27 Temmuz 2024
En güncel:
Bilişim Hukuku

KVKK Kişisel Verilerin Yurtdışına Aktarılması Hakkında Yeni Yönetmelik

Av. Ali Ersin

KVKK Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Yönetmelik Taslağı

12 Mart 2024’te KVKK’nın 9. Maddesinde “kişisel verilerin yurtdışına aktarılması”na ilişkin değişiklikler yapılmıştı. Buna göre Yurtdışına kişisel veri aktarımı ise yine KVKK m.5 ve 6’daki şartların varlığı halinde ve verilerin aktarıldığı yer açısından “yeterlilik” kararının bulunması halinde mümkün olacaktır. Yeterlilik kararları KVKK tarafından verilecektir. Konu hakkında ayrıntılı yazımıza bağlantıdan ulaşabilirsiniz.

Geçtiğimiz günlerde ise KVKK, ilgili değişikliğe bağlı Yönetmelik taslağı yayınladı.  Yönetmelik Taslağı’ndaki dikkat çeken esaslar şu şekilde:

KVKK Yönetmelik Değişiklikleri

  1. Veri işleyenlerin yurtdışına veri aktarması için, veri sorumlusunun talimatlarına uyması gerekecek.
  2. Veri sorumluları ve veri işleyenler tarafından verilerin aktarılması için;
    1. Veri aktarılan ülke, ülke içerisinde sektör veya kuruluşlar hakkında yeterlilik kararının bulunması.
    1. Yeterlilik kararının bulunmaması durumunda ülkedede haklara başvuru yönteminin ve kanun yollarına başvuru imkanının bulunması koşuluyla değişikliğin 10. Maddesindeki şu şartlardan birisinin bulunması:
      1. Veri aktarılacak taraf ile Ülkemizdeki taraf arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve buna KVKK’ca izin verilmiş olması.
      1. Bağlayıcı şirket kurallarının olması.
      1. KVKK tarafından aranan veri işleme amacı, veri kategorileri vb. bilgileri ihtiva eden standart sözleşmenin varlığı.
      1. Yeterli korumanın sağlandığı sözleşmenin yer aldığı bir taahhütname ve Kurul’un izin vermesi.
    1. Yeterlilik kararının ve 10. Maddedeki hükümlerin bulunmaması durumunda ise 16. Maddede sayılan hallerden birisinin varlığı:
      1. İlgili kişinin muhtemel riskleri barındıracak şekilde açık rıza vermesi.
      1. Aktarımın ilgili kişi ile veri sorumlusu veya veri işleyen arasındaki sözleşme ifası veya sözleşme öncesi yükümlülükler için veya sözleşme kurulması öncesi önlemler için zorunlu olması.
      1. Aktarımın üstün kamu yararı için zorunlu olması.
      1. Bir hakkın tesisi, kurulması veya kullanılması için zorunlu olması.
      1. Fiili imkansızlık nedeniyle rıza açıklayamayacak olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendi veya başkasının hayatının veya vücut bütünlüğü için zorunlu olması.
      1. Kamuya veya ilgili kişilere açık olan sicilden meşru menfaati olan kişilere doğru aktarım yapılması.

Özellikle (f) bendi, hastane, ileti yönetim sistemi veya açık kaynak kodlarına ilişkin sicillerin aktarımı konusunda bir soru işareti uyandırmaktadır. Bu anlamda bir sonraki fıkra olan 3. Fıkrada bu aktarımların çeşitli kategorilerdeki bu aktarımların tamamına uygulanmayacağı ve taleple olabileceği zorunlu hale gelmiştir.

Herhangi bir kişisel veri, Ülkemizin kamu menfaatinin tehlike gördüğü durumlarda ise hiçbir şekilde Kurul izni olmadan yurtdışına aktarılamayacaktır.

            Veri İşleyenin Sorumlulukları

            Veri işleyenler hakkında yönetmelik taslağında ağır yükümlülükler eklenmiştir. Zira veri işleyenler, her halükarda veri sorumlularının haklarını ve veri güvenliğine ilişkin yükümlülükleri almak zoruna olacaktır. Bu yükümlülükler de Veri Sorumlusunun yükümlülüklerini ortadan kaldırmayacaktır. Yani Veri Sorumlusu, veri işleyenin bu yükümlülükleri almasını, teknik, hukuki ve idari şekilde sağlamak zorunda kalacaktır.

            Yeterlilik Kararı Nasıl Belirlenecek?

            Yönetmelik taslağı 8. Maddede yeterlilik kararı alınırken dikkat edilecekler sayılmıştır. Kısaca;

  • Karşılıklılık durumu,
  • Aktarılacak yerin hukuki durumu,
  • Uluslararası antlaşma ve kuruluşlara üye olma durumu,
  • Türkiye’nin taraf olduğu UA sözleşmeler.

Yeterlilik kararı KVKK tarafından en az 4 yılda 1 gözden geçirilecektir. Kurul yeterlilik kararını durdurabilir, kaldırabilir veya askıya alabilir.

Veri Sorumlusu ile Yapılacak Sözleşmedeki Unsurlar

Veri sorumlusu ile verilerin aktarılacağı ülke, kuruluş veya kurum arasındaki UA niteliğinde olmayan sözleşme aşağıdaki unsurları içermek zorundadır:

  • Kişisel verilerin aktarım amacı, yöntemi, sebebi, niteliği, çerçevesi.
  • Tanımlar.
  • KVKK’nın 4. Maddesine yönelik hususlar.
  • Aydınlatmaya ilişkin hususlar.
  • Veri güvenliği taahhüdü.
  • Sonraki aktarıma yönelik kısıtlamalar.
  • Yükümlülüklerin ihlali halinde başvurulabilecek hukuki yollar ve denetim mekanizmaları.
  • Anlaşmayı sonlandırma veya feshetme hakkı.
  • Yedekleri yok etme veya geri gönderme taahhüdü.

Tüm bunların yanında Yönetmelik’te bağlayıcı şirket kuralları esasları, standart sözleşme esasları, aktarım tarafları arasındaki taahhütname içeriği kuralları de düzenlenmiştir.

            Sonuç ve Değerlendirme

            KVKK’nın ilk çıkmasından itibaren kişisel verilerin yurtdışına aktarımı, çoğu şirket, internet sitesi, start-up için sorun olmuştu. Zira günümüzde Dünyanın bir köy haline geldiğini hesaba katarsa, kişisel verilerin yurtdışına aktarımı konusunda belli kolaylıkların uygulanması gerektiği aşikar. Bunun yanında hem kişilerin hem devletlerin güvenlik sorunu ve gerekçesi de aynı zamanda bir o kadar kişisel verilerin Ülke içinde kalmasını gerekli kılıyor. İşte bu ikisi arasında ince çizgiyi korumayı amaçlayan yeni Yönetmelik taslağı, bunu belli oranda sağlamış gözüküyor. Zira KVKK’nın izin vermediği durumda açık rıza alınması, açık rıza alınamadığı veya imkan olmadığı durumda KVKK’nın izin vermesi oldukça işlevsel bir seçenek.

            Tabi ki özellikle yapay zeka alanında çalışan veya yurtdışı serverları kullanan start-uplar ve şirketler için çok önemli bu mevzuata, herkesin dikkatle takip etmesi ve uyması şart. Bunlara uyulmaması halinde TCK uyarına suç maddelerinin uygulanabileceği gibi, KVKK uyarınca 1.000.000 TL’den fazla idari para cezaları ile de karşılaşılacaktır.

            Yine veri sorumluları ve veri işleyenlerin de aynı anda sorumlu olması da uygulamadaki çoğu sorunu gidermiş durumda.

Yönetmelik taslağı ve gerekçesine bağlantıdan ulaşabilirsiniz.

Yazarın “8. Yargı Paketi KVKK Değişiklikleri” isimli yazısını bağlantıdan okuyabilirsiniz.

Av. Ali ERŞİN(LL.M.)’nin Yeni Sayı’mızda çıkan “Metaverse Dünyası Çalışma Sistemi” isimli yazısını bağlantıdan okuyabilirsiniz.

Yazar: Av. Ali ERŞİN (LL.M.) / Hukuk ve Bilişim Dergisi Genel Koor.

Mail: [email protected]

Instagram: @avukataliersin

Tel: 0541 316 96 21

Av. Ali Ersin

Ankara Barosu nezdinde Avukatlık görevini sürdürmektedir. Selçuk Üniversitesi Hukuk Fakültesi’nden 2019 yılında mezun olmuştur. Hukuk ve Bilişim Dergisi ile Blog’un genel koordinatörlük ve editörlük görevini yürütmekte olup, Türkiye Bilişim Derneği ve Bilişim ve Teknoloji Hukuku Derneği üyesidir. Anadolu Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Tezli Yüksek Lisans programından “Metaverse Dünyasında Fikri Hakların Korunması” tezi ile mezun olmuştur. Çalışma Alanları Kripto Para Hukuku Finansal Teknolojiler Hukuku Kişisel Verilerin Korunması Hukuku E-Ticaret Hukuku

Bunları da sevebilirsiniz

VERBİS Kaydı Zorunluluğu Olan İşletmeler ve KVKK

Av. Ali Ersin

FARKLI AĞDAN GÖNDERİLEN KRİPTO PARALARIN İADESİ

Av. Ali Ersin

KVKK, Kripto Para Borsaları Hakkında Kararını Verdi

Av. Ali Ersin

One thought on “KVKK Kişisel Verilerin Yurtdışına Aktarılması Hakkında Yeni Yönetmelik

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.