KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN REHBER YAYIMLANDI

03.01.2025

Anımsanacağı üzere, ticari hayatın olağan akışına aykırı, hukuka uygunluğun temin edilmesini neredeyse imkansız kılan ve Türkiye’ye yapılan yatırımları da engelleyici bir hal alan yurt dışına veri aktarımına yönelik 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun[1] (“Kanun”) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu madde hükümleri, Kanun’un hazırlık sürecinde esas alınan fakat Kanun’un yürürlüğe girmesini takiben iki yıl sonra yürürlükten kaldırılan 95/46/EC sayılı Direktif’in[2] yerini alan, her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçları nazara alırken ilgili kişilere verileri üzerinde daha fazla kontrol hakkı tanıyan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü[3] (“GVKT”) ile uyum sağlanması amacıyla 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun[4] ile değiştirilmiş ve anılan değişiklikler (“Değişiklik”) 1 Haziran 2024 tarihinde yürürlüğe girmişti.

Bu doğrultuda, Değişiklik ile yurt dışına kişisel veri aktarımına ilişkin yöntemler GVKT ile daha uyumlu hale getirilerek genişletilmiş ve kademeli bir aktarım rejimi tesis edilmişti. Anılan kademeli aktarım rejiminin uygulanmasına ilişkin usul ve esaslar ise Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik[5] (“Yönetmelik”) ile açıklığa kavuşturulmaya gayret edilmişti. Bununla birlikte, Kanun’un ve Yönetmelik’in uygulamasına ilişkin yeni dönem pek çok soru işaretini de beraberinde getirmişti.

Uygulamadaki söz konusu belirsizliklerin giderilmesi adına Kişisel Verileri Koruma Kurumu (“Kurum”), uzun zamandır beklenen Kişisel Verilerin Yurt Dışına Aktarılması Rehberi[6] (“Rehber”) başlıklı yol gösterici dokümanı 2 Ocak 2025 tarihinde yayımlamıştır. Rehber’de öne çıkan hususları aşağıda paylaşmaktayız:

• Rehber’in pratik deneyimlere dayanarak gözden geçirileceğine ve gerekmesi halinde bu doğrultuda güncellenebileceğine değinilmiştir.
• İlgili mevzuatta açıkça düzenlenmeyen ve fakat standart sözleşmelerde atıf yapılan “Alt Veri İşleyen” ifadesi, “Veri işleyenin talimatları doğrultusunda hareket eden, veri işleyen adına kişisel verileri işleyen bir gerçek veya tüzel kişi.” olarak ilk kez tanımlanmıştır.
• Bir kişisel veri aktarımının yurt dışına aktarım olarak kabul edilebilmesi için bulunması gereken kriterler, Avrupa Veri Koruma Kurulunun ilgili rehberine[7] de atıf yapılarak aşağıdaki şekilde somutlaştırılmıştır:

1. Veri sorumlusu ya da veri işleyen (veri aktaran) söz konusu kişisel veri işleme faaliyeti için Kanun’a tabi olmalıdır: Kişisel verilerin korunması bakımından Kanun kapsamında mülkilik ilkesi temel alınsa da söz konusu ilkenin, küreselleşen dünyada kişisel verilerin coğrafi sınırları aşarak hızla yayıldığı nazara alındığında gerekli koruma sağlayamaması nedeniyle yetersiz olduğu belirtilmektedir. Nitekim, Türkiye’nin taraf olduğu uluslararası sözleşmeler ve GVKT de etki ilkesini benimseyerek mülkilik ilkesine ek olarak veri işleme faaliyetlerinin sonuçlarının bireyler üzerindeki etkisine odaklanmaktadır.
2. Veri aktaran tarafından işlenen kişisel veriler, iletilmeli veya başka bir suretle erişilebilir hale getirilmelidir: İşbu kriter kapsamında bir hesap oluşturulması, uzaktan erişim sağlanması, sabit sürücünün temin edilmesi ve benzeri yöntemlerle aktarım şartlarının sağlanabileceği vurgulanmıştır. Öte yandan, ilgili kişinin kendi rızasıyla verilerini doğrudan başka bir tarafa iletmesinin söz konusu kriteri karşılamayacağı; veri aktarımının gerçekleşmesi için verilerin kontrolünün veri sorumlusu veya veri işleyenden çıkarak başka bir tarafın kontrolüne geçmesi gerektiği belirtilmiştir.
3. Veri aktarılan veri sorumlusu ya da veri işleyen, Kanun’a tabi olup olmadığına bakılmaksızın üçüncü bir ülkede olmalıdır: Bu kritere göre, veri aktarılan veri sorumlusu ya da veri işleyenin coğrafi olarak üçüncü bir ülkede bulunması gerektiğinin altı çizilmiştir.

• Kanun’da sayılan uygun güvence mekanizmaları arasında yer alan bağlayıcı şirket kurallarına ilişkin dokümanların yayımlandığı tarihten 1 Haziran 2024 tarihine kadar Kurum’a toplam üç başvurunun iletildiği ve fakat söz konusu başvuruların tamamının usul ve esasa ilişkin eksiklikler nedeniyle reddedildiği Rehber’de belirtilmiştir.
• Kanun’da sayılan uygun güvence mekanizmaları arasında yer alan uluslararası sözleşme niteliğinde olmayan anlaşmanın yalnızca iş birliği amaçları doğrultusunda kamu kurumları arasında gerçekleştirilen uluslararası veri aktarımlarını kapsamakta olduğuna ancak bir kamu kurumu ile özel bir kurum arasında gerçekleştirilecek kişisel veri aktarımlarının işbu kapsama dahil olmadığına değinilmiştir.
• Standart sözleşmelerin esasen Türkçe dilinde akdedilmesi gerekmekle birlikte Kurum’a çift sütunlu olarak ve Türkçe ile diğer başka bir dilde düzenlenmiş standart sözleşmelerin bildirilmesi suretiyle de standart sözleşmelerin bildirim yükümlülüğünün karşılanabileceği açıklığa kavuşturulmuştur.
• Standart sözleşme metinlerinin, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından ilan edildiği şekliyle kişisel verilerin yurt dışına aktarılması bakımından uygun güvenceleri sağlayacağının kabul edildiği dikkate alınarak seçimlik veya alternatif içerikli maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmayacağı bir kez daha vurgulanmıştır.
• Rehber kapsamında ayrıca standart sözleşme eklerinin nasıl doldurulması gerektiğine ilişkin açıklamalara da yer verilmiş olup bu doğrultuda dikkat çeken hususlar şu şekildedir: (i) aktarılan kişisel verilerin hangi ilgili kişi grubuna veya gruplarına ilişkin olduğunun kişisel veri bazında belirtilmesi, (ii) aktarıma konu kişisel verilerin kategori (örn. iletişim) ve türlerine (örn. e-posta adresi) göre belirtilmesi, (iii) standart sözleşmeye dayanılarak veri aktaran tarafından gerçekleştirilecek aktarımın ve sonrasında veri alıcısı tarafından gerçekleştirilecek kişisel veri işleme faaliyetinin amaçlarının belirtilmesi, (iv) aktarıma konu kişisel veri kategorilerinin farklı saklama sürelerine tabi olması durumunda sürelerin ayrıca belirtilmesi, (v) veri alıcısı tarafından yapılacak sonraki aktarım kapsamında, standart sözleşmeye dayanılarak veri aktarandan alınan kişisel verilerin aktarıldığı alıcıların belirtilmesi ve (vi) veri alıcısı veri işleyen tarafından alt veri işleyenlere sonraki aktarımın yapıldığı durumlarda söz konusu aktarım ve alt veri işleyen tarafından gerçekleştirilen işleme faaliyetlerinin açıklanması.
• Kurum’a sunulan yabancı ülkelerde düzenlenmiş resmi belgeler üzerindeki imzanın doğruluğunun, belgeyi imzalayan kişinin ünvanının veya gerektiğinde bu belge üzerindeki mühür veya damganın aslı ile aynı olduğunun teyidinin temel kural itibariyle ilgili ülkede görev yapan ülkemiz konsolosluk veya diplomasi memurları tarafından gerçekleştirilmesinin gerekmekte olduğu bununla birlikte Yabancı Resmi Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi[8] çerçevesinde sözleşme tarafı diğer ülkelerden gelen belgelerde apostil şerhinin bulunmasının yeterli olduğu açıklığa kavuşturulmuştur.
• Rehber’de, standart sözleşme metinlerinde değişiklik yapılması veya standart sözleşmelerde aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması halinde Kurul tarafından inceleme yapılacağı bir kez daha vurgulanmıştır.
• Standart sözleşmenin Kurum’a bildirilmesini takiben aktarım taraflarınca yapılan açıklamalarda veya verilen bilgilerde (örn. standart sözleşmelerde belirtilen alıcı veya alıcı gruplarına ilişkin bildirilen bilgiler) herhangi bir değişiklik olması ya da standart sözleşmenin sona ermesi halinde söz konusu durumun beş iş günü içinde fiziki olarak, kayıtlı elektronik posta (KEP) adresi üzerinden veya Kurul tarafından belirlenecek diğer alternatif yöntemler (örn. Standart Sözleşme Bildirim Modülü) vasıtasıyla Kurum’a bildirilmesi gerekliliğine değinilmiştir.

• Kanun’da sayılan aktarım mekanizmaları arasında yer alan istisnai aktarımların son derece dar yorumlanması ve ilgili mekanizmaya son çare olarak başvurulması gerektiğine Rehber’de açıkça yer verilmiş olup bu kapsamdaki aktarımlar için diğer yurt dışına kişisel veri aktarım mekanizmalarının aksine Kanun’un 5’inci ve 6’ncı maddelerinde öngörülen kişisel veri işleme şartlarının sağlanması gerekliliği öngörülmemektedir.
• Birden fazla sefer gerçekleştirilen aktarımların da istisnai aktarım kapsamında olabileceği önemle vurgulanırken aktarımın istisnai olarak kabul edilmesi için düzenli olmaması ve süreklilik arz etmemesi kısacası olağan eylem akışının dışında gerçekleşmesi şartı arandığı belirtilmiştir.
• İstisnai aktarım mekanizmaları kapsamında yer alan açık rızaya başvurularak yurt dışına kişisel veri aktarılması halinde Kanun’un 3’üncü maddesinde belirtilen açık rızanın (i) belirli bir konuya ilişkin olma, (ii) bilgilendirilmeye dayalı olma ve (iii) özgür irade ile açıklanma unsurlarına ek olarak ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartının da sağlanmasının gerekmekte olduğu ve bu kapsamda açık rızayı geri alma hakkının varlığı, açık rızanın aktarım için bir yasal gerekçe olduğu, verilerin aktarılacağı ülke hakkında Kurul tarafından alınmış bir yeterlilik kararının olmadığı, ilgili kişi haklarının aktarımın yapılan ülkede sağlanmayabileceği ve benzeri hususlara söz konusu bilgilendirmede yer verilmesi gerektiği belirtilmiştir.
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması durumlarında kişisel verilerin arızi olarak aktarımı mümkün olabilmektedir. Örneğin, yurt dışında bir soruşturma bağlamında yargı mercilerine kişisel veri içeren evrakların sunulması bu kapsamda değerlendirilebilecek olmakla birlikte (i) aktarıma konu kişisel veri ile işleme faaliyeti arasında bağlantı bulunması ve (ii) işlenecek olan amaçla bağlantılı, ölçülü ve sınırlı bir veri işleme faaliyeti gerçekleştirilmesi gerekmekte olup gelecekte gerçekleşmesi ihtimale bağlı olan veya soyut, herhangi bir idari/adli işlemler ile bağlantı kurulamayan durumlar ile kapsamın genişletilmeyeceği belirtilmiştir.