12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun (7499 sayılı Kanun) 34 üncü maddesi ile Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde değişiklikler yapılmış ve yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir.
Yapılan değişiklik kapsamında, “standart sözleşmeler” ve “bağlayıcı şirket kuralları” kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği birer uygun güvence sağlama yöntemi olarak öngörülmüş olduğundan, Kişisel Verileri Koruma Kurulunun (Kurul) 04.06.2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzların kabul edilmesine karar verilmiş, belgeler “Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu” (bağlantı için tıklayınız) ile Kurumumuz internet sayfasında paylaşılmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) yapılan değişiklikle kişisel verilerin yurt dışına aktarımında aşağıda belirtilen şekilde aşamalı bir rejim yürürlüğe konulmuştur:
- Aktarım yapılacak ülkenin Kurul tarafından yeterli korumanın bulunduğu ülke olarak ilan edilmiş olması.
- Yeterli korumanın bulunmaması durumunda Kanunda düzenlenmiş uygun güvencelerin sağlanması.
- Yeterli korumanın bulunmaması ve Kanunda düzenlenecek uygun güvencelerin sağlanmaması durumunda Kanuna eklenecek bir maddede sınırlı sayıda belirlenmiş istisnai hallerden birinin varlığı.
Yeterlilik Kararı
Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin birinci fıkrasında, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması hâlinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.
Maddenin yeni düzenlemesi ile önceki düzenlemede değişiklik yapılarak, bu yeterlilik kararının sadece bir ülkenin geneli için değil, o ülkenin belirli bir sektörü veya uluslararası kuruluşlar için de verilebilmesine olanak sağlanmıştır.
İkinci fıkrada, yeterlilik kararlarının nasıl alınacağı açıklanmıştır. Bu doğrultuda Kurul, gerektiğinde ilgili kurum ve kuruluşlardan görüş alarak, yeterlilik kararlarını her dört yılda bir gözden geçirecek ve bu süre içinde bir değerlendirme yapılmazsa mevcut yeterlilik kararı geçerliğini sürdürecektir. Bu süre içinde Kurul tarafından yapılan bir değerlendirme olmazsa, verilen yeterlilik kararı geçerli olmaya devam edecektir. Ayrıca Kurul, değerlendirmesi sonucunda veya ihtiyaç duyulan diğer durumlarda, yeterlilik kararlarını ileriye dönük etkili bir şekilde değiştirme, askıya alma veya iptal etme yetkisini haizdir. Bu dört yıllık süre bir düzenleyici süre olup Kurul gerekli görürse bu süreyi beklemeden de yeterlilik kararını yeniden değerlendirebilecektir.
Üçüncü fıkrada, Kurul’un yeterlilik kararı verirken öncelikle göz önünde bulunduracağı ölçütler belirtilmiştir. Bu ölçütler sınırlayıcı değildir. Kurul, yeterlilik kararı alırken gerektiğinde sair önemli hususları da dikkate alabilecektir.
NOT: Yeterli korumanın bulunduğu ülkeler için tıklayınız.
Uygun Güvenceler
Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin dördüncü fıkrasında, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, anılan fıkrada belirtilen uygun güvencelerden birinin taraflarca sağlanması hâlinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı + Kurul izni.
Dördüncü fıkranın (a) bendine göre yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurulun aktarıma izin vermesi koşullarının gerçekleşmesiyle yurtdışına veri aktarımı gerçekleştirilebilecektir. Buna istinaden, ülkemizdeki bir kamu kurumunun yabancı ülkedeki ilgili kamu kurumuyla belli alanda yapacağı iş birliği protokolü çerçevesinde, Kurulun izin vermesi koşuluyla, bu iş birliği kapsamındaki faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkün hale gelecektir.
Kurul tarafından Onaylanmış Bağlayıcı Şirket Kurallarının varlığı
Dördüncü fıkrada yer alan (b) bendine göre, aynı teşebbüs grubu içinde bulunan şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6 ncı maddelerindeki veri işleme şartlarından biri de mevcut ise, Kuruldan ek bir izin alınmadan bu şirketler arası veri aktarımı gerçekleştirilebilecektir. Böylece Kurulca onaylanan bağlayıcı şirket kuralları olan bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yabancı ülkedeki şirketine Kuruldan bir kez daha izin alınmaksızın veri aktarımı yapılabilecektir.
Kurul’un 04.06.2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzların kabul edilmesine karar verilmiş, belgeler “Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu” ile Kurumumuz internet sayfasında paylaşılmıştır.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmelerin varlığı + Kurula bildirim.
Dördüncü fıkrada belirtilen (c) bendine göre, Kurul tarafından yayımlanan standart sözleşmenin imzalanması, ek bir izin gerektirmeden veri aktarımına olanak tanıyacaktır. Bu standart sözleşme ise; veri kategorileri, aktarımın amaçları, verilerin alıcıları ve alıcı grupları, veri alıcısı tarafından uygulanacak teknik ve idari önlemler, özel nitelikli kişisel veriler için alınacak ek tedbirler gibi çeşitli önemli unsurlar ile hususları içermektedir.
Kurul’un 04.06.2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzların kabul edilmesine karar verilmiş, belgeler “Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu” ile Kurumumuz internet sayfasında paylaşılmıştır.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı + Kurul izni.
Dördüncü fıkrada yer alan (ç) bendi uyarınca sektörel ya da bölgesel zorunluluklar sebebiyle standart taahhütname ile yurt dışına kişisel veri aktarımını gerçekleştiremeyecek aktarım taraflarının, aralarında yapacakları kişisel verilerin korunmasına ilişkin taahhütleri içeren taahhütnameyi Kurulun onayına sunmaları sonucu kişisel veri aktarımı gerçekleştirilebilecektir.
Arızi Haller
Kanunun 9 uncu maddesinin altıncı fıkrası ve Yönetmeliğin 6 ncı maddesinin ikinci fıkrası ile 16 ncı maddesinin birinci fıkrasında yer verildiği üzere veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin de sağlanamaması durumunda arızi olmak kaydıyla yurtdışına kişisel veri aktarabilir. Ancak, arızi aktarım, sadece Kanunun 9 uncu maddesinin altıncı fıkrası ve Yönetmeliğin 16 ncı maddesinin ikinci fıkrasında sayılan hallerden birinin varlığı halinde mümkündür. Bu haller;
“a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.” şeklinde, maddenin lafzından da anlaşılacağı üzere sınırlayıcı biçimde sayılmaktadır.
Aktarım yapılacak ülkede yeterli koruma bulunduğuna ilişkin bir Kurul kararı veya aktarım taraflarınca sağlanan herhangi bir uygun güvence bulunmadığı için yurt dışına kişisel veri aktarımı yapılamadığı; ancak yurt dışına kişisel veri aktarımı yapılmasının elzem olduğu durumlar için istisnalar öngörülmüştür. Anayasanın 20 nci maddesinin üçüncü fıkrasında bir temel hak ve özgürlük olarak tanınan kişisel verilerin korunmasını isteme hakkından bireylerin en üst düzeyde ve en geniş kapsamda yararlanabilmeleri için bu istisnai hallerin dar yorumlanması gerekmektedir. Ayrıca, bu kapsamda öngörülen istisna hallerinin arızi, düzenli olmayan, süreklilik göstermeyen ve nadiren gerçekleşen aktarım faaliyetleri bakımından geçerli olacağı açıkça düzenlenmiştir.