12 Mart 2024 tarihinde Resmi Gazete’de yayımlanarak, 1 Haziran 2024 tarihinde yürürlüğe giren KVKK’nın 9. Maddesinde yer alan yurt dışına aktarım hususundaki değişiklikler ile 10 Temmuz 2024 tarihinde yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik kapsamında şirketlerin uyum sürecini başlatması gerekmektedir.
Kanun Değişikliği Öncesi Yurt Dışına Aktarım Usulü
Yürürlükteki sistematikte kişisel verilerin yurt dışına aktarımında ilgili kişi yani kişisel verinin sahibinden alınacak bir açık rıza beyanı yeterli oluyordu. Söz konusu açık rızanın alınmasına gerek olmayan istisnai haller için ise; KVKK.m.5/2 ve KVKK.m.6/3 de yer alan şartlardan birinin varlığı yani; işlenme şartları ile bu şartların özel nitelikli kişisel verilerin işlenmesine yönelik düzenlenmiş ek şartlar ve kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması, bunun bulunmaması durumunda veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesiyle birlikte Kurul’un bu hususta izninin bulunması yeterli olurken yeni gelen düzenlemeyle söz konusu kanun hükmünün tamamı değişmiştir.
Artık eski hükümde bulunan açık rıza şartı tamamen ortadan kalkmış, yeni hükümde yer alan kademeli sistematiğin yerine getirilmesiyle birlikte KVKK.m.5 ve 6’da yer alan şartlardan herhangi birinin varlığı halinde; ilgili kişinin onayına bağlı kalmaksızın kişisel veriler yurt dışına aktarılabilir hale gelmiştir.
Kanun Değişikliği Sonrası Yurt Dışına Aktarım Usulü
Yeni KVKK.m.9 ve ilgili yönetmelik ile kişisel verilerin yurt dışına aktarımı için kademeli bir yöntem öngörülmüştür. Eski düzenlemeyle açık rıza temelli bir yaklaşım söz konusuyken artık; yeterlilik kararı – uygun güvenceler – arızi (istisnai haller) şeklinde basamaklı bir sistematiğe geçiş yapılmıştır.
Yeni sistemin detaylarına geçmeden önce kanun maddesinde yapılan en önemli değişikliklerden biri; yurt dışına aktarım işlemi için yalnızca veri sorumlusunun süje olmaktan çıkıp buna veri işleyenlerinde eklenmesidir. Artık sadece veri sorumluları değil veri işleyenlerde yurt dışına aktarım hususunda yetkili sayılmıştır. Bu durum şirketin; KVKK bazındaki yurt dışına aktarım hususunda veri işleyenin veri sorumlusundan onay alması prosedürünü ortadan kaldırabilir ancak her ihtimalde veri sorumlusu olan kişi veya kişilerin bu yetkiyi yine onayına bağlaması kendi insiyatifinde olacaktır zira ilgili düzenlemenin şirketin iç yapılanmasına etkisi mümkün değildir.
1. Yeterlilik Kararına Dayalı Aktarım
Yeni değişiklikle birlikte; KVKK.m.5-6’da yer alan işlenme şartlarının birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında kurulun vermiş olduğu yeterlilik kararı bulunmalıdır.
Bu konular hakkında yeterlilik kararı verilirken, ilgili ülke, uluslararası kuruluş ve sektörler ile Türkiye arasındaki karşılıklılık esasının korunacağı belirtilmiştir. Yeterlilik kararının verilmesinde, karşılıklılık sağlanması dışında karara konu olabilecek süjelerin Türkiye’nin de tarafı olduğu uluslararası sözleşmelere ve kuruluşlara, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere ve kuruluşlara taraf ve üye olması, tabi oldukları bağımsız bir veri koruma kurumunun bulunması ve adil başvuru yolarını ihtiva etmeleri yeterlilik kararı verilirken önem arz edecek kriterlerdir.
Kurulun vereceği yeterlilik kararlarının Resmi Gazete’de yayımlanacağı yine Kurul tarafından duyurulmuştur. Yeterlilik kararıyla birlikte en geç dört yılda bir Kurul vermiş olduğu yeterlilik kararlarını değerlendirecek ve bu kapsamında değiştirme ve askıya alma yetkilerinden herhangi birini kullanabilecektir.
Son olarak Kurul yakın zamanda yapmış olduğu rehberde; halihazırda vermiş olduğu bir yeterlilik kararının bulunmadığını ancak bu konuda titizlikle ve yoğun şekilde çalışma içinde olduğunu bildirmiştir. Dolayısıyla şirketin halihazırda çalışmakta olduğu ve dolayısıyla yurt dışına aktarım yaptığı çoğu şirket muhtemelen Kurul’dan yeterlilik kararı alacak olmakla birlikte; Kurul’un söz konusu değerlendirmeyi ne zaman yapacağı ve ihtiyacımız olan Kurul kararına ne zaman vereceği konusunda herhangi bir bilgi olmaması sebebiyle; yurt dışına aktarım konusunda alternatif diğer yöntemlerden birine başvurmak gerekmektedir.
2. Uygun Güvencelere Dayalı Aktarım
Yeni düzenleme kapsamında eğer Kurul’un verdiği herhangi bir yeterlilik kararı yoksa (şuan olduğu gibi) alternatif yöntem olarak uygun güvencelerden herhangi birinin taraflarca sağlanması gerekliliği öngörülmüştür.
Bu kapsamda yine KVKK.m.5-6’da yer alan şartlardan birinin varlığı ve ilgili kişinin (veri sahibinin) aktarım yapılacak ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunmasıyla birlikte 4 farklı uygun güvenceden herhangi biri seçilerek yurt dışına aktarım yapabilecektir. Bunlar:
- Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları için özel aktarım sebebi
- Bağlayıcı şirket kuralları
- Standart sözleşmeler
- Taahhütname’dir.
Aktarım yapacak şirket söz konusu 4 uygun güvenceden herhangi birini seçip aynı zamanda diğer zorunlu şartları sağladıktan sonra bunu kuruma bildirmekle ve onay almakla yükümlüdür.
Bu hususta hızlıca Kurul kararı yayımlanmış ve şirketlerin uyum süresince yol gösterici olabilecek bilgilendirmeler yapılmıştır. 2024/959 sayılı Kurul kararına göre örneğin şirketlerin standart sözleşme güvencesini seçmesi durumunda sözleşmenin içeriğinde; ; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususların bulunması gerekliliğinden bahsedilmiş ve buna yönelik yol gösterici örnek sözleşme metinleri yayımlanmıştır.
Bir diğer önemli husus; Yeni KVKK’nin 9. maddesine eklenen 5. fıkra, SCC’lerin imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyenin Kurul’a bu sözleşmeyi bildirmesini zorunlu tutmuştu. Aksi takdirde bu yükümlülüğü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği, 18. maddenin birinci fıkrasına eklenen (d) bendiyle kanunlaştırılmıştı. Yürürlüğe giren Yönetmelik’in 14. maddesi ile söz konusu bildirim yükümlülüğünün derecesi artırılmış, SCC’nin taraflarının değişmesi, içeriğinin taraflarca değiştirilmesi ve sözleşmenin sonlandırılması durumlarının da Kurum’a bildirilmesi gerektiği düzenlenmiştir
3. İstisnai (Arızi) Aktarım
Bir yeterlilik kararı bulunmaması ve uygun güvencelerden birinin de sağlanamadığı hallerde, üçüncü basamak olan istisnai aktarım yöntemi ile kişisel verilerin yurt dışına aktarımı sağlanabilecektir. Bu yöntemle aktarımın arızi olması, yani istisnai/tek veya birkaç sefere mahsus ve sistematik olmayacak şekilde gerçekleştirilecek olması şartı getirilmiştir.
Yeni KVKK ve ilgili yönetmelikte istisnai durumlara ilişkin aktarım hali için, (i) muhtemel risklere yönelik bilgilendirilmiş özel açık rızanın bulunması, (i) sözleşmenin ifası ve sözleşme öncesi tedbirlerin uygulanması, ( i) ilgili kişi yararına üçüncü taraf sözleşmeleri, (iv) üstün bir kamu yararı için zorunluluk, (v) hakkın tesisi, kullanılması veya korunması, (vi) fili imkansızlık ve (vi) kamuya açık sicillerden aktarım hukuki sebepleri sayılmıştır.
Getirilen bu düzenleme ile, kanunun eski halinde geniş uygulama alanı bulan açık rızaya dayalı veri aktarımı yeniden tasarlanmış ve sınırlandırılmıştır. Buna göre arızi olmak şartıyla kişisel verilerin yurt dışına aktarılabilmesi için açık rızaya başvurulabilecektir ve bu yola aktarımın gerçekleştirilebilmesi için ilgili kişinin muhtemel risklere ilişkin bilgilendirilmiş, aydınlatılmış olması aranmaktadır.
Ancak tekrar belirtmek gerekirse arızi yöntem şirketlerin başvurabileceği son yöntemdir. Diğer iki ihtimal olan yeterlilik kararı ve uygun güvencelere dayalı aktarım ihtimallerinden herhangi birinin sağlanamadığı durumlarda son olarak bu yönteme başvurabilir ve bu ihtimalde de kurulun onayı şarttır.
Av. Burçak DALGIÇ