Kişisel Verilerin Yurt Dışına Aktarılması

KVKK’da yapılan değişikliler sonucu, kişisel verilerin yurt dışına aktarımı için kademeli bir değerlendirme yapılması gerekecektir. Bu kapsamda öncelikle yurt dışına veri aktarıma ilişkin öncelikle kanunlarda veya uluslararası anlaşmalarda hüküm bulunup bulunmadığına bakılmalı, açık hüküm bulunmuyorsa Kişisel Verileri Koruma Kuruu tarafından ülkelere/sektörlere (veri sahibinin veya Kişisel Verileri Koruma Kurul’unun (“Kurul”) ayrıca iznine gerek olmaksızın) verilen bir yeterlilik kararı olup olmadığına bakılmalıdır. Henüz Kurul tarafından verilen bir yeterlilik kararı bulunmamaktadır. 

Bir ülke/sektör için verilen herhangi bir yeterlilik kararları ilan edilmediği takdirde, KVKK’da yeni tanıtılan uygun güvence ile aktarım yollarına başvurulmalıdır. Uygun güvence ile aktarım yolları kısaca aşağıdaki gibidir:

1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi
2. Bağlayıcı şirket kuralları
3. Standart sözleşme
4. Kurul tarafından onaylanan taahhütname

Bir ülke/sektör hakkında verilen yeterlilik kararı bulunmaması ve uygun güvencelerin sağlanamaması halinde, arızi aktarım halleri ile kişisel verilerin yurt dışına geçici olarak aktarılması mümkündür.

Aktarım yollarına ilişkin detaylı bilgiler Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’te düzenlenmektedir. Açık rızaya dayalı yurt dışına kişisel veri aktarımları, geçici olmayan ve istisnai hallerde mümkün olacağından, bu haller olmadan açık rızaya dayalı yurt dışına aktarımlar KVKK’ya aykırı hale geleceğinden, geçici olmayan aktarımlar için yukarıda yer alan yeni aktarım yollarına başvurulması gerekmektedir.

Uygun güvence ile aktarım yollarından kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar Kurul’un internet sitesinde ilan edilmiştir.

Örneğin, Microsoft bulut hizmetlerini kullanan veya kullanacak olan her kurumsal müşterinin anlaşma paketine standart sözleşme metnini entegre ederek, müşterilerinin Microsoft aracılığıyla yurt dışına veri aktarmaları durumunda ilgili sözleşmenin akdedilerek KVKK’ya uyum sağlanması için çalışma başlatmıştır.

Yukarıda belirtilen değişiklikler kapsamında, veri sorumlusu için en uygun yurt dışına aktarım mekanizması seçilerek, bundan sonraki aktarımlar için bu yollara başvurulmalı, ve bu mekanizmanın Yönetmelikte belirtilen gerekliliklerine uyulmalıdır. Örneğin, standart sözleşme ile aktarım yolu tercih edilecekse, veri sorumlusu karşı taraf ile karşı tarafın hukuki niteliğine göre ilgili sözleşmeyi akdetmelidir. Ayrıca, veri sorumlusu şirketlerin KVKK aydınlatma metinlerinde yer alan ilgili yurt dışı aktarım kısımlarını revize etmeleri, veri envanterlerini de bu kapsamda güncellemeleri gerekmektedir.

 Özel nitelikli kişisel verilere ilişkin olarak, değişikliklerden önce açık rızaya dayalı olarak yapılan işleme faaliyetlerinin, değişikliklerden sonra KVKK’daki istisnalara dahil olup olamayacağı değerlendirilmeli ve yeni istisnalara dahil edilebilen işleme faaliyetleri ilgili dokümanlarda revize edilmelidir.