Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayımlandı

Kişisel Verileri Koruma Kurumu (Kurum) tarafından hazırlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (Rehber), 2 Ocak 2025 tarihinde yayımlandı. Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) Kişisel Verilerin Yurt Dışına Aktarılması başlıklı 9. maddesinde yapılan kapsamlı değişikliklerin uygulama esaslarını ve uyulması gereken prosedürleri detaylandırmakta ve veri sorumlusu ve veri işleyen taraflara yol göstermektedir.

Rehber; tanımlar, kişisel verilerin yurt dışına aktarılma yöntemleri, yeterlilik kararına dayalı aktarımlar, uygun güvencelere dayalı aktarımlar ve istisnai aktarımlar gibi başlıkları içermekte ve her bir başlık altında ilgili yurt dışına aktarım mekanizmasının ne şekilde uygulanacağı detaylı şekilde açıklanmaktadır.

Rehberde yurt dışına veri aktarım süreçlerinde sıkça karşılaşılan durumlara ilişkin somut örneklere de yer verilmiştir. Öne çıkan örneklerin bazıları aşağıda kısaca özetlenmektedir: 

• Türkiye’de yerleşik grup şirketinin yurtdışında yerleşik ana şirket tarafından sağlanan merkezi bir insan kaynakları sistemine çalışan bilgilerini yüklemesi durumunda; ana şirket veri işleyen sıfatını taşır. Bu durumda, Kanun uyarınca yurt dışına aktarım hükümleri uygulama alanı bulacak ve taraflar arasında standart sözleşmeler ya da bağlayıcı şirket kuralları gibi uygun güvencelere başvurulması gerekecektir.  
• Türkiye’de yerleşik ilgili kişinin çevrimiçi bir seyahat acentesi aracılığıyla yurt dışındaki bir otelde rezervasyon yapması durumunda, kişisel verilerin Türkiye’deki seyahat acentesi tarafından toplanması ve otel ile paylaşılması Kanun kapsamında yurt dışı aktarımı olarak değerlendirilmiş ve uygun güvencelerin sağlanması gerektiğine işaret edilmiştir. 
• Buna karşılık, Türkiye’de yaşayan bir tüketicinin, yurt dışında yerleşik ve Türkiye pazarını hedefleyen bir internet sitesi üzerinden satın aldığı bir ürünün Türkiye’deki yerleşim adresine teslimi amacıyla internet sitesi üzerinden adını, soyadını ve adresini paylaşması ise kişisel veri aktarımı olarak değerlendirilmemiştir. Bir başka deyişle, veri sahipleri tarafından doğrudan yurt dışında yerleşik üçüncü ülke şirketleriyle kişisel veri paylaşımı yapılması Kanun m. 9’un uygulanmasını gerektirmeyecektir. Ancak elbette veri işleme faaliyeti Kanun’a uygun şekilde yürütülmelidir. 
• Bir diğer örnek ise uygulamada sıkça karşılaşılan alt veri işleyenlerle çalışılması halidir. Rehber uyarınca, Türkiye’deki bir veri işleyenin yurt dışında yerleşik alt veri işleyene (örneğin, bulut hizmeti sağlayıcıları) veri aktarması durumunda da Kanun kapsamında yurt dışına aktarım hükümleri uygulama alanı bulacaktır. Dolayısıyla, standart sözleşme, bağlayıcı şirket kuralları veya taahhütname gibi uygun güvencelere başvurulması gereği doğacaktır. 
• Rehberde arızi aktarımlar da oldukça detaylı ve somut örneklerle açıklanmıştır. Örneğin, bir Türk şirketinin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, tek veya birkaç sefer gerçekleşmesi, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi olarak kabul edilmiştir.  

Rehber, uygulamada mevcut soru işaretlerine ışık tutmakla birlikte Kanun’un uygulanmasından elde edilen pratik deneyimlere dayanarak gözden geçirilecek ve gerekirse güncellenecektir. Rehberin kişisel verilerin yurt dışına aktarılması yönünde Kurum tarafından yapılan çalışmalar ve faaliyetlerle birlikte ele alınması gerektiği belirtilmektedir.