Kişisel Verilerin Yurt Dışına
Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10.07.2024 tarihli
Resmî Gazete’de yayımlandı. 1 Haziran 2024 tarihinde yürürlüğe giren 6698
sayılı Kişisel Verilerin Korunması Kanunundaki değişikliklerden bir tanesi de
kişisel verilerin yurt dışına aktarılmasını düzenleyen dokuzuncu maddedir. İşbu
yönetmelikle birlikte; 6698 sayılı Kişisel Verilerin Korunması Kanununun
kişisel verilerin yurt dışına aktarılmasını düzenleyen dokuzuncu maddesinin
uygulanmasına ilişkin usul ve esasları belirlenmektedir. Ayrıca, yönetmelik ile
veri aktaran ve veri alıcısı kavramlarının tanımları mevzuatımızda yerini
bulmuştur.
Yönetmeliğin kapsam maddesinde; yurt
dışına kişisel veri aktarımına taraf olan veri sorumluları ve veri işleyenler
hakkında uygulanacağı düzenlenmiştir. Kişisel verilerin veri işleyen tarafından
aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyma zorunluluğu
öngörülmüştür. Bu zorunluluğun yurt dışına aktarılan kişisel verilerin sonraki
aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanması
öngörülmüştür.
Yönetmelikte, kişisel verilerin yurt
dışına aktarılması usulünde ise; Kanunun beşinci ve altıncı maddelerinde
belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin
gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt
dışına aktarılabileceği öngörülmüştür.
(i) Aktarımın yapılacağı ülke, ülke
içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı
bulunması.
(ii) Yeterlilik kararının bulunmaması
durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve
etkili kanun yollarına başvurma imkânının bulunması kaydıyla, onuncu maddede
belirtilen uygun güvencelerden birinin taraflarca sağlanması.
Yönetmelik ile birlikte Kurul
tarafından yurt dışına veri aktarımı için Yeterlilik Kararının verilmesi
ihtimalinde Kurul’un inceleyeceği ve yeterlilik kararının gözden geçirilmesine
ilişkin hususlar sayılmıştır. Yönetmeliğe göre Yeterlilik kararı, en geç dört
yılda bir yeniden değerlendirilir. İlgili yeterlilik kararında, yeniden
değerlendirme dönemleri açıkça belirlenir. Kurul, yeniden değerlendirme
sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası
kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını
ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Yönetmelik’te,
yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına
ilişkin olarak verilen kararların Resmî Gazete’de ve Kurum’un internet
sitesinde yayımlanacağı düzenlenmiştir.
Yönetmelik altında Uygun Güvencelere
dayalı aktarım mekanizmalarından uluslararası sözleşme niteliğinde olmayan
anlaşma, bağlayıcı şirket kuralları ve taahhütnamede bulunması gereken asgari
hususlar ve bu mekanizmalara dayanılarak nasıl kişisel veri aktarımı
yapılacağına ilişkin hususlar belirtilmiştir. Yine, Standart Sözleşmenin ise
Kurul tarafından belirlenerek ilan edileceği düzenlenmiştir.
Kanun’un dokuzuncu maddesinin yeni
halinde Yeterlilik Kararı ve Uygun Güvencelerin sağlanamadığı aktarımlar için
başvurulabilecek geçen “arızi” ibaresi ise Yönetmelik’te istisnai aktarım
halleri başlığında; düzenli olmayan, tek veya birkaç sefer gerçekleşen,
süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar
olarak düzenleme bulmuştur.
Yönetmelik’in tereddütlerin giderilmesi
başlıklı maddesinde; uygulanması sırasında doğacak tereddütleri gidermeye ve
Yönetmelik’te yer almayan konularda, ilgili mevzuat hükümleri çerçevesinde
karar vermeye Kurul yetkili kılınmıştır.
Kaynak: https://www.resmigazete.gov.tr/10.07.2024
