–Kişisel Verileri Koruma Kurumu (KVKK) tarafından hazırlanan kişisel verilerin yurt dışına aktarımına yönelik usul ve esasları belirleyen yönetmelik, Temmuz ayında Resmi Gazete’de yayımlandı ve aynı tarihte yürürlüğe girdi. Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kişisel Verileri Koruma Kanunu’nda ve bu yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilecek.
-Kişisel veriler, kanundaki şartlardan birinin varlığının yanı sıra aktarımın yapılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması durumunda yönetmelikte belirtilen uygun güvencelerden birinin sağlanması veya bunlar olmadığında arızi olarak yönetmelikte belirtilen istisnai hallerde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecek.
Ülkemizde kişisel verilerin korunmasına yönelik düzenlemeler yapılmaya devam ediyor. Uygulamada ortaya çıkan ihtiyaçlar kapsamında kişisel verilerin korunması kanununda Mart ayında değişiklikler yapılmıştı. Bu değişiklikte AB düzenlemeleri de dikkate alınmıştı. Yapılan değişiklikler genel olarak 1 Haziran’da yürürlüğe girmişti. Kanunda özel nitelikli kişisel verilerin işlenmesi ile kişisel verilerin yurt dışına aktarımına yönelik önemli değişiklikler yapılmıştı. 1 Eylül 2024 tarihine kadar açık rıza alınarak kişisel verilerin yurt dışına aktarılmasına yönelik mevcut uygulamaya devam edilmekle birlikte kişisel verilerin yurt dışına aktarımına ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmişti.
KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMINA İLİŞKİN DÜZENLEME YAYIMLANDI
Bu kapsamda Kişisel Verileri Koruma Kurumu (KVKK) tarafından hazırlanan kişisel verilerin yurt dışına aktarımına yönelik usul ve esasları belirleyen yönetmelik Temmuz ayında Resmi Gazete’de yayımlandı ve yayımlandığı tarihte yürürlüğe girdi. Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak kişisel verileri koruma kanununda ve bu yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilecek. Kişisel verilerin yurt dışına aktarımında uygulanacak yöntemlere yönetmelikte detaylı olarak yer veriliyor.
KİŞİSEL VERİLER, YURT DIŞINA FARKLI YÖNTEMLERLE AKTARILABİLECEK
Kişisel veriler, kanundaki şartlardan birinin varlığının yanı sıra aktarımın yapılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması durumunda yönetmelikte belirtilen uygun güvencelerden birinin sağlanması veya bunlar olmadığında arızi olarak yönetmelikte belirtilen istisnai hallerde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecek. Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması halinde veri işleyen, veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket edecek. Veri işleyen, kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbirleri alacak.
YETERLİLİK KARARI VERİLEN ÜLKE VEYA SEKTÖRLERE VERİ AKTARIMI MÜMKÜN OLACAK
Kişisel Verileri Koruma Kurulu, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecek. Kurul bu kararı alırken yönetmelikte yer verilen mütekabiliyet gibi hususları dikkate alacak.
Yeterlilik kararları Resmi Gazete’de ve Kurumun internet sitesinde yayımlanacak. Yeterlilik kararı, en geç 4 yılda bir yeniden değerlendirilecek. Yeterlilik kararının bulunmaması durumunda yönetmelikte yer verilen koşulları kapsaması kaydıyla uygun güvencelerden birisinin sağlanması halinde de kişisel veriler yurt dışına aktarılabilecek.
YURT DIŞINDAKİ GRUP ŞİRKETLERİNE KİŞİSEL VERİLER AKTARILABİLECEK
Bu kapsamda; ilgili kuruluşlar arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, ortak ekonomik faaliyette bulunan grup şirketlerinin uymakla yükümlü oldukları bağlayıcı şirket kurallarının varlığı, Kurul tarafından ilan edilen standart sözleşmeler, yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi yöntemleri uygulanabilecek.
Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulacak. Bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulacak. Kurulun onaylaması durumunda kişisel veriler grup şirketlerine aktarılabilecek.
YURT DIŞINA KİŞİSEL VERİ AKTARIMI SÖZ KONUSU OLABİLECEK
Kişisel veriler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla yönetmelikte yer verilen istisnai aktarım hallerinden birinin varlığı halinde de yurt dışına aktarılabilecek. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi nitelikte olarak değerlendirilecek.
İlgili kişinin, aktarıma açık rıza vermesi, aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması gibi durumlarda kişisel verilerin arızi olarak yurt dışına aktarımı söz konusu olabilecek.
DÜZENLEME İLE UYUMLU SÜREÇLERİN OLUŞTURULMASI GEREKİYOR
Bu düzenleme ile kişisel verilerin yurt dışına aktarımı kolaylaşıyor. Daha önceki düzenleme kapsamında kişisel verilerin yurt dışına aktarımında yaşanan çeşitli sorunların ve uygulamada ortaya çıkan zorlukların bu düzenleme ile azalması bekleniyor. Şirketlerin ve kurumların uyum riski ve yaptırımlar ile karşılaşmamaları için kişisel verilerin yurt dışına aktarılması süreçlerini yönetmelikte yer verilen kurallara uygun şekilde oluşturmaları, yürütmeleri ve bu yönde gerekli önlemleri almaları önem taşıyor.
Gürdoğan YURTSEVER
Mevzuat Uyum Derneği Başkanı
yurtsever@turcomoney.com
@guryurtsever
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
İsim *
Email *
Bir dahaki sefere yorum yaptığımda kullanılmak üzere adımı, e-posta adresimi ve web site adresimi bu tarayıcıya kaydet.
Δ
Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.