ARTICLE
7 March 2025

Kişisel Verilerin Yurt Dışına Aktarılması: Türkiye'deki Mevcut Yasal Çerçeve

AL
ASY Legal

Contributor

ASY Legal logo
ASY LEGAL is a boutique law office established by Ali Yurtsever and Emir Aksoy operating in the business center of Istanbul. Our attorneys provide an extensive range of counselling to cover our client's legal issue comprehensively. We ensure that our clients receive tailored solutions for their specific legal issues.
Explore Firm Details
12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") değişiklikler yapılmıştır."
Turkey Privacy
Ece Celep
Your Author LinkedIn Connections

12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") değişiklikler yapılmıştır.

  1. Giriş

Bilindiği üzere, değişiklik öncesinde kişisel verilerin yurt dışına aktarılması ilgili kişinin açık rızasının olması veya Kanun'da öngörülen şartlardan birinin varlığı ile Kişisel Verileri Koruma Kurulu ("Kurul") tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (aktarımın yapılacağı ülkenin güvenli ülke listesinde yer alması) gerekmekteydi.

Yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere, ilgili kişinin açık rızası aranmaksızın kişisel veri aktarımı ise, ilgili veri işleme şartlarından birinin bulunması kaydıyla Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı taahhüt etmeleri ve Kurul'un izin vermesi halinde (çok uluslu şirketlerin kendi arasında gerçekleştirecekleri aktarımlar için ise bağlayıcı şirket kuralları ("BŞK") oluşturulması ve Kurul'un izin vermesi) ile mümkündü.

Ancak taahhütname ve bağlayıcı şirket kuralları başvurularının uygulamada karşılık bulmaması ve Kurul tarafından yapılan başvuruların çok azına izin verilmiş olması sebebiyle, yurt dışına veri aktarılması pratikte sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale gelmişti. 01.06.2024 tarihine kadar Kurul'a 86 adet taahhütname başvurusu yapılmış, bunların yalnızca 10 tanesi Kurul tarafından kabul edilmişti. Bununla birlikte 3 adet BŞK başvurusunda bulunulmuş olmakla birlikte söz konusu başvurular usul ve esasa ilişkin eksiklikler nedeniyle kabul edilmemişti.

Bu durum özellikle sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkansız hale getirmişti ve ülkemize yapılacak yatırımları engelleyici bir hal almıştı. Bu kapsamda, yeni düzlemde kişisel verilerin yurt dışına aktarılabilmesi için üç alternatifli bir mekanizma öngörülmüştür. Yapılan değişiklikler ile mevzuatın 2016/679 sayılı AB Genel Veri Koruma Tüzüğü'yle (General Data Protection Regulation (GDPR)) uyumlu hale getirilmesi ve uygulamadaki ihtiyaçlara çözüm üretilmesi amaçlanmıştır.

  1. Aktarım Metotları

a. Yeterlilik Kararı

Kanun'un 5. ve 6. maddelerinde belirtilen veri işleme şartlarından birinin varlığı ve aktarımın yapılacağı yer hakkında Kurul tarafından yeterlilik kararı verilmesi halinde, yurt dışına veri aktarımı yapılabilmektedir.

Yeterlilik kararı uygulaması, önceki dönemde de var olan güvenli ülke listesi uygulaması ile paraleldir. Bu değerlendirmenin amacı, aktarımın yapılacağı ülke, sektör veya uluslararası kuruluşun veri koruma seviyesinin Türkiye'deki veri koruma seviyesine eşdeğer olduğunu teyit etmektir. Bu değerlendirme yapılırken, temel olarak, karşılıklılık durumu, ilgili ülkenin mevzuatı, tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı, idari ve adli başvuru yollarının bulunması, uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu, Türkiye'nin üye olduğu kuruluşlara veya sözleşmelere üye olma durumu gibi kriterler dikkate alınacaktır.

Daha önce Kurul'un 02.05.2019 tarihli ve 2019/125 sayılı kararında ilgili ülke ile yürütülen ticaret hacminin dahi göz önünde bulundurulacağı belirtilmiştir. Gelinen noktada, Rehber'de de vurgulandığı üzere, Türkiye'nin taraf olduğu uluslararası sözleşmelere taraf olan ülkelerin öncelikli olarak göz önünde bulundurulması beklenmektedir.

Kurul tarafından verilecek yeterlilik kararı, verilerin aktarılacağı ülkeye ilişkin olabileceği gibi o ülkedeki yalnızca bir sektöre yönelik veya uluslararası kuruluş için de verilebilecektir. Kurul, aldığı yeterlilik kararını en geç 4 yılda bir değerlendirip gerekli gördüğü hallerde değiştirebilecek, askıya alabilecek ya da kaldırabilecektir. Bu 4 yıllık süre bir düzenleyici süre olup Kurul gerekli görürse bu süreyi beklemeden de yeterlilik kararını yeniden değerlendirebilecektir.

b. Uygun Güvenceler

Yeterlilik kararı bulunmayan ülkelere yapılacak veri aktarımında ise, Kanun'un 5 ve 6. maddelerinde belirtilen veri işleme şartlarından birinin varlığı halinde ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvencelerden birinin sağlanması gerekecektir.

Anlaşmalar: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından izin verilmesi halinde aktarım yapılabilecektir. Bu anlaşmalar; iş birliği protokolü, mutabakat zaptı veya idari anlaşma şeklinde olabilmektedir. Türkiye İlaç ve Tıbbi Cihaz Kurumu ile Avrupa Komisyonu arasında kişisel verilerin aktarımına yönelik idari anlaşma bunun bir örneğidir.

Bağlayıcı Şirket Kuralları: Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan BŞK'ların varlığı halinde aktarım yapılabilecektir. BŞK, ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu içinde yer alan Türkiye'de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından grup üyeleri tarafından uyulması gereken kişisel veri koruma kurallarıdır. BŞK hazırlanırken dikkat edilmesi gereken hususları içeren kılavuzlar 10.07.2024 tarihinde Kurum'un resmi internet adresinde yayımlanmıştır.

Standart Sözleşme: Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı halinde aktarım yapılabilecektir. 10.07.2024 tarihli kamuoyu duyurusu ile farklı aktarım senaryolarını içeren 4 tip standart sözleşme metni Kurum'un sitesinde ilan edilmiştir. Aktarım taraflarının, kişisel veri aktarımı bağlamında uygun standart sözleşme tipini belirledikten sonra yalnızca seçimlik veya alternatif içerikli standart maddelerde değişiklik yapabilmeleri mümkündür. Söz konusu maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmamalıdır. Standart sözleşmeler, imza tarihinden itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurum'a bildirilmelidir. Bu bildirim yükümlülüğünün yerine getirilmemesi idari para cezası yaptırımına bağlanmıştır. Yapılan bildirimin ardından aktarım taraflarınca yapılan açıklamalarda veya verilen bilgilerde bir değişiklik olması ya da standart sözleşmenin sona ermesi hâlinde de Kurum'a bildirim yapılması gerekmektedir.

Taahhütname: Yeterli korumayı sağlayacak hükümlerin yer aldığı, aktarımın amacı, kapsamı, niteliği ve hukuki sebebi, genel ilkelere uyum sağlanacağına yönelik taahhüt, verilerin sonraki aktarımına yönelik kısıtlamalar ve benzeri düzenlemeleri içeren, aktarım tarafları arasında akdedilecek yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi halinde, eski uygulama döneminde olduğu gibi aktarım yapılabilecektir.

c. Arızi Olmak Kaydıyla Bazı Hallerin Varlığı

Yeterlilik kararının bulunmadığı veya uygun güvencelerin sağlanamadığı durumlarda; arızi olmak kaydıyla, aşağıda belirtilen sınırlı hallerde yurt dışına veri aktarılabilecektir.

Kanun'da sınırlı sayıda belirtilen arızi haller aşağıdaki gibidir:

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Arızi haller kapsamında aktarım söz konusu olduğunda Kanun'un 5. ve 6. maddelerindeki şartların varlığı aranmamaktadır. Arızi hallere dayalı kişisel veri aktarımlarında Kurul'un iznine veya onayına ihtiyaç bulunmadığı gibi herhangi bir bildirim yükümlüğü de bulunmamaktadır.

Ancak arızi hallerde yapılan aktarımlarda istisnai bir aktarımdan söz edildiğinden bu hallere ilişkin olarak dar yorum yapılmalı; öncelikle yeterlilik kararı veya uygun güvencelerden birinin mevcut olup olmadığı değerlendirilmeli; bunların yokluğunda istisnai aktarıma son çare olarak başvurulmalıdır.

İstisnai aktarımlar birden fazla kez de gerçekleşebilir; ancak birden fazla kez gerçekleşen aktarımların istisnai sayılabilmesi için düzenli olmaması, süreklilik arz etmemesi, öngörülemeyen koşullar altında ve belirsiz zaman aralıkları içinde olağan eylem akışının dışında gerçekleşmesi gerekmektedir.

  1. Değerlendirmeler ve Sonuç

Hatırlatmak gerekir ki, yurt dışına aktarıma ilişkin uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunmakta ise kişisel verilerin söz konusu hükümler uyarınca yurt dışına aktarılabileceğine ilişkin düzenlemeler muhafaza edilmiştir. Dolayısıyla, yeterlilik kararı, uygun güvenceler ya da istisnai aktarım hallerinin değerlendirilmesinden önce yurt dışına aktarım faaliyetinin ilk basamağında uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunup bulunmadığının değerlendirilmesi gerekecektir.

Uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunmadığı hallerde, öncelikle yeterlilik kararı bulunup bulunmadığı incelenmeli, yeterlilik kararı yok ise uygun güvencelerden birinin sağlanıp sağlanamayacağı değerlendirilmeli, bu da mümkün değilse son çare olarak söz konusu aktarımın arızi nitelikte (istisnai) bir aktarım teşkil edip etmeyeceği değerlendirilmelidir.

Bu makalenin yayımlandığı tarih itibarıyla hakkında yeterlilik kararı verilen ülke, sektör veya uluslararası kuruluş bulunmamaktadır. Eski dönemdeki güvenli ülke listesinin oluşturulmasını geciktiren sebepler genel itibarıyla yeterlilik kararı alınması noktasında da devreye gireceğinden, söz konusu kararın kısa vadede verilip verilmeyeceği merak konusudur. Dolayısıyla, şimdilik pratikteki uygulamaların uygun güvenceler etrafında yoğunlaşacağı, söz konusu güvenceler arasından ise standart sözleşmelerin ağırlıklı olarak uygulanacağı bir dönem yaşanması beklenmektedir.

Bununla birlikte, altını çizmek gerekir ki, Kanun'da veri sorumlusu ve veri işleyenler tarafından yurt dışına aktarılan kişisel verilerin sonraki aktarımları bakımından da mevzuattaki güvencelerin sağlanması gerektiği düzenlenmiştir. Ancak aktarım yapılan tarafın da üçüncü kişilere aktarım yapması halinde üçüncü kişilere ilgili mevzuata uyum sağlamasının dayatılmasının ve akabinde üçüncü kişilerin denetlenmesinin ne surette yapılacağı ilgili mevzuatta açıkça düzenlenmemiş olmakla birlikte Rehber'de de sonraki aktarımların nasıl denetleneceği ile ilgili herhangi bir açıklık getirilmemiştir. Dolayısıyla, sonraki aktarımlar bakımından pratikte sorunlar gündeme gelebilecektir. Söz konusu sorunların önümüzdeki dönemde uygulamalar ile şekillenmesi beklenmektedir.

Kanun'a eklenen geçiş hükmü mahiyetindeki "Geçici Madde 3" uyarınca, veri işleme faaliyetlerinin 01.09.2024 tarihi itibarıyla yeni düzenlemelere uygun şekilde devam etmesi gerekmektedir. Nitekim, geçmiş uygulama döneminde şirketlerin ilgili kişilerden açık rıza alarak yaptıkları aktarımların geçerliliğinin kalmadığı aşikar olup henüz yeni düzenlemelere uyum sağlamamış olan şirketlerin bir an önce kendi iş süreçleri bakımından en uygulanabilir metodu belirleyerek uyum süreçlerini tamamlamaları önem arz etmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Ece Celep
Ece Celep
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More