Veri Aktarım Rehberi Yayımlandı

A.  GİRİŞ

12 Mart 2024 tarihinde 7499 sayılı Kanun ile yapılan değişiklik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) yurt dışına aktarımı düzenleyen 9’uncu maddesi yeniden düzenlenmiştir. Yurt dışına aktarıma ilişkin usul ve esaslar daha sonra çıkarılan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) ile düzenlenmiştir[1] Yapılan değişiklik sonrası uygulamada karşılaşılabilecek soru işaretlerini gidermek ve Kişisel Verileri Koruma Kurulunun (“Kurul”) beklediği güvenceler hakkında yol gösterici olması adına hazırlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) 2 Ocak 2025 tarihinde Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesinde yayınlanmıştır.[2] Bu rehber, yurt dışına veri aktarımında kullanılan yöntemler ve özellikle standart sözleşmelere dair önemli bilgiler sunmaktadır.

B.  YURT DIŞINA AKTARIM TANIMI

Rehber’de, KVK Kanunu’nun yer bakımından uygulanmasına ve bu kapsamda hangi aktarımların yurt dışına aktarım teşkil ettiğine ilişkin detaylı açıklamalara yer verilmiştir. Rehber’de yurt dışına aktarımın tespitinde mülkilik ilkesinin etkin veri korumanın sağlanması bakımından yetersiz olduğu, bu sebeple Kanun’un uygulama alanı bakımından etki ilkesinin gözetilmesi gerektiği belirtilmiştir.[3] Bununla beraber Rehber’de yurt dışına veri aktarımı “iletilme ve erişilebilir hale getirilme” faaliyeti olarak tanımlanmış ve bu faaliyetlere örnek olarak; bir hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, kişisel verilerin üçüncü bir ülkeden uzaktan erişim yoluyla görüntülenmesi, kişisel verileri yurt dışında bulunan bir bulutta depolanması verilmiştir. Kişisel verilerin doğrudan ilgili kişiden elde edilmesi halinde (direct collection) kişisel verilerin iletilmesi veya erişilebilir hale getirilmesi söz konusu olmadığından bu durumun yurt dışına veri aktarımı teşkil etmeyeceği de ifade edilmiştir. 

 Rehber’de yurt dışına veri aktarımı oluşturduğu kabul edilen örneklerin bazıları şöyledir:

•       Yurt dışında mukim veri sorumlusunun doğrudan Türkiye’deki ilgili kişilerden elde ettiği verilerin yurt dışındaki bir veri işleyene iletmesi ve kişisel verilerin söz konusu veri işleyen tarafından kendi adına işlenmesi,

•       Türkiye’de yerleşik bir veri işleyenin, yurt dışındaki bir veri sorumlusu adına işlediği verileri, bu veri sorumlusuna iletmesi,

•       Türkiye’de yerleşik bir şirketin, çalışan verilerinin merkezi bir İK veri tabanında saklanması adına yurt dışında bulunan hâkim şirkete iletmesi.  

C. STANDART SÖZLEŞMELER

KVK Kanunu m.9/4(c) uyarınca, Kurul tarafından ilan edilen standart sözleşmenin varlığı yurt dışına aktarım için kabul edilen uygun güvencelerden biri olarak sayılmıştır. Yönetmelik m. 14’de detayları düzenlenen bu usulde, Kurulun ilan ettiği standart sözleşme metni kullanılarak başkaca bir izin/ön onay alınmaksızın yurtdışına veri aktarılabildiğinden standart sözleşmeler uygulamada en sık başvurulan yurt dışına veri aktarım yöntemidir. Standart Sözleşmelerin eki niteliğinde olan ve veri aktarımının detaylarına yer verilen Ek-1’in tam ve eksiksiz şekilde doldurulması gereklidir. Rehber’de Ek-1’de yer alan ilgili kişi grubu, aktarımın hukuki sebebi ve veri kategorileri gibi başlıkların nasıl doldurulması gerektiği detaylı bir şekilde açıklanarak uygulamadaki belirsizlikler önemli ölçüde giderilmiştir.   

KVK Kanunu m. 9/8’de kişisel verilerin yurt dışına aktarılmasının ardından yapılacak olan aktarımlarda da KVK Kanunu’nda yer alan şartların sağlanması zorunlu kılınmıştır. Söz konusu sonraki aktarımlar bakımından uygun güvencelerin sağlanması adına veri işleyenler ile imzalanan sözleşmelerin Kuruma bildirilip bildirilmeyeceği sorusu, uygulamada sıklıkla gündeme gelmektedir. Rehber’de bu konuya ilişkin yeterli açıklamalara yer verilmediği için söz konusu belirsizliğin devam ettiği söylenebilir. 

Rehber’de, uygulamada sıklıkla kullanıldığı üzere standart sözleşmelerin Türkçe ve İngilizce olarak yan yana iki sütun şeklinde hazırlanabileceğini açıkça ifade edilmiştir. Rehber’de ayrıca sözleşme taraflarının sözleşmeleri imzalamaya yetkili olduklarını gösterir belgeler dahil her türlü resmî belgenin Türkçe çevirisi ile Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf bir ülke tarafından düzenlenmişse apostilli şerhinin bulunması gerektiği belirtilmiştir. 

D. BAĞLAYICI ŞİRKET KURALLARI

Rehber’de KVK Kanun m. 13’te öngörülen bağlayıcı şirket kurallarının asgari unsurları hakkında da detaylı açıklamalara yer verilmiştir. Kurula yapılacak onay başvurusu Kurul tarafından yayınlanan “Veri İşleyenler için Bağlayıcı Şirket Kuralları” ve “Veri Sorumluları için Bağlayıcı Şirket Kuralları”na dayanılarak yapılabilir. Aynı grup şirket içerisinde hem veri sorumlusuna hem de veri işleyene aktarımın söz konusu olduğu hallerde ilgili bağlayıcı şirket kurallarının imzalanarak ayrı ayrı başvuru yapılması gerekeceği Rehber’de belirtilmiştir. Bunun yanı sıra, Kurum tarafından başvuruya ilişkin soruların iletilebileceği temas kurulacak kişi/birimin bildirilmesi gerektiği belirtilmiş, bu kişi/birimin Türkiye’de bulunması tavsiye edilmiştir. Rehber’de, 7499 sayılı Kanun öncesi dönemde 3 adet bağlayıcı şirket kuralları başvurusunun yapıldığı ancak bu başvuruların usuli eksiklikler nedeniyle reddedildiği şeklinde istatistiksel bilgiye de ver verilmiştir. 
E.  ARIZİ AKTARIM
Rehber’de arızi aktarım bir veya birden fazla kez gerçekleşen, düzenli olmayan, süreklilik arz etmeyen ve olağan faaliyet akışı içerisinde bulunmayan haller olarak tanımlanmıştır. Bu tanımdan hareketle arızi aktarımların tek sefer gerçekleşen veri aktarımları ile sınırlı olmadığı, birkaç sefer gerçekleşmekle beraber süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan hallerin de arızi sayıldığı açıklığa kavuşmuştur. 
Rehber’de arızi aktarıma örnek olarak iş sözleşmesinin ifası gereği yurt dışındaki müşterileri ziyaret etmek amacıyla seyahat eden bir satış müdürünün kişisel verilerinin bu müşterilerle toplantı düzenlemek amacıyla işvereni tarafından aktarılması ve bir Türk şirketinin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri diğer şartların da bulunması halinde yurt dışındaki başka bir şirkete aktarması verilmiştir. Bir turizm şirketinin müşterilerinin rezervasyon bilgilerine ilişkin yapacağı aktarımlar hakkında ise bu aktarımların ne zaman yapılacağı önceden belli olmamasına rağmen şirketin olağan faaliyet akışı içerisinde gerçekleştirildiğinden arızi nitelikte olmadığı belirtilmiştir. 

E.  SONUÇ

Rehber, kişisel verilerin yurt dışına aktarım usullerine ilişkin detaylı açıklamalar ve somut örnekler içermekte olduğundan uygulayıcılara ışık tutmaktadır. Rehber’de, özellikle standart sözleşmeler ve arızi aktarım ile ilgili önemli açıklamalara yer verildiği görülmüştür. Sonraki aktarımlara ilişkin olanlar başta olmak üzere uygulamada yer alan bazı soruların cevaplarına ise açık bir şekilde yer verilmemiştir. Gelecek dönemde verilecek Kurul kararları ve uygulamalarının yol gösterici olması beklenmektedir. 

Daha fazla bilgi ve destek için bizimle info@lbfpartners.com adresinden iletişime geçebilirsiniz.

LBF Partners Hukuk Bürosu


 
[1] Yönetmelik 10 Temmuz 2024 tarihinde yayınlanarak yürürlüğe girmiş olup konuya ilişkin hazırladığımız bilgi notuna buradan ulaşabilirsiniz.
[2] Rehber için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/13711235-abb6-4b17-9a6b-0a68c1ad86c5.pdf (Erişim Tarihi: 24.01.2025)
[3] Aynı yönde bkz. Kurulun 24.01.2019 tarihli ve 2019/10 sayılı Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kararı.

---