Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayımlandı

Rehber, Yönetmelik'teki tanıma paralel şekilde, Kanun madde 9 kapsamında bir kişisel veri aktarım faaliyetinin yurt dışına aktarım olarak nitelendirilmesi için hangi kriterlere yer verilmesi gerektiğini açıklamaktadır. Buna göre, bir aktarımın Kanun madde 9 kapsamında yurt dışına kişisel veri aktarımı olarak kabul edilebilmesi için aşağıdaki kriterleri sağlaması gerekmektedir:

1. veri sorumlusu ya da veri işleyenin söz konusu kişisel veri işleme faaliyeti için Kanun'a tabi olması;
2. veri aktaran tarafından işlenen kişisel verilerin iletilmesi veya başka bir suretle erişilebilir hale getirilmesi ve
3. veri aktarılan veri sorumlusu ya da veri işleyenin üçüncü bir ülkede olması.

Söz konusu kriterlerin yorumlanmasına ilişkin olarak Rehber'de çeşitli örneklere yer verilmektedir. Bu kapsamda, dikkat çeken örnekler aşağıdaki gibidir:

Kişisel Verilerin Doğrudan Toplanması

Rehber uyarınca, üçüncü bir ülkeden uzaktan erişim (yalnızca kişisel verilerin bir ekranda görüntülenmesi yoluyla gerçekleşse bile, örneğin destek durumlarında, sorun giderme veya yönetim amacıyla), ve/veya bir hizmet sağlayıcı tarafından sunulan yurt dışında bulunan bir bulutta depolama da bu üç kriterin karşılanması koşuluyla yurt dışına aktarım olarak kabul edilecektir. Öte yandan, üçüncü ülkedeki veri sorumlusunun Türkiye'deki ilgili kişilerin kişisel verilerini doğrudan elde etmesi gibi, kişisel verileri başka bir veri sorumlusu veya veri işleyene ileten ya da erişilebilir hale getiren (veri aktaran) bir veri sorumlusu veya veri işleyen olmadığı durumlarda, yukarıda yer verilen (ii). kriter karşılanmamaktadır. Bu bakımdan, Rehber, veri sorumlusunun yurt dışında bulunduğu ve Türkiye'de bulunan ilgili kişilerin kişisel verilerini doğrudan topladığı durumların (ing. direct collection), Kurum tarafından Kanun madde 9 kapsamında yurt dışına aktarım olarak değerlendirilmeyeceğini açıklığa kavuşturmaktadır.

Doğrudan Toplanan Verilerin Başka bir Veri Alıcısına Aktarılması

Rehber'de her ne kadar üçüncü bir ülkede bulunan veri sorumlusunun Türkiye'de bulunan ilgili kişilerin kişisel verilerini doğrudan topladığı durumların Kanun madde 9 kapsamında yurt dışına aktarım olarak değerlendirilmeyeceği ifade edilse de; kişisel verilerin doğrudan üçüncü ülkedeki veri sorumlusu ve/veya veri işleyen tarafından toplanması ve bazı işleme faaliyetlerini Türkiye dışındaki bir veri işleyen tarafından gerçekleştirilmesi amacıyla yurt dışındaki başka bir veri işleyene aktarılması bir kişisel veri aktarımı teşkil etmekte ve Kanun madde 9 kapsamında uygun mekanizmalara başvurulması gerekmektedir. Zira bu durumda Rehber, mülkilik ilkesi esas alınarak Kanun'un bireylerin kişisel verilerinin korunmasını sağlayacak şekilde yorumlanması gerektiğini belirtmekte, ve üçüncü ülkede yer alan veri aktaranın Kanun'a tabi olduğunu ifade etmektedir.

Ana Şirket ile İK Veri Tabanı Kapsamında Veri Paylaşımı

Türkiye'deki alt kuruluş olan veri sorumlusu şirketin, çalışan verilerini merkezi bir İK veri tabanında saklanması amacıyla üçüncü ülkedeki ana şirkete iletmesi, Kanun madde 9 kapsamında yurt dışına aktarım olarak kabul edilmektedir. Rehber'de, çalışan verilerinin merkezi bir İK veri tabanında saklanması amacıyla gerçekleştirilen aktarım faaliyeti bakımından, Türkiye'deki alt kuruluş olan işverenin veri sorumlusu; yurt dışında bulunan ana şirketin ise veri işleyen olduğu ifade edilmektedir. Tarafların veri sorumlusu mu yoksa veri işleyen mi olarak değerlendirilmesi gerektiğine ilişkin Rehber'de yapılan nitelendirme, özellikle çalışan verilerini merkezi bir İK veri tabanında saklanması amacıyla üçüncü ülkedeki ana şirkete iletmekte olan ve ilgili aktarım bakımından standart sözleşme maddelerine başvurmayı planlayan şirketler bakımından önem arz etmektedir.

Değişiklikler ile, yurt dışına kişisel verilerin aktarımı bakımından (i) yeterlilik kararının bulunması, (ii) yeterlilik kararı bulunmadığı hallerde yeterli güvencelerin sağlanması ve (iii) yeterlilik kararının ve yeterli güvencelerin bulunmadığı haller olmak üzere üç kademeli bir yapı öngörülmüştür. Konuya ilişkin olarak, mevcut durumda geçerli olan yurt dışına aktarım süreçlerine dair Rehber'de yer verilmiş olan tabloyu Ek-1'de görebilirsiniz. Rehber, söz konusu kademeli sistem ve uygun güvencelere dayalı yurt dışına aktarım mekanizmalarına ilişkin olarak ayrı başlıklar altında açıklamalara yer vermektedir. Rehber'de, ayrıca istatistiksel bilgiler de sağlanmakta ve Kanun'un yürürlüğe girdiği tarihten itibaren bugüne kadar 84 taahhütname ve 3 bağlayıcı şirket kuralları başvurusu gerçekleştirildiği, ve bunlardan 10 taahhütname başvurusunun onaylandığı açıklanmaktadır.

Taahhütnameler, bağlayıcı şirket kuralları ve standart sözleşme maddeleri ("SS") bakımından Rehber'de yer verilen açıklamalar, büyük oranda Kanun ve Yönetmelik'te yer alan maddelerin tekrarı niteliğindedir. Bununla birlikte, Kanun ve Yönetmelik'te yer alan düzenlemelere ek olarak, Rehber'de, bağlayıcı şirket kurallarında yer alması gereken asgari unsurlara ve SS eklerinin nasıl doldurulması gerektiğine ilişkin açıklamalara yer verilmektedir. Buna göre, aktarım mekanizmalarına ilişkin olarak Rehber'de yer verilen dikkat çekici hususlar aşağıdaki gibidir:

Rehber, bağlayıcı şirket kurallarının Kanun'a dahil edilmesinin tarihçesi ve gerekçesine yer vererek bağlayıcı şirket kurallarında asgari olarak yer alacak hususlara ilişkin açıklamalara yer vermektedir. Ayrıca Rehber'de, teşebbüs grubunun Türkiye'de yerleşik olup olmamasına göre bağlayıcı şirket kuralları başvuru usulünün kim tarafından gerçekleştirilmesi gerektiğine ilişkin yönlendirmeler de bulunmaktadır. Bu kapsamda;

• Grubun merkezinin Türkiye'de olması halinde, başvuru formları bu kuruluş veya belirli koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye'de yerleşik başka bir kuruluş tarafından doldurulmalı ve Kurum'a sunulmadır.
• Grubun merkezinin Türkiye'de olmaması halinde, grubun Türkiye'de yerleşik bir grup kuruluşunu, kişisel verilerin korunmasına ilişkin sorumlulukların devredilmiş olduğu yetkili grup üyesi olarak ataması ve atanan kuruluşun başvuruyu Kurum'a sunması gerekmektedir.

Rehber ayrıca, başvuruya ilişkin olarak sunulacak olan tevsik edici belgelere ilişkin de yönlendirmeler içermektedir. Buna göre, başvuru formunun parçası olmayan belgeler yalnızca daha fazla açıklama yapılması amacıyla sunulmalı ve söz konusu ekler bakımından adlandırma "[(EK-3-1), (EK-3-1-A)]" şeklinde yapılmalıdır. Ek olarak, Rehber uyarınca, bağlayıcı şirket kuralları içerisinde, Kurum tarafından başvuruya ilişkin soruların iletilebileceği temas kurulacak kişi/birim'in bildirilmesi gerekmektedir. Rehber, pratik nedenlerle bu kişi/birimin Türkiye'de bulunmasını tavsiye etmektedir.

Rehber'deki SS'lere ilişkin açıklamalar, büyük ölçüde Kanun ve Yönetmelik'te yer alan düzenlemeleri içermektedir. Bununla beraber, Rehber'de söz konusu düzenlemelere ilave yönlendirmelere de yer verilmektedir:

• SS eklerinin doldurulmasına ilişkin açıklamalar: Rehber'de özellikle SS ekinde yer alan başlıkların nasıl doldurulması gerektiğine ilişkin faydalı bilgiler yer almaktadır. Örneğin:
• SS'lerin çift sütun olarak düzenlenmesi: Rehber, Türkçe versiyon öncelikli olarak esas alınmak üzere, SS'lerin Türkçe ve yabancı dilde çift sütunlu olarak düzenlenebileceğini teyit etmektedir.
  • İlgili Kişi Grubu veya Grupları: Aktarılan kişisel verilerin hangi ilgili kişi grubuna veya gruplarına ilişkin olduğu kişisel veri bazında belirtilmedir. Bu kapsamda, her bir ilgili kişi grubu özelinde hangi veri kategorilerinin aktarıldığına ilişkin de bilgi verilmesi beklenmektedir.
  • Aktarılan Kişisel Veri Kategorileri ve (Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri: Aktarıma konu kişisel veriler, kategori ve türlerine göre belirtilmelidir. Buna göre, örneğin iletişim verisinin aktarılıyor olması halinde, ayrıca iletişim verisi kategorisi altında ilgili veri türünün de – telefon numarası, e-posta adresi gibi – aktarıldığı açıklanmalıdır.
• Yabancı ülke makamlarınca düzenlenmiş resmi belgeler: Rehber, ayrıksı bir düzenleme ya da uluslararası anlaşma bulunmadığı takdirde, SS'ler ile sunulan yabancı ülke makamlarınca düzenlenmiş resmi belgeler bakımından, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf bir ülkede düzenlenmiş resmi belgeler Kurum'a sunulurken apostil şerhinin bulunması gerektiğini ifade etmektedir.

Yukarıda örneklendiği şekilde, Rehber'de SS'ye dayalı aktarımlar bakımından faydalı yönlendirmelere yer verilmiş olmakla birlikte, örneğin yurt dışında bulunan şirketler bakımından SS'lerin e-imza ile imzalanıp imzalanamayacağı gibi uygulamada yaşanan bazı sorun ve belirsizliklere ilişkin yönlendirme içermemektedir.

Bu kapsamda, Kurum'un onay ve/veya iznini gerektirmeyen bir mekanizma olarak SS'ler, uygun güvencelerin sağlanması bakımından veri aktaranlar tarafından pratikte tercih edilmeye devam edilecek olmakla beraber, uygulamada karşılaşılan belirsizliklerin zaman içerisinde Kurum kararları ile şekillenmesi beklenmektedir.

Rehber uyarınca, aktarımın "istisnai" olarak kabul edilebilmesi için, bir veya daha fazla defa yapılmasından bağımsız olarak, olağan faaliyet akışı içinde yapılıp yapılmadığı üzerinde durulmaktadır. Buna göre olağan faaliyet akışı içinde yapılan aktarımlar arızi aktarım olarak kabul edilmemektedir. Örneğin, bir turizm şirketinin müşterilerinin rezervasyon bilgilerine ilişkin yapacağı aktarımlar, şirketin olağan faaliyet akışı kapsamında gerçekleşen bir işleme faaliyeti olduğundan, arızi aktarım olarak değerlendirilmemektedir.

Rehber'de, istisnai aktarım söz konusu olduğunda Kanun madde 5 ve 6'da yer verilen kişisel veri işleme şartlarından birinin varlığı aranmaksızın yurt dışına veri aktarılabileceği belirtilmektedir ve Kanun'da istisnai haller bakımından öngörülen 7 şartın her biri örneklerle birlikte açıklanmaktadır. Buna göre, öne çıkan aktarım halleri ve ilgili örnekler aşağıdaki gibidir:

Rehber'de, Yönetmelik ile paralel şekilde, açık rızaya ancak ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla dayanılabileceği belirtilmektedir. Buna göre, söz konusu bilgilendirmenin asgari olarak aşağıdaki hususlarda açıklamalar içermesi gerektiği ifade edilmektedir:

1. açık rızanın aktarım için yasal bir gerekçe olduğu;
2. verilerin aktarılacağı ülke hakkında Kurum tarafından alınmış bir yeterlilik kararı olmadığı,
3. aktarım dolayısıyla oluşabilecek muhtemel riskler

Bu kapsamda örneğin, aktarımın yapılacağı ülkede bir denetim otoritesinin bulunmayabileceği ve/veya veri işleme ilkelerinin ve/veya ilgili kişi haklarının aktarım yapılan ülkede sağlanmayabileceği gibi bilgiler açık rıza almadan önce ilgili kişilere sağlanmalıdır.

Rehber, ilgili aktarım haline dayanılabilmesi için "zorunluluk" ve "arızi"lik şartının gerçekleşmesi gerektiğini belirtmektedir.

Buna göre, örneğin, bir şirket grubunun, iş organizasyonu çerçevesinde bordro ve insan kaynakları faaliyetlerini yurt dışında sürdürüyor olması gerekçesiyle yapacağı aktarımlar iş sözleşmesinin ifası ile doğrudan ve nesnel bir bağlantısı olmaması nedeniyle zorunluluk şartını sağlamayacaktır.

Arızilik şartı bakımından ise, örneğin, Türkiye'de mukim şirketin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, tek veya birkaç sefer gerçekleşmesi, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi aktarım kabul edilmektedir.

Rehber uyarınca, ispat ve savunma hakkının kullanılması gibi durumlarda kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması şartına dayalı olarak yurt dışına aktarımı mümkündür.

Örneğin, yurt dışındaki bir soruşturma kapsamında savunma hakkının kullanılabilmesi için yargı mercilerine kişisel veri içeren evrakların sunulması bu kapsamda arızi aktarım olarak kabul edilecektir.