Kişisel Verileri Koruma Kurum’u, 9 Mayıs 2024 tarihinde Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı’nı (“Yönetmelik Taslağı”), gerekçesini ve kamuoyu görüş formunu yayımlamıştır. Yönetmelik Taslağı genel mahiyetinde Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) kişisel verilerin yurt dışına aktarımına ilişkin 9.maddesinde yapılan değişiklikleri tekrar eder nitelikte olsa da bu değişikliklerin uygulanması ve diğer pek çok hususa ilişkin detaylı açıklamalar da düzenlenmiştir. Aşağıda sizler için Yönetmelik Taslağı’nda düzenlenen dikkat çekici hususları derledik.
Yönetmelik Taslağı’nın 6. Maddesi, Kanun’u tekrar eder nitelikte olup kişisel verilerin (i) Kanun’un 5. ve 6. Maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, (ii) yeterlilik kararının bulunmaması durumunda ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla uygun güvencelerden birinin sağlanması halinde veya (iii) her ikisinin de bulunmaması halinde ise istisnai hallerden birinin varlığı durumunda aktarılabileceğini düzenlemiştir. Yeterlilik kararı verilirken dikkate alınacak hususlar ve istisnai aktarım haller de Kanun’da olduğu şekliyle tekrar edilmiştir. Bununla birlikte yeterlilik kararı bulunmaması halinde yararlanılabilecek uygun güvence yolları tek tek açıklanmıştır.
Yönetmelik Taslağı, veri işleyene, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması yönünde bir yükümlülük getirmiştir. Ayrıca aktarımın veri işleyen tarafından gerçekleştirilmesi halinde de veri sorumlusunun uygun güvencelerin sağlanması hususundaki sorumluluğunun ortadan kalkmayacağının altı çizilmiştir.
Yönetmelik Taslağı Madde 11 uyarınca yurt dışına kişisel veri aktarım mekanizmalarından olan uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanmasına ilişkin detaylar düzenlenmiştir. Buna göre, söz konusu anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilecektir. Bununla birlikte anlaşmada kişisel veri aktarımının amacı, kapsamı, niteliği, çerçevesi ve hukuki sebebi, uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt niteliğindeki hususlar sayılmıştır. Anlaşma yoluyla uygun güvence sağlanması için Kişisel Verileri Koruma Kurulu’na (“Kurul”) izin başvurusunda bulunulacağı ve aktarıma Kurul’un izni ile başlanacağı düzenlenmiştir.
Bir diğer uygun güvence sağlama yolu olan bağlayıcı şirket kurallarının varlığı, Yönetmelik Taslağı’nın 12 ve 13. Maddelerinde düzenlenmiştir. İşbu maddeler kapsamında bağlayıcı şirket kurallarının Kurul tarafından onaylanmasında dikkate alınacak hususlar ve bağlayıcı şirket kurallarında bulunması gerekli asgari unsurlar belirlenmiştir. Bu asgari unsurlar arasında teşebbüs grubunun organizasyon yapısı ve iletişim bilgileri, işlenen kişisel veri türleri ve amaçları, kuralların hukuken bağlayıcılığına dair taahhütler, kişisel verilerin işlenme şartları ve güvenliği ile ilgili önlemler, ilgili kişilerin haklarının kullanımına ilişkin düzenlemeler ve veri sorumlularının yükümlülükleri yer almaktadır. Ayrıca, bağlayıcı şirket kurallarına uyumun izlenmesi ve denetlenmesi, veri koruma eğitimlerinin sağlanması, değişikliklerin raporlanması ve Kurul’a bildirilmesi gibi mekanizmalar da bu kuralların içermesi gereken unsurlardandır.
Standart sözleşmeyle uygun güvencenin sağlanması, 14. Madde’de düzenlenmiş olup standart sözleşmenin Kurum'a fiziki olarak, KEP adresiyle veya Kurul tarafından belirlenecek diğer yöntemlerle gönderilmesi gerektiği öngörülmüştür. Ayrıca, standart sözleşmenin Kurum'a bildirilmesinden sorumlu tarafın sözleşme serbestisi çerçevesinde belirlenebileceği, ancak herhangi bir belirlenme durumunda veri aktaran tarafından gönderilmesi gerektiği belirtilmiştir.
Uygun güvencelere ilişkin son olarak Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumaya ilişkin yazılı taahhüdünün varlığına dair 15.madde yer almaktadır. Burada da yazılı taahhütnamelerde yer verilecek kişisel verilerin korunmasına yönelik hükümlerin içermesi gereken taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık hâlinde Türk mahkemelerinin görevli ve yetkili olduğuna yönelik düzenleme ile veri alıcısının Türk mahkemelerinin yargı yetkisini tanımayı kabul ettiğine yönelik taahhüt , özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt benzeri hususlar 14 bent halinde sayılmıştır.
Yönetmelik Taslağı kapsamında düzenlenen hükümlerde yer almayan veya tereddüt oluşturacak hususlarda Kurul’un karar merci olduğu belirtilmiş olup anılan hükümlerin yönetmeliğin yayımı tarihinde yürürlüğe gireceği düzenlenmiştir. Yönetmelik Taslağı’na ilişkin görüş ve değerlendirmelerin 20 Mayıs 2024 tarihine kadar alınmasının ardından işbu metnin son halinin önümüzdeki günlerde yayımlanacağı öngörülmüştür.
Yönetmelik Taslağı’na buradan ulaşabilirsiniz.