Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağına Dair Kamuoyu Duyurusu

09.05.2024 tarihinde Kişisel Verileri Koruma Kurumu (Kurum), Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı’nı (Taslak) yayımlayarak kamuoyunun görüş ve değerlendirmelerine açtı. Bu kapsamda, Taslak’a ilişkin görüş ve öneriler, 20.05.2024 tarihine kadar Kurum ile paylaşılabilir. 

Taslak’ta 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6998 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) kişisel verilerin yurt dışına aktarılması hükmüne getirilen yeniliklere ilişkin usul ve esaslar yer alır. Buna göre kişisel veriler, (i) aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, (ii) yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması, ve (iii) yeterlilik kararının bulunmaması ve uygun güvencelerden birinin taraflarca sağlanamaması durumunda ise Taslak m. 16’da belirtilen istisnai hâllerden birinin varlığı halinde yurt dışına aktarılabilir. 

Taslak Üçüncü Bölüm, yeterlilik kararına dayalı aktarımlara ilişkin detaylı açıklamalara yer verir. Buna göre Kurul; kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilir.

Taslak Dördüncü Bölüm ise, uygun güvencelere dayalı aktarımlara ilişkin detaylı açıklamalar içerir. Yurt dışına aktarım için öngörülen uygun güvenceler; (i) Uluslararası sözleşme niteliğinde olmayan anlaşmalar, (ii) Bağlayıcı şirket kuralları, (iii) Standart sözleşme ve (iv) Taahhütname olarak özetlenebilir. 

Mevcut KVKK’da yer almayan ve en dikkat çekici yeniliklerin başında gelen standart sözleşmelere ilişkin Taslak’ta yer alan önemli hususlar aşağıdaki gibidir: 

• Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ve özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren standart sözleşme, Kurul tarafından belirlenerek ilan edilir. Standart sözleşme Kurul tarafından henüz ilan edilmemiştir.
• Standart sözleşmenin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. 
• Ayrıca standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması; Kurum’a beş iş günü içerisinde bildirilmesi ve yapılacak bildirime standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesi zorunludur. 

Son olarak Taslak Beşinci Bölüm, istisnai aktarım hallerini öngörür. Kişisel veriler, diğer koşullardan herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir. İstisnai aktarım hallerinin başında ilgili kişinin açık rızası gelmektedir.