Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Hakkında Bilmeniz Gerekenler

İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul: Kişisel Verileri Koruma Kurulu
Veri Aktaran: Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyeni
Veri Alıcısı: Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyeni
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Yönetmelik: 10 Temmuz 20214 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

Kişisel Verilerin Yurt Dışına Aktarılma Usulleri

Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kanun ve Yönetmeliğe uygun olarak yurt dışına aktarılabilir. 

Kişisel veriler, Kanun’un 5. ve 6. maddelerinde düzenlenen kişisel ve özel nitelikteki kişisel verilerin işlenme şartlarından birinin varlığı ile,

• Aktarımın yapılacağı ülke, ülke içerisindeki sektörler ve uluslararası kuruluşlar hakkında Kurul tarafından verilmiş bir yeterlilik kararı bulunması (aşağıda değinilecek); aksi takdirde, ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının uygun güvencelerle (aşağıda değinilecek) sağlanması

halinde yurt dışına aktarılabilir.  

Yeterlilik karanının bulunmaması ve uygun güvencenin sağlanamaması durumunda, Yönetmelik’te düzenlenen ve aktarımı mümkün kılan istisnai hallerden (aşağıda değinilecek) birinin bulunması halinde arizi olmak kaydıyla yurt dışına aktarılabilir.

Son olarak da kişisel veriler, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izni ile yurt dışına aktarılabilir. 

Kişisel Verilerin Veri İşleyen Tarafından Yurt Dışına Aktarılması: 

Veri işleyen, veri sorumlusu tarafından belirlenmiş amaca, kapsama ve talimatlara uygun olarak hareket etmekle yükümlüdür. Veri işleyen, kişisel verilerin muhafazasını sağlamak amacıyla verilerin niteliğine göre uygun güvenlik düzeyini temin etmek için gerekli teknik ve idari tedbirleri alır. Ancak, kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, usul ve esaslara uyulması ile güvencelerin sağlanması konusunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri işleyenin standart sözleşmeyi bildirmekle yükümlü olması halinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir. 

Yeterlilik Kararı

Kurul, bir ülkenin, ülke içerisindeki sektörlerin ya da bir uluslararası kuruşun kişisel verilerin yurt dışına aktarımı ile ilgili yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

• Türkiye ile kişisel veri aktarımına ilişkin karşılıklık durumu,
• İlgili mevzuat ve tabi olunun kurallar,
• Bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması,
• Kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu,
• Türkiye’nin de üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,
• Türkiye’nin taraf olduğu uluslararası sözleşmeler.

Kurul tarafından verilen yeterlilik kararları Resmi Gazete’de ve Kurumun internet sitesinde yayımlanır. 

Uygun Güvenceler:

Aşağıda sırasıyla değinilecek olan uygun güvence sağlama yolları kısaca şunlardır:

• Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
• Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler içeren ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.  
• Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcı tarafından teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren standart sözleşmenin varlığı.
• Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

a. Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma

Anlaşmada yer verilecek hükümler ile Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir.

Anlaşma, kişisel veri aktarımı tarafları arasında yapılır ve müzakere sürecinde Kurulun görüşüne başvurulur. Anlaşmada yer verilecek hükümler özellikle aşağıdaki hususları içermelidir:

• Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
• Temel kavramlara ilişkin tanımlar. 
• Kanunu’nun 4. maddesinde belirtilen ve kişisel verilen işlenmesine uygulanan genel ilkelere uyum sağlanacağına yönelik taahhüt.
• İlgili kişilerin aydınlatılmasına ilişkin usul ve esaslar.
• İlgili kişilerin Kanun’da belirtilen haklarının kullandırılmasına yönelik taahhüt, ilgili usul ve esaslar.
• Uygun veri güvenliği düzeyini temin etmek için her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
• Özel nitelikli kişisel verilerin aktarılması halinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt. 
• Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar. 
• Kişisel verilerin korunması hükümlerinin ihlali halinde ilgili kişinin başvurabileceği hak arama yöntemleri.
• Kişisel verilerin korunması hükümlerinin uygulanmasına ilişkin denetim mekanizması.
• Veri alıcısının kişisel verileri koruma hükümlerine uygunluk sağlayamaması halinde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme. 
• Anlaşmanın yürürlük süresinin sona ermesi veya feshedilmesi halinde, veri alıcısının verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt. 

Kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kişisel Verileri Koruma Kurulu’na anlaşma metninin nihai hali ve yapılacak değerlendirme için gerekli bilgiler sunularak izin başvurusunda bulunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır. 

b. Bağlayıcı Şirket Kuralları

Bir teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurul’a bağlayıcı şirket kuralları metni ve gerekli diğer bilgiler sunularak onay başvurusunda bulunulur. 

Yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenir ve bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi halinde Türkçe metin esas alınır. Veri aktarımına, Kurulun onayından sonra başlanabilir. Bağlayıcı şirket kurallarının onaylanması için Kurul aşağıdaki hususları dikkate alır:

• Teşebbüs grubu bünyesindeki ilgili her üye için bağlayıcı ve uygulanabilir olması. 
• İlgili kişi haklarının kullanılabileceğine dair taahhüttün bulunması.
• Kurulun ilaveten hususlar ekleme yetkisi olmakla beraber asgari olarak aşağıdaki hususları içermesi: 
• Teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri.
• Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülkeler gibi veri aktarımına ilişkin hususlar.
• Teşebbüs grubunun hem iç ilişkisinde hem de diğer hukuki işlerinde hukuken bağlayıcı olduğuna yönelik taahhüt. 
• Veri koruma önlemleri.
• Kurula şikayet hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ilişkin usul ve esaslar. 
• Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik veri sorumlusu ve/veya veri işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.   
• Bağlayıcı şirket kurallarına ilişkin hususlarda ilgili kişilere ne şekilde bilgi verileceğine dair açıklamalar. 
• Çalışanlara kişisel verilerin korunması konusunda verilecek eğitime ilişkin açıklamalar.
• Bağlayıcı şirket kurallarına uyumun takibinden sorumlu olan kişilerin veya birimlerin görevleri.
• Bağlayıcı şirket kurallarına uyumun ve teşebbüs grubu içinde denetlenmesi ve doğrulanmasına yönelik mekanizmalar ve bunların sonuçlarının hakim şirketin yönetim kuruluna ve talebi üzerine Kurula sunulacağına dair taahhüt.
• Kuralların değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin Kurula bildirilmesine ilişkin mekanizmalar.
• Kurallara uyumun sağlanması amacıyla Kurum ile iş birliği yükümlülüğü. 
• Aktarımın yapılacağı ülkede veya ülkelerde bağlayıcı şirket kurallarının sağladığı güvencelere herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması halinde durumu Kurul’a bildirmeye yönelik mekanizmalar. 
• Kişisel verilere sürekli veya düzenli olarak erişimi bulunan personele yönelik uygun veri koruma eğitimlerinin verileceğine dair taahhüt. 

c. Standart Sözleşme

Standart sözleşme Kurul tarafından belirlenerek ilan edilir. Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Sözleşmenin yabancı bir dilde de imzalanması halinde Türkçe metin esas alınır.

Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur. 

Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde Kurula bildirilir. Aktarım tarafları bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir; aksi takdirde, veri aktaran tarafından Kurula bildirilir. 

Standart sözleşmenin taraflarında veya içeriğinde bir değişiklik olması veya standart sözleşmenin sona ermesi halinde Kurula bildirim yapılır. 

d. Taahhütname

Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir: 

• Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
• Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar. 
• Kanunun 4. maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt.
• İlgili kişilerin taahhütname ve taahhütname kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar. 
• İlgili kişilerin Kanun’dan doğan haklarının kullandırılmasına yönelik taahhüt, ilgili usul ve esaslar.
• Uygun veri güvenliği düzeyini temin etmek için her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
• Özel nitelikli kişisel verilerin aktarılması halinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt. 
• Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar. 
• Taahhütnamenin ihlali halinde ilgili kişinin başvurabileceği hak arama yöntemleri.
• Veri alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek muhtemel bir mevzuat değişikliğini veri aktarana en kısa sürede bildireceğine dair taahhüt. Böyle bir durumda, veri aktaranın veri aktarımını askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına dair düzenleme. 
• Veri alıcısının taahhütnameye uygunluk sağlayamaması halinde veri aktaranın veri aktarımını askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme. 
• Taahhütnamenin yürürlük süresinin sona ermesi veya feshedilmesi halinde, veri alıcısının verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt. 
• Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık halinde Türk mahkemelerinin görevli ve yetkili olduğuna yönelik düzenleme ile veri alıcısının Türk mahkemelerinin yargı yetkisini tanımaya kabul ettiğine yönelik taahhüt.

Veri aktaran tarafından Kurul’a taahhütname metni ve yapılacak değerlendirme için gerekli bilgiler sunularak izin başvurusunda bulunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.

İstisnai Aktarım Halleri: 

Kişisel veriler, yeterlilik kararının bulunmaması veya uygun güvencelerden herhangi birinin sağlanmaması durumunda, arizi (düzensiz, tek veya birkaç sefer gerçekleşen) olmak kaydıyla ve istisnai aktarım hallerinden birinin varlığı halinde yurt dışına aktarılabilir. İstisnai aktarım halleri şunlardır: 

• İlgili kişinin açık rıza vermesi; 
• Aktarımın, ilgili kişiyle veri sorumlusu arasındaki bir sözleşme veya sözleşme öncesi tedbirlerin uygulanması için zorunlu olması; 
• Aktarımın, ilgili kişi yararına, veri sorumlusu ve diğer bir gerçek/tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.  
• Aktarımın üstün bir kamu yararı için zorunlu olması.
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. 
• Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. 
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, sicile erişmek için gereken şartların sağlanması ve bu kişilerin talebi doğrultusunda aktarım yapılması. Bu halde, verilerin aktarımı aşağıdaki şartlara uyar: 
• Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içeremez.
• Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.