ANALİZ&GELİŞMELER

Kişisel verilerin yurt dişina aktarilmasi rehberi yayimlandi

ANALİZ&GELİŞMELER

ana hizmet

12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 34. maddesi uyarınca, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9. maddesinde çeşitli değişiklikler yapılmıştı1. Kanun değişikliğinin akabinde “Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) 10.07.2024 tarihinde Resmi Gazete’de yayımlanmıştı2. Bu kapsamda Kişisel Verileri Koruma Kurumu (“Kurum”), kişisel verilerin yurt dışına aktarılması açısından, 2024 yılının Eylül ayından bu yana yürürlükte olan bu değişikliklere ilişkin oluşan soru işaretlerini gidermek, veri sorumluları ve veri işleyenlere yol göstermek amacıyla, 02.01.2025 tarihinde Kişisel Verilerin Yurtdışına Aktarılması Rehberi’ni (“Rehber”) yayımlamıştır. Rehber’de esas olarak kişisel verilerin yurt dışına aktarımının tanımı ve kapsamına ilişkin açıklamalara ve kişisel verilerin yurt dışına aktarılma yöntemlerine ilişkin detaylandırmalara, somut örnekler aracılığıyla  yer verilmiştir. 

Kişisel Verilerin Yurtdışına Aktarılması Tanımı ve Kapsamı   

Kişisel verilerin yurt dışına aktarılması faaliyeti, Kanun’da açıkça tanımlanmamış olsa da Yönetmelik’te “kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hale getirilmesi” olarak ifade edilmektedir. Bu tanım çerçevesinde, Rehber, kişisel verilerin yurtdışına aktarılması faaliyetini üç kritere ayırarak değerlendirmektedir. Bu kapsamda kişisel verilerin yurt dışına aktarılmasından söz edebilmek için; (i) veri sorumlusunun ya da veri işleyenin söz konusu kişisel veri işleme faaliyeti için Kanun’a tabi olması, (ii) veri aktaran tarafından işlenen kişisel verilerin iletilmesi veya başka bir suretle erişilebilir hale getirilmesi ve (iii) veri aktarılan veri sorumlusunun ya da veri işleyenin üçüncü bir ülkede bulunması gerekmektedir.  

Nitekim bu üç kriterden herhangi birinin sağlanmadığı durumda kişisel verilerin yurt dışına aktarılmasından söz edilemeyecektir. Rehber’de, belirtilen kriterlere ilişkin olarak, kişisel verilerin yurtdışına aktarılmasına dair çeşitli örneklere yer verilmiştir:  

 

1.  Üçüncü ülkedeki veri sorumlusunun Türkiye’deki ilgili kişiden doğrudan kişisel veri elde etmesi  Hayır  
2.  Üçüncü ülkedeki veri sorumlusunun doğrudan Türkiye’deki ilgili kişiden kişisel veri elde etmesi ve bazı işleme faaliyetlerinin Türkiye dışındaki bir veri işleyen tarafından gerçekleştirilmesi  Evet  
3.  Türkiye’deki bir platform tarafından toplanan ve daha sonra üçüncü ülke veri sorumlusuna aktarılan veriler  Evet 
4.  Türkiye’deki bir veri sorumlusunun verileri üçüncü ülkedeki veri işleyene iletmesi  Evet 
5.  Türkiye’deki veri işleyenin verileri üçüncü ülkedeki veri sorumlusuna geri göndermesi  Evet  
6.  Türkiye’deki veri işleyenin üçüncü ülkedeki alt veri işleyene veri iletmesi  Evet 
7.  Türkiye’deki alt kuruluş olan veri sorumlusunun üçüncü ülkedeki ana şirket ile (veri işleyen) kişisel veri paylaşması  Evet  

 

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yöntemler 

Kanun’un 9’uncu maddesinin değiştirilmesi ile birlikte kişisel verilerin yurtdışına aktarılmasına ilişkin kullanılacak yöntemlerde üç basamaklı bir yapı oluşturmuştur. Rehber’de bu yöntemlere ilişkin açıklamalar yapılmış ve bu yöntemlerin uygulanmasına ilişkin yerine getirilecek prosedürler örneklerle detaylandırılmıştır: 

a) Yeterlilik kararının bulunması  

Kişisel verilerin yurt dışına aktarılabilmesi için öngörülen ilk yöntem, Kanun’un 5 ve 6. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı ve yeterlilik kararının mevcut olmasıdır. Yeterlilik kararı, kişisel verilerin aktarılacağı üçüncü ülke, sektör veya uluslararası kuruluş nezdindeki veri koruma seviyesinin yeterli olup olmadığına ilişkin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen bir karardır. Rehber’de, Kurul’un yeterlilik kararı verirken nazara alacağı kriterler belirtilmiştir: 

  • Kişisel verilerin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, 
  • İlgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulanması, 
  • İlgili ülkede bağımsız veri koruma otoritesinin bulunup bulunmadığı, 
  • İlgili ülkenin kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ve uluslararası kuruluşlara üye olma durumu,  
  • İlgili ülkenin Türkiye’nin üye olduğu küresel ve bölgesel örgütlere üye olma durumu, 
  • İlgili ülke ile yürütülen ticaret hacmi  

b) Uygun güvencelerden birinin bulunması 

Yeterlilik kararının bulunmaması halinde, Kanun’un 5 inci ve 6’ncı maddelerinde belirtilen şartlardan birinin mevcut olması ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin sağlanması ile kişisel verilerin yurt dışına aktarılması mümkündür. Uygulamada yeknesaklığı sağlamak ve oluşabilecek soru işaretlerini gidermek adına, Rehber’de, bu güvencelere ilişkin olarak muhtelif yönlendirmelere yer verilmiştir. 

  • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma ile Aktarım  

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak sağlanabilecek uygun güvencelerden biri yurt dışındaki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından bu hususta aktarıma izin verilmesidir. Uluslararası sözleşme niteliğinde olmayan anlaşmalar; iş birliği protokolü, mutabakat zaptı veya idari anlaşma şeklinde olabilmektedir. Rehber’de buna örnek olarak; Türkiye İlaç ve Tıbbi Cihaz Kurumu ile Avrupa Komisyonu arasında akdedilen idari anlaşma gösterilmiştir. 

  • Bağlayıcı Şirket Kurallarına Dayalı Aktarım  

Uygun güvencelerden bir diğeri ise bağlayıcı şirket kurallarıdır (“BŞK”). BŞK, ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde yer alan Türkiye’de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından grup üyeleri tarafından uyulması gereken kişisel veri koruma kurallarını ifade etmektedir. Çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından, uygulama pratiğini sağlamak adına önem arz eden bu kurallar, Kurul’un onayına tabidir. Bu kapsamda 10.07.2024 tarihinde Kurum’un internet sitesinde veri sorumluları ve veri işleyenler için BŞK başvuru formları ve yardımcı kılavuzları yayımlanmıştır. 

Rehber’de de temel olarak BŞK’da bulunması gereken asgari unsurlar tekrar edilmiş ve Kurul’a yapılacak onay başvurusunda izlenmesi gereken prosedür açıklanmıştır. Ayrıca Rehber’de hem veri sorumlusu hem de veri işleyen BŞK için onay başvurusu yapılması halinde, her bir başvuru için ayrı bir form doldurulması gerektiği ifade edilmiştir.  

  • Standart Sözleşme ile Aktarım  

Kişisel veri aktarımının bir diğer yöntemi olarak standart sözleşmeler, kişisel verileri aktaran veri sorumlusu veya veri işleyen ile kişisel verilerin aktarıldığı veri sorumlusu veya veri işleyen arasında kişisel verilerin yurt dışına aktarımına ilişkin uygun güvencelerin sağlandığını taahhüt eden ve içeriği Kurul tarafından belirlenen model sözleşmelerdir. Aktarım taraflarının, kişisel veri aktarımı bağlamında uygun standart sözleşme tipini belirledikten sonra yalnızca seçimlik veya alternatif içerikli standart sözleşme maddeleri üzerinde değişiklik yapabilmeleri mümkündür. Standart sözleşme aracılığıyla kişisel verilerin yurt dışına aktarılabilmesi için herhangi bir onay alınması söz konusu olmamakla birlikte, ilgili standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde Kurum’a bildirilmesi gerekmektedir.  

Rehber’de standart sözleşmelerin Türkçe – yabancı dil olacak şekilde çift sütunlu olarak düzenlenebileceği ancak bu şekilde düzenlenmesi halinde Türkçe metnin esas alınacağını belirtilmiştir. Ayrıca standart sözleşmeye konu kişisel veri aktarımına ilişkin detayların yer aldığı sözleşme eklerinin nasıl doldurulması gerektiği Rehber’de açıklanmıştır. 

  • Taahhütname ile Aktarım  

Uygun güvencelerden sonuncusu yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığıdır. Taahhütname mekanizması, veri aktaran tarafından Kurul’a başvuruda bulunulması, Kurul’un da ilgili taahhütname kapsamında söz konusu aktarıma izin vermesi sonucunda işlemeye başlar. Nitekim Rehber’de, aktarıma ilişkin taahhütname Kurul’un değerlendirme sürecindeyken, tarafların kendiliğinden veri aktarımına başlayamayacağı vurgulanmıştır.  

c) İstisnai aktarım hallerinden birinin bulunması   

Yukarıda belirtilen yeterlilik kararı ve uygun güvencelerden birinin sağlanmaması halinde, arızi olmak kaydıyla, tek veya birkaç sefer ve süreklilik taşımayacak şekilde yurtdışına veri aktarılabilmesi mümkündür. İstisnai aktarımın söz konusu olabileceği haller Kanun’un 9 uncu maddesinde sınırlı bir şekilde sayılmaktadır. Diğer kişisel veri aktarım yöntemlerinden farklı olarak, istisnai aktarımlar için Kanunun 5 inci ve 6’ncı maddelerinde yer verilen kişisel veri işleme şartlarından birinin varlığı aranmadığı gibi, bu aktarımlar kural olarak herhangi bir Kurum veya Kurul izni, onayı veya bildirimine tabi değildir.  

İstisnai aktarımların tek seferlik olması şart değildir, istisnai aktarım bir kereden fazla da olabilir. Ancak birden fazla kez yapılan aktarımların istisnai sayılabilmesi için düzenli olmaması, süreklilik arz etmemesi, öngörülemeyen koşullar altında ve belirsiz zaman aralıkları içinde olağan eylem akışının dışında gerçekleşmesi gerekir. İlgili Rehber’de arızi aktarımların dar yorumlanması gerektiği ve bu aktarımların son çare niteliğinde olduğu vurgulanmıştır.  

Rehber’de istisnai aktarım hallerine muhtelif somut örneklerle açıklık getirilmiştir. İstisnai aktarım halleri ve ilgili örnekler kısaca aşağıdaki gibidir:  

1. Açık rıza 

Yeterlilik kararının bulunmaması ve Kanunda öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, kişisel veriler, arızi olmak kaydıyla ve ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartıyla aktarıma açık rıza vermesi halinde yurt dışına aktarılabilir. Açık rızaya dayalı istisnai aktarım yapılabilmesi için dikkat edilmesi gereken hususlar aşağıdaki gibidir: 

  • Açık rıza belirli bir konuya ilişkin olmalıdır ve yurt dışına aktarım gerçekleşmeden önce alınmalıdır. 

Örneğin, Türkiye’de yerleşik bir şirket müşterilerinin kişisel verilerini sipariş edilen ürünlerin teslimatını gerçekleştirmek amacıyla toplarken bu verileri yurt dışına aktarmayı düşünmemesine rağmen birkaç yıl sonra, aynı şirket Türkiye dışındaki bir şirket tarafından devralındığında yeni şirket, müşterilerinin kişisel verilerini yurt dışındaki başka bir şirkete aktarmak isteyebilir. Bu aktarımın açık rızaya dayanarak gerçekleştirilebilmesi için, açık rızanın bu aktarım için, aktarımın öngörüldüğü anda verilmesi gerekmektedir. 

  • İlgili kişi, kişisel veri aktarımı hakkında, özel koşullar da dahil olmak üzere tam olarak bilgilendirmelidir. 

Örneğin, Bilgilendirme veri aktaranın kimliği, aktarımın amacı, aktarılan kişisel verilerin türü, açık rızayı geri alma hakkının varlığı, aktarım dolayısıyla oluşabilecek muhtemel riskleri, açık rızanın aktarım için yasal bir gerekçe teşkil ettiği, verilerin aktarılacağı ülke hakkında Kurul tarafından alınmış bir yeterlilik kararı olmadığı, aktarımın yapılacağı ülkede bir denetim otoritesinin bulunmayabileceği ve/veya veri işleme ilkelerinin ve/veya ilgili kişi haklarının aktarım yapılan ülkede sağlanmayabileceği gibi konuları içerir.  

  • Açık rıza, ilgili kişi tarafından özgür bir şekilde verilmelidir. 

Örneğin, belirli bir hizmetin veya ürünün sağlanmasının açık rıza verilmesi koşuluna tabi tutulması, ilgili kişinin açık rızasını herhangi bir zarar görmeden geri çekememesi veya reddedememesi gibi hallerde açık rıza özgür iradeyle açıklanmış kabul edilmez.

2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması 

Aktarımın, sözleşmenin ifasına ilişkin veya sözleşme öncesi tedbirlerin uygulanmasına ilişkin istisnai bir hale dayandırılması “arızi olma” ve “zorunlu” olma kriterleri ile sınırlandırılmıştır. 

  • Zorunlu olma: 

Örneğin, bir şirket grubunun, iş organizasyonu çerçevesinde bordro ve insan kaynakları faaliyetlerini yurt dışında sürdürdüğünden bahisle yapacağı aktarımlarda aktarımın, sözleşmenin ifası amacıyla zorunlu olduğundan söz edilemeyecektir. Öte yandan, seyahat acentelerinin bireysel müşterilerine ait kişisel verileri, bu müşterilerin yurt dışındaki konaklamalarını organize etmek amacıyla otellere veya diğer ticari ortaklarına aktarmaları, seyahat acentesi ile müşteriler arasında yapılan sözleşmelerin amaçları doğrultusunda zorunlu kabul edilebilir. Bu durumda, veri aktarımı ile sözleşmenin amacı arasında yakın ve önemli bir bağlantı bulunmaktadır. 

  • Arızi olma: 

Örneğin, iş sözleşmesinin ifası gereği yurt dışındaki farklı müşterileri ziyaret etmek amacıyla seyahat eden bir satış müdürüne ait kişisel verilerin, bu müşterilerle toplantı düzenlemek amacıyla, işvereni tarafından aktarılması arızi olarak kabul edilebilir. Ayrıca, bir Türk şirketinin, müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi olarak kabul edilebilir. Buna karşılık çok uluslu bir şirketin, yurt dışındaki bir eğitim merkezinde eğitimler düzenlemesi ve eğitim kursuna katılan çalışanlarının ad, soyad, iş unvanı gibi kişisel verilerini sistematik olarak aktarması durumunun arızi olarak kabul edilemeyeceği değerlendirilmektedir.

3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması 

Örneğin, Türkiye merkezli bir şirketin, bordro işlemlerini yürütmek için çalışanlarının kişisel verilerini yurt dışındaki bir hizmet sağlayıcısına aktarması durumu bu istisna kapsamında zorunlu olarak değerlendirilemeyecektir. Çünkü her ne kadar aktarımın amacı çalışanların ücret yönetimi olsa bile, bu aktarım ile ilgili kişi lehine kurulan sözleşme arasında yakın ve önemli bir bağ kurulamayacağı düşünülmektedir.  

4. Aktarımın üstün bir kamu yararı için zorunlu olması

Bu durum bir suçun önlenmesi ve tespiti, ulusal güvenlik, kamu sağlığı, rekabet, vergi, gümrük otoriteleri ve mali denetim otoriteleri arasında gerçekleştirilen aktarımlar kapsamında geçerli olabilecektir. 

5. Bi hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması 

Örneğin, yurt dışında bir soruşturma bağlamında savunma hakkının kullanılabilmesini teminen yargı mercilerine kişisel veri içeren evrakların sunulması bu kapsamda değerlendirilebilecektir. Bu kapsamın gelecekte gerçekleşmesi ihtimale bağlı olan veya soyut, herhangi bir idari/adli işlemler ile bağlantı kurulamayan durumlar bakımından genişletilmesi mümkün bulunmamaktadır. 

6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması 

Örneğin, yurt dışında bulunan ve sağlık durumu ile ilgili bir müdahalede bulunacak kişi ile ilgili sağlık kayıtlarının aktarılması bu kapsamda değerlendirilebilecektir. Başka bir örnek olarak ilgili kişinin hukuki (erginlik yaşı vd.), fiziksel veya zihinsel yeterliliği olmamasından dolayı rızasını açıklayamayacak durumda olması gösterilebilir

7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması 

Örneğin, yurt dışında yaşayan bir vatandaşın yaşamış olduğu ülkede bir haktan yararlanabilmek amacıyla şahsına ilişkin ülkemizdeki tapu kayıtlarına erişme talebinin bulunması halinde aktarım yapılması bu kapsamda değerlendirilebilecektir. Hatırlatmak gerekir ki, söz konusu sicilin yazılı veya elektronik olması bakımından herhangi bir ayrım bulunmamaktadır. 

 

Sonuç ve Değerlendirme 

Kişisel verilerin yurt dışına aktarılmasına yönelik kanun değişikliği ve ilgili yönetmelik sonucunda uygulamada oluşan soru işaretlerini aydınlatmak ve veri sorumlusu/işleyenleri doğru yönlendirmek amacıyla, kapsamlı bir şekilde kaleme alınmış bu Rehber, somut örneklere dayalı bir şekilde veri koruma mevzuatı ve uygulamaları açısından değerli bilgiler sunmaktadır. Şirketlerin, yurtdışına veri aktarım süreçlerine yönelik değerlendirme ve uygulamaları kapsamında Rehber’i dikkate almaları önem arz etmektedir.  

 

1 You can access our article on the relevant matter via the link: Amendments to the turkish Data Protection Law
2 You can access our article on the relevant matter via the link: New regulation on cross-border data transfer has been published

İletişim

Haber & Yayınlar

TÜM HABER & YAYINLARIMIZ