KVKK Kişisel Verilerin Yurtdışına Aktarılması Hakkında Yeni Yönetmelik Taslağı

Okuma Süresi: 3 Dakika

KVKK Kişisel Verilerin Yurtdışına Aktarılması Hakkında Yeni Yönetmelik Taslağı

12 Mart 2024’te KVKK’nın 9. Maddesinde “kişisel verilerin yurtdışına aktarılması”na ilişkin değişiklikler yapılmıştı. Buna göre Yurtdışına kişisel veri aktarımı ise yine KVKK m.5 ve 6’daki şartların varlığı halinde ve verilerin aktarıldığı yer açısından “yeterlilik” kararının bulunması halinde mümkün olacaktır. Yeterlilik kararları KVKK tarafından verilecektir. Konu hakkında ayrıntılı yazımıza bağlantıdan ulaşabilirsiniz.

Geçtiğimiz günlerde ise KVKK, ilgili değişikliğe bağlı Yönetmelik taslağı yayınladı.  Yönetmelik Taslağı’ndaki dikkat çeken esaslar şu şekilde:

KVKK Yönetmelik Değişiklikleri

  • Veri işleyenlerin yurtdışına veri aktarması için, veri sorumlusunun talimatlarına uyması gerekecek.
  • Veri sorumluları ve veri işleyenler tarafından verilerin aktarılması için;
    1. Veri aktarılan ülke, ülke içerisinde sektör veya kuruluşlar hakkında yeterlilik kararının bulunması.
    2. Yeterlilik kararının bulunmaması durumunda ülkedede haklara başvuru yönteminin ve kanun yollarına başvuru imkanının bulunması koşuluyla değişikliğin 10. Maddesindeki şu şartlardan birisinin bulunması:
      1. Veri aktarılacak taraf ile Ülkemizdeki taraf arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve buna KVKK’ca izin verilmiş olması.
      2. Bağlayıcı şirket kurallarının olması.
  • KVKK tarafından aranan veri işleme amacı, veri kategorileri vb. bilgileri ihtiva eden standart sözleşmenin varlığı.
  1. Yeterli korumanın sağlandığı sözleşmenin yer aldığı bir taahhütname ve Kurul’un izin vermesi.
  1. Yeterlilik kararının ve 10. Maddedeki hükümlerin bulunmaması durumunda ise 16. Maddede sayılan hallerden birisinin varlığı:
    1. İlgili kişinin muhtemel riskleri barındıracak şekilde açık rıza vermesi.
    2. Aktarımın ilgili kişi ile veri sorumlusu veya veri işleyen arasındaki sözleşme ifası veya sözleşme öncesi yükümlülükler için veya sözleşme kurulması öncesi önlemler için zorunlu olması.
  • Aktarımın üstün kamu yararı için zorunlu olması.
  1. Bir hakkın tesisi, kurulması veya kullanılması için zorunlu olması.
  2. Fiili imkansızlık nedeniyle rıza açıklayamayacak olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendi veya başkasının hayatının veya vücut bütünlüğü için zorunlu olması.
  3. Kamuya veya ilgili kişilere açık olan sicilden meşru menfaati olan kişilere doğru aktarım yapılması.

Özellikle (f) bendi, hastane, ileti yönetim sistemi veya açık kaynak kodlarına ilişkin sicillerin aktarımı konusunda bir soru işareti uyandırmaktadır. Bu anlamda bir sonraki fıkra olan 3. Fıkrada bu aktarımların çeşitli kategorilerdeki bu aktarımların tamamına uygulanmayacağı ve taleple olabileceği zorunlu hale gelmiştir.

Herhangi bir kişisel veri, Ülkemizin kamu menfaatinin tehlike gördüğü durumlarda ise hiçbir şekilde Kurul izni olmadan yurtdışına aktarılamayacaktır.

Veri İşleyenin Sorumlulukları

Veri işleyenler hakkında yönetmelik taslağında ağır yükümlülükler eklenmiştir. Zira veri işleyenler, her halükarda veri sorumlularının haklarını ve veri güvenliğine ilişkin yükümlülükleri almak zoruna olacaktır. Bu yükümlülükler de Veri Sorumlusunun yükümlülüklerini ortadan kaldırmayacaktır. Yani Veri Sorumlusu, veri işleyenin bu yükümlülükleri almasını, teknik, hukuki ve idari şekilde sağlamak zorunda kalacaktır.

Yeterlilik Kararı Nasıl Belirlenecek?

Yönetmelik taslağı 8. Maddede yeterlilik kararı alınırken dikkat edilecekler sayılmıştır. Kısaca;

  • Karşılıklılık durumu,
  • Aktarılacak yerin hukuki durumu,
  • Uluslararası antlaşma ve kuruluşlara üye olma durumu,
  • Türkiye’nin taraf olduğu UA sözleşmeler.

Yeterlilik kararı KVKK tarafından en az 4 yılda 1 gözden geçirilecektir. Kurul yeterlilik kararını durdurabilir, kaldırabilir veya askıya alabilir.

Veri Sorumlusu ile Yapılacak Sözleşmedeki Unsurlar

Veri sorumlusu ile verilerin aktarılacağı ülke, kuruluş veya kurum arasındaki UA niteliğinde olmayan sözleşme aşağıdaki unsurları içermek zorundadır:

  • Kişisel verilerin aktarım amacı, yöntemi, sebebi, niteliği, çerçevesi.
  • Tanımlar.
  • KVKK’nın 4. Maddesine yönelik hususlar.
  • Aydınlatmaya ilişkin hususlar.
  • Veri güvenliği taahhüdü.
  • Sonraki aktarıma yönelik kısıtlamalar.
  • Yükümlülüklerin ihlali halinde başvurulabilecek hukuki yollar ve denetim mekanizmaları.
  • Anlaşmayı sonlandırma veya feshetme hakkı.
  • Yedekleri yok etme veya geri gönderme taahhüdü.

Tüm bunların yanında Yönetmelik’te bağlayıcı şirket kuralları esasları, standart sözleşme esasları, aktarım tarafları arasındaki taahhütname içeriği kuralları de düzenlenmiştir.

Sonuç ve Değerlendirme

KVKK’nın ilk çıkmasından itibaren kişisel verilerin yurtdışına aktarımı, çoğu şirket, internet sitesi, start-up için sorun olmuştu. Zira günümüzde Dünyanın bir köy haline geldiğini hesaba katarsa, kişisel verilerin yurtdışına aktarımı konusunda belli kolaylıkların uygulanması gerektiği aşikar. Bunun yanında hem kişilerin hem devletlerin güvenlik sorunu ve gerekçesi de aynı zamanda bir o kadar kişisel verilerin Ülke içinde kalmasını gerekli kılıyor. İşte bu ikisi arasında ince çizgiyi korumayı amaçlayan yeni Yönetmelik taslağı, bunu belli oranda sağlamış gözüküyor. Zira KVKK’nın izin vermediği durumda açık rıza alınması, açık rıza alınamadığı veya imkan olmadığı durumda KVKK’nın izin vermesi oldukça işlevsel bir seçenek.

Tabi ki özellikle yapay zeka alanında çalışan veya yurtdışı serverları kullanan start-uplar ve şirketler için çok önemli bu mevzuata, herkesin dikkatle takip etmesi ve uyması şart. Bunlara uyulmaması halinde TCK uyarına suç maddelerinin uygulanabileceği gibi, KVKK uyarınca 1.000.000 TL’den fazla idari para cezaları ile de karşılaşılacaktır.

Yine veri sorumluları ve veri işleyenlerin de aynı anda sorumlu olması da uygulamadaki çoğu sorunu gidermiş durumda.

Yönetmelik taslağı ve gerekçesine bağlantıdan ulaşabilirsiniz.

Yazarın “8. Yargı Paketi KVKK Değişiklikleri” isimli yazısını bağlantıdan okuyabilirsiniz.

Av. Ali ERŞİN(LL.M.)’nin Yeni Sayı’mızda çıkan “Metaverse Dünyası Çalışma Sistemi” isimli yazısını bağlantıdan okuyabilirsiniz.