Daha önce 13.03.2024 tarihli bültenimizde detaylı şekilde açıklanmış olduğu üzere, 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 34. Maddesiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesinde değişiklik yapılmıştır. Söz konusu değişiklik 01/06/2024 tarihinde yürürlüğe girecektir. 6698 sayılı Kanunun 9. maddesinin yeni halinin 11. Fıkrasında, bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurum tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” (“Yönetmelik Taslağı”) hazırlanmıştır. Yayımlanan işbu taslak kapsamında kişisel verilerin yurt dışına aktarılmasını düzenleyen 9. maddenin uygulanmasına ilişkin usul esaslar aşağıda bilgilerinize sunulmuştur.
Yönetmelik Taslağının 6. maddesinde kişisel verilerin, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve işbu Yönetmelik Taslağının 6. maddesinde belirtilen aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, yeterlilik kararının bulunmaması durumunda ise ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması, yeterlilik kararının bulunmaması ve 10. maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda ise 16. maddede belirtilen istisnai hâllerden birinin varlığı hallerinde de veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği, kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabileceği düzenlenmiştir.
Yönetmelik Taslağının 8. maddesinde yeterlilik kararının verilmesinde öncelikle dikkate alınacak hususlar sıralanmıştır. Buna göre öncelikle dikkate alınacak hususlar şunlardır:
Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
Ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar.
Ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
Ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
Ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Madde 10 kapsamında; yeterlilik kararının bulunmaması durumunda kişisel veriler, Kanunun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabileceği düzenlenmiştir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Madde 11 kapsamında; yurt dışına kişisel veri aktarım mekanizmalarından olan uluslararası sözleşme niteliğinde olmayan bir anlaşmayla uygun güvencenin sağlanmasına ilişkin detaylar açıklanmıştır. Buna göre söz konusu anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilecektir. Anlaşma yoluyla uygun güvence sağlanması için Kişisel Verileri Koruma Kurulu’na izin başvurusunda bulunulacağı ve aktarıma Kurul’un izni ile başlanacağı düzenlenmiştir. Madde 12 ve 13 kapsamında; bağlayıcı şirket kuralları için “ortak ekonomik faaliyette bulunan teşebbüs grubu” ifadesi tercih edilmiştir. Ayrıca, bağlayıcı şirket kuralları içerisinde sunulacak yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesi talep edilmiştir. Hem yabancı dilde hem Türkçe olarak hazırlanacak bağlayıcı şirket kurallarında ise Türkçe olanın esas alınacağı belirtilmiştir. Madde 14 kapsamında, standart sözleşmenin fiziki, KEP adresi veya Kurul tarafından belirlenecek yöntemlerle Kurum’a gönderilmesi öngörülmüştür. Ayrıca, standart sözleşmeyi Kurum’a bildirecek tarafın sözleşme serbestisi çerçevesinde belirlenebileceği ancak herhangi bir belirlenme hali yoksa veri aktaran tarafından gönderilmesi gerektiği belirtilmiştir. Uygun güvencelere ilişkin son olarak, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumaya dair yazılı taahhüdünün varlığı hususu da 15. maddede yer almaktadır. Yönetmelik Taslağı kapsamında düzenlenen hükümlerde yer almayan ve ya tereddüt oluşturacak hususlarda Kurul’un karar merci olduğu belirtilmiş olup, anılan hükümlerin yönetmeliğin yayım tarihinde yürürlüğe gireceği düzenlenmiştir.
Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde yukarıda izah edilen Yönetmelik Taslağı kapsamında örnek olarak hazırlanmış olan “Standart Sözleşme ve Bağlayıcı Şirket Kurallarına İlişkin Taslak Dokümanlar Hakkında Kamuoyu Duyurusu” 17.05.2024 tarihinde paylaşılmıştır.
Bu kapsamda; Standart Sözleşme ve Bağlayıcı Şirket Kurallarına ilişkin taslak dokümanların kamuoyunun görüşüne açılmıştır. Kurum tarafından kişisel verilerin veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri sorumlusuna ve veri işleyenden veri işleyene yapılacak aktarımlarda kullanılmak üzere tüm maddeleriyle matbu halde toplam dört adet standart sözleşme taslağı yayınlanmıştır. Standart sözleşmelere ilişkin dokümanlarda özellikle tarafların hak ve yükümlülüklerinin düzenlenmiş olduğu maddede kişisel verilerin korunmasına yönelik güvencelerin, bilgilerin doğruluğunun ve sınırlı süre ile saklanacağının, tarafların bilgilendirme yükümlülüklerinin, veri güvenliği ilkelerinin, özel nitelikli kişisel verilere ilişkin yükümlülüklerin, başkaca üçüncü kişilere gerçekleştirilecek sonraki aktarımların düzenlendiği görülmektedir.
Ayrıca Taslak Standart Sözleşmede ilgili kişinin haklarına da yer verilmiş, hak arama yöntemlerine ilişkin ayrı bir madde düzenlenmiş, tarafların sözleşmeden doğan sorumlulukları düzenlenmiştir. Sözleşmenin imzalandıktan sonra 5 iş günü içerisinde Kurum’a bildirilmesi gerektiğine ilişkin madde de ayrıca sözleşmede yer almıştır. Yönetmelik Taslağı’nın 14. maddesi uyarınca Kurum tarafından yayımlanmış olan bu standart sözleşmelerin kullanılması zorunlu olup standart sözleşmede değişiklik yapılamayacağı da düzenlenmiştir.
Kurum’un yayımlamış olduğu 4 adet standart sözleşmenin genel itibari ile birbirleri ile aynı minvalde düzenlenmiş olduğu görülmektedir. Bağlayıcı Şirket Kurallarında bulunması gereken hususlar ise Yönetmelik Taslağı’nın 13. maddesinde yer almakta olup Kurum tarafından 13. madde ile zorunlu tutulan bilgileri de içeren bir Bağlayıcı Şirket Kuralları Taslağı oluşturulmuştur. 13. maddede ve dolayısıyla Taslak metinde yer alan bilgi ve hususlar asgari nitelikte olup bu hususlar haricinde de bu kurallar ile çelişmemek üzere sözleşme taraflarınca ek kurallar belirlenebilmesi mümkündür. Kurum ayrıca bu Bağlayıcı Şirket Kurallarının nasıl oluşturulabileceğine ilişkin bir kılavuz da hazırlamıştır.
Yönetmelik Taslağı henüz nihai haline getirilmemiş olmakla birlikte, hem Yönetmelik’in hem de Standart Sözleşmeler ile Bağlayıcı Şirket Kurallarına ilişkin metinlerin son hali Yönetmelik Taslağı ve Taslak Dokümanlar için yapılan yorumlar neticesinde tekrar şekillenecektir. Mevcut durumda var olan yönetmelik taslağına buradan, Taslak Dokümanlar Hakkında Kamuoyu Duyurusuna ise buradan ulaşabilirsiniz.
Comments