Ajanda

YURT DIŞINA VERİ AKTARIMINDA SORUMLULUK ARTIYOR

18.05.2018

Duyurumuz; Kişisel Verileri Koruma Kurumu tarafından 16 Mayıs 2018 tarihinde yayınlanan Yurt Dışına Veri Aktarımında Veri Sorumlularınca Hazırlanacak Taahhütnamede Yer Alacak Asgari Unsurlar hakkındadır. 

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi uyarınca, kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması halinde, veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerektiği öngörülmüş olup, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan Yurtdışına Veri Aktarımında Veri Sorumlularınca Hazırlanacak Taahhütnamede Yer Alacak Asgari Unsurlar belirlenmiştir.

Kurum tarafından yayınlanan metinde, ikili bir ayrım benimsenerek konu, Veri Sorumlusundan Veri İşleyene Aktarım ve Veri Sorumlusundan Veri Sorumlusuna Aktarım olarak iki ayrı başlık altında incelenmiştir.

  • Veri Sorumlusundan Veri İşleyene Aktarım

Veri Sorumlusunun Yükümlülükleri

1. Genel Taahhütler:

  • Kişisel verilerin mevzuata uygun olarak işlenmesi ve aktarılması
  • Kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin muhafazası kapsamında uygun güvenlik düzeyinin tesis edilmesi için gerekli her türlü tedbirin alınması ile işbu tedbirlerin veri işleyen tarafından da alınmasının sağlanması
  • Veri sorumlusu tarafından Veri işleyene, aktarılan kişisel verilerin yalnızca kendi adına ve Kanun ile sözleşme hükümlerine uygun olarak işleneceği yönünde talimat verilmesi
  • Veri işleyenin, öngörülen yükümlülükleri yerine getirebilecek yeterliliği haiz olduğunun taahhüt edilmesi
  • Taahhütnamenin, veri aktarımı işlemine başlanmadan önce Kurul’a onaylatılması

2. Bildirime İlişkin Taahhütler:

  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde gerekli bildirim ve ilan yükümlülüğünün yerine getirilmesi
  • Veri işleyen tarafından bildirilen ihlal hallerinin en kısa süre içerisinde ilgilisine ve Kurul’a bildirilmesi
  • Veri aktarımına ilişkin sözleşmede yer alan hükümlerin veri işleyen tarafından yerine getirilmesi hususunda meydana gelen sorunlar hakkında en kısa süre içerisinde Kurul’a bilgi verilmesi

Veri İşleyenin Yükümlülükleri

  • Kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin muhafazası kapsamında uygun güvenlik düzeyinin tesis edilmesi için gerekli her türlü tedbirin alınması
  • Veri sorumlusunun talimatlarına ve sözleşmeye uygun olmayan bir şekilde veri işlenmesi halinde, en kısa süre içerisinde veri sorumlusunun bilgilendirilmesi (Bu durumda, veri işleyen veri sorumlusunun veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.)
  • Sözleşme tarihinde, sözleşmeye aykırı bir ulusal düzenleme olup olmadığının araştırılması (Sözleşmeye aykırı bir düzenleme olması halinde, veri işleyen veri sorumlusunun veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.)
  • Sözleşmenin feshini veya yürürlük süresinin sona ermesini takiben, veri sorumlusu ile varılacak mutabakat doğrultusunda, verilerin silinmesi, yok edilmesi, anonimleştirilmesi veya muhafazasına ilişkin olarak gerekli her türlü tedbirin alınması
  • Kişisel verilerin yasal gereklilikler nedeni ile ilgili makamlarca paylaşılması halinde, durumun en kısa sürede veri sorumlusuna bildirilmesi
  • Veri aktarımı kapsamındaki taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik olarak veri sorumlusunun denetim yapma ve yaptırma yetkisine sahip olduğunun kabul edilmesi
  • Sözleşme konusu hizmetin ifası sırasında, sözleşmeye konu kişisel verilerin, bir alt işverene aktarılması gereken hallerde, veri sorumlusunun ispat edilebilir şekilde bilgilendirmesi ve onayının alması

Veri Sorumlusundan Veri Sorumlusuna Aktarım

Veri Aktaran Veri Sorumlusunun Yükümlülükleri

1. Genel Taahhütler:

  • Kişisel verilerin mevzuata uygun olarak işlenmesi ve aktarılması
  • Kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin muhafazası kapsamında uygun güvenlik düzeyinin tesis edilmesi için gerekli her türlü tedbirin alınması ile işbu tedbirlerin veri alıcısı olan veri sorumlusu tarafından da alınmasının sağlanması
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde gerekli bildirim ve ilan yükümlülüğünün yerine getirilmesi
  • Veri alıcısının sözleşmede kararlaştırılan yükümlülüklerini ihlal etmesi halinde, veri aktarımı askıya alınabilecek veya sözleşme feshedilebilecektir.
  • Veri aktaranın, öngörülen yükümlülükleri yerine getirebilecek yeterliliği haiz olduğunun taahhüt edilmesi
  • Veri aktarımı işlemine başlanmadan önce taahhütnamenin Kurul’a onaylatılması

2. Bildirime İlişkin Taahhütler:

  • Veri alıcısına, aktarıma konu kişisel verilerin, Kanun ve sözleşme hükümlerine uygun bir şekilde işlendiğinin bildirilmesi
  • Veri aktarımına ilişkin sözleşmede yer alan hükümlerin veri işleyen tarafından yerine getirilmesi hususunda meydana gelen sorunlar hakkında en kısa süre içerisinde Kurul’a bilgi verilmesi

Veri Alıcısının Yükümlülükleri

  • Kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin muhafazası kapsamında uygun güvenlik düzeyinin tesis edilmesi için gerekli her türlü tedbirin alınması
  • Kişisel verilerin, veri işleyenler de dahil olmak üzere, veri alıcısının yetkisi altında faaliyet gösteren kişilerce, sadece veri alıcısından alınan talimatlarla işlenmesi
  • Veri aktaranın talimatlarına ve sözleşmeye uygun olmayan bir şekilde veri işlenmesi halinde, en kısa süre içerisinde veri aktaranın bilgilendirilmesi (Bu durumda, veri alıcısı veri aktaranın veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.)
  • Sözleşme tarihinde, sözleşmeye aykırı bir ulusal düzenleme olup olmadığının tespit edilmesi (Sözleşmeye aykırı bir düzenleme olması halinde, veri işleyen veri sorumlusunun veri aktarımını askıya alma ve sözleşmeyi feshetme hakkına sahip olacağını kabul eder.)
  • Kişisel verilerin yasal gereklilikler nedeni ile ilgili makamlarca paylaşılması halinde, durumun en kısa sürede veri sorumlusuna bildirilmesi (Veri aktaranın talebinin niteliği doğrultusunda, veri aktaranın sözleşmeyi askıya alma veya feshetme hakkına sahip olacağını kabul eder)
  • Sözleşmenin feshini veya yürürlük süresinin sona ermesini takiben, veri aktaran ile varılacak mutabakat doğrultusunda, verilerin silinmesi, yok edilmesi, anonimleştirilmesi veya muhafazasına ilişkin olarak gerekli her türlü tedbirin alınması
  • Veri aktarımı kapsamındaki taahhüt ve yükümlülüklerin yerine getirilip getirilmediğine yönelik olarak veri aktaranın denetim yapma ve yaptırma yetkisine sahip olduğunun kabul edilmesi

İşbu yazı hakkında ek bilgi gerektiğinde aşağıdaki kişilerle irtibata geçmenizi rica ederiz.

Ersin Nazalı

Yönetici Ortak, Avukat, YMM
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.