Site Search Site Search

Menu

Medya

Sonuçlar yükleniyor

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik Yürürlüğe Girdi

  • 4 dakikalık okuma
  • 17 Temmuz 2024
Yapay Zeka

12 Mart 2024’te yayımlanan 8.Yargı Paketi kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”, “KVKK”) birçok değişiklik öngörülmüştür. KVKK’nın “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi değiştirilerek, kişisel verilerin yurt dışına aktarılması bakımından açık rıza merkezli yaklaşım bırakılmış ve yurtdışı aktarımı için yeni koşullar ve güvenceler getirilmiştir. KVKK m. 9’un uygulanmasına ilişkin usul ve esasların ise bir yönetmelikle düzenleneceği ifade edilmiştir.

Bu kapsamda ‘Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’ (“Yönetmelik”) 10 Temmuz 2024 tarihli 32598 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe girmiştir.

Yurt Dışına Veri Aktarıma İlişkin Usul ve Esaslar

1. Yeterlilik Kararları

Yönetmelik’in 6. maddesinin 1.fıkrası uyarınca, yurt dışına veri aktarımı yapılabilmesi için aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması ön koşul olarak belirlenmiştir. Yeterlilik kararı Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına ilişkin Kurul tarafından verilen karardır.

Belirtilmelidir ki verilecek yeterlilik kararları Kurul tarafından dört yılda bir yeniden değerlendirilecektir. Yeniden değerlendirmeye ilişkin dönemler, Kurul tarafından verilen ilgili yeterlilik kararında belirtilirken, yeniden değerleme yapmak için kararda belirtilen sürelere bağlı olmaksızın inceleme yapılabilecektir. Yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığının tespit edilmesi hâlinde, Kurul yeterlilik kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecektir.

2. Veri Aktarımı için Uygun Güvencelerin Tesis Edilmesi

Yeterlilik kararı bulunmaması halinde yurt dışına veri aktarımı yapılacak ülke, uluslararası kuruluş veya ülke içerisinde sektörler hakkında yeterlilik kararı bulunmaması halinde Yönetmelik’in 10. maddesinde düzenlenen uygun güvencelerden birinin veri aktarımının tarafları arasında tesis edilmesi gerekmektedir. Bu kapsamda Yönetmelik uyarınca uygun güvenceler:

  • Uluslararası sözleşme niteliğinde olmayan sözleşmeler (yurt dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan) 
  • Bağlayıcı şirket kuralları (BCR),
  • Standart sözleşme hükümleri (SCC),
  • Taahhütname,

olarak düzenlenmiştir.

Yukarıda sayılan uygun güvence sağlama yolları, güvencelerin tesis edilmesine yönelik usul ve esaslar ise Yönetmelik’in 11 ila 15. hükümlerinde ayrıntılı olarak düzenlenmiştir. 

Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması

Yönetmelik’in 11.maddesi uyarınca uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması halinde, anlaşma kişisel veri aktarımını gerçekleştirecek taraflarca imzalanacaktır. Taraflarca anlaşmanın müzakere edilmesi sürecinde Kurulun görüşüne başvurulacaktır. Bununla birlikte anlaşmanın yapılmasının ardından, kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulacak ve başvuru kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak değerlendirme için gerekli sair bilgi ve belgeler Kurula sunulacaktır. Bu bağlamda taraflar arasında kişisel veri aktarımına Kurul tarafından verilen iznin ardından başlanacaktır.

Bağlayıcı şirket kuralları

  • Yönetmelik’in 12. Maddesi uyarınca bağlayıcı şirket kuralları imzalanarak uygun güvencenin sağlanması halinde kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulması gerekmektedir.

Standart sözleşmeler

  • Yönetmelik’in 14.maddesi uyarınca standart sözleşmeyle uygun güvencenin sağlanması halinde, Kurul tarafından belirlenen Standart sözleşme aracılığıyla veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eder. Standart sözleşme metninin üzerinde herhangi bir değişiklik yapılmayacak ve Kurul tarafından belirlenen haliyle uygulanacaktır. Taraflarca imza sürecinin tamamlanmasının ardından beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilecektir.

Taahhütnameler

  • Yönetmelik’in 15.maddesi uyarınca taahhütnameyle uygun güvencenin sağlanması halinde, aktarım yapan taraflarca yazılı bir taahhütname imzalanır. İlgili taahhütnamede kişisel verilerin korunmasın yönelik hükümler bulunmalıdır. Bulunması gereken hükümler maddenin 2.fıkrasında sayılmaktadır. Ayrıca taahhütname aracılığıyla kişisel verilerin yurt dışına aktarılması halinde, veri aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulacaktır. Aktarım Kurul’un izin vermesinin ardından başlayacaktır. 

3. İstisnai Haller

Yönetmelik’in 6. maddesinin 2.fıkrası uyarınca, yeterlilik kararı ve yukarıda sayılan uygun güvencelerden birinin bulunmaması halinde, arızi durumlarda Yönetmelik’in 16.maddesinde düzenlenen istisnai hallerden birinin varlığı halinde de yurt dışına kişisel veri aktarımı yapılacaktır. Sadece arızi durumlarda başvurulabilecek istisnai aktarım hâlleri şunlardır:

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Belirtmek gerekir ki, Yönetmelik’in 7. maddesi uyarınca kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket etmek zorundadır. Ayrıca kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanun’da ve bu Yönetmelik’te öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Bu nedenle veri sorumlusu veri işleyen tarafından teknik ve idari tedbirlerin alınmasını sağlamakla yükümlü olacaktır. 

Son olarak, Yönetmelik’in 17.maddesi uyarınca, Yönetmeliğin uygulanması sırasında ortaya çıkabilecek tereddütleri gidermeye ve Yönetmelikte yer almayan konularla ilgili yasal düzenlemeler çerçevesinde karar vermeye Kurul yetkili olacaktır. 

4. Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar

Değişiklik kapsamında, “standart sözleşmeler” ve “bağlayıcı şirket kuralları” kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği birer uygun güvence sağlama yöntemi olarak öngörülmüştür. Bu çerçevede 10 Temmuz 2024 tarihinde ayrıca, veri aktarımında bulunan tarafların kullanımına sunulmak üzere Kişisel Verilerin Korunması Kurumu tarafından ‘Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu’ paylaşmıştır. 

İlgili metne bu link üzerinden ulaşabilirsiniz.

İzleme ve Destek
Bizi takip edin:
Anasayfa Kişisel Verilerin Korunması Harici Hizmet Sağlayıcılar Yasal Uyarı Çerezler Hakkında Site Sahibi
Hakkımızda Ekibimiz İletişim Kariyer Bize Ulaşın
Hizmetlerimiz
Şirketler ve Ticaret Hukuku Birleşme & Devralmalar İş Hukuku Kişisel Verilerin Korunması Hukuku Diğer Hizmetlerimiz
Vergi ve Gümrük Uyuşmazlıkları Finans Hukuku Aile Şirketleri Yapılandırmalar
Sektör uzmanlıklarımız Bankacılık ve Sermaye Piyasaları Enerji ve Madencilik Gayrimenkul ve İnşaat Otomotiv Perakende ve Tüketici Ürünleri Sigortacılık Taşımacılık ve Lojistik
Medya

© 2025 PwC. Gago Türkmen Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu sitede “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gago Türkmen Avukatlık Ortaklığı’nı ifade etmektedir.