Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar
Hakkında Yönetmelik Taslağı
12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı
Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına
Dair Kanunun 34’üncü maddesi ile 6698 sayılı Kişisel Verilerin
Korunması Kanunu’nun (“Kanun”) 9. Maddesinde değişiklik
yapılmıştır.
Değişikliğin konusu “Kişisel verilerin yurt dışına aktarılması” başlıklı
maddenin yeni halinin on birinci fıkrasında bu maddenin
uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği
öngörülmüştür. Bu itibarla, Kişisel Verileri Koruma Kurumu tarafından
“Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar
Hakkında Yönetmelik Taslağı” (“Taslak”) hazırlanmıştır.
Taslak’ın 6. Maddesinde kişisel verilerin yurt dışına aktarılma usulleri
düzenlenmiştir.
Madde uyarınca aktarımın yapılacağı ülke, ülke
içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik
kararı bulunması durumunda veri sorumluları ve veri işleyenler verileri
yurt dışına aktarabilecektir. Yeterlilik kararının bulunmaması
durumunda Taslak’ın 10. Maddesinde belirtilen güvencelerden birinin
taraflarca sağlanması veya 16. Maddesinde belirtilen istisnai hallerden
birinin varlığı halinde veriler yurt dışına aktarılabilecektir.
Taslak’ın 7. Maddesinde veri işleyenin kişisel verilerin hukuka aykırı
olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak
erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak
amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma
yükümlülüğü düzenlenmiştir.
Taslak’ın 8. Maddesinde Kurul’un, kişisel verilerin yurt dışına aktarımı
ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün
ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına
karar verme yetkisi düzenlenmiştir. Bunun yanında yeterlilik kararı
verilirken dikkate alınacak hususlar sıralanmıştır. 9. Maddede yeterlilik
kararının en geç 4 yılda bir yeniden değerlendirileceği, ayrıca Kurul’un
yeniden değerlendirme dönemi ile bağlı olmaksızın gerekli gördüğü
takdirde yeterlilik kararını gözden geçirerek ileriye etkili olmak üzere
değiştirebileceği, askıya alabileceği ya da kaldırabileceği belirtilmiştir.
8. Maddede belirtilen yeterlilik kararının mevcut olmadığı durumlarda
da mevzuata uygun veri aktarımı yapmak mümkündür. Bu amaçla;
i. 10. Maddede uygun güvence sağlama yolları,
ii. 11. Maddede uluslararası sözleşme niteliğinde olmayan
anlaşmayla uygun güvencenin sağlanması
iii. 12. Maddede bağlayıcı şirket kurallarıyla uygun güvencenin
sağlanması,
iv. 13. Maddede bağlayıcı şirket kurallarında bulunması
gereken hususlar,
v. 14. Maddede standart sözleşmeyle uygun güvencenin
sağlanması,
vi. 15.
Maddede taahhütnameyle uygun güvencenin
sağlanması,
vii. 16. Maddede istisnai aktarım halleri,
düzenlenmiştir.
Özellikle belirtmek gerekir ki veri kategorileri, veri aktarımının
amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik
ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler
gibi hususları ihtiva eden standart sözleşme vasıtasıyla uygun
güvence sağlanabilir. Standart sözleşme, Kurul tarafından
belirlenerek ilan edilir.
Kişisel Verileri Koruma Kurulunun 9.05.2024 tarihli ve 2024/762 sayılı
Kararı ile Yönetmelik Taslağına ilişkin olarak kamuoyunun
görüşlerinin alınması öngörülmüş olup bu kapsamda ilgili görüş ve
değerlendirmelerin Mevzuat Hazırlama Usul ve Esasları Hakkında
Yönetmelik ekindeki Görüş Formuna uygun olarak ve işlenebilir
formatta 20.05.2024 tarihine kadar hukuk@kvkk.gov.tr elektronik
posta adresine gönderilmesi mümkündür.
Yönetmelik Taslağına buradan, Gerekçeye buradan, görüş formuna
ise buradan ulaşabilirsiniz.