinin 1. fıkrası uyarınca açık rızaya dayalı olarak yurt dışına aktarım faaliyetlerini sürdürmeleri mümkündür. Bununla beraber, veri sorumluları ve veri işleyenlerin, yayımlanan Yönetmelik ve Nihai Metinler uyarınca yurt dışına aktarım süreçlerini gözden geçirmeleri ve kendilerine uygun aktarım mekanizmasını belirleyerek belirtilen tarihe kadar uyum süreçlerini tamamlamaları gerekmektedir.