KVKK YURT DIŞINA AKTARIM KAPSAMINDA YAPILAN KANUN DEĞİŞİKLİĞİNE İLİŞKİN DEĞERLENDİRME
Yazar: Av. Burçak DALGIÇ
GİRİŞ
12 Mart 2024 tarihinde Resmi Gazete’de yayımlanarak 1 Haziran 2024 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun (KVKK) 9. Maddesi’nde yer alan yurt dışına aktarım hususundaki değişiklikler ile 10 Temmuz 2024 tarihinde yayımlanarak yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Yönetmelik) kapsamında kişisel verilerin işlenmesi ve yurt dışına aktarılması noktasında özellikle usule ilişkin birçok yeni düzenleme getirilmiş, eski hüküm neredeyse bütünüyle değişikliğe uğramıştır. General Data Protection Regulation (GDPR) mevzuatına uyum amacıyla gündeme gelen söz konusu kanun değişikliği kapsamında veri sorumlularının yurt dışına aktarıma devam edebilmek için uyum sürecini başlatması, hatta kanun değişikliğe ait uygulama yönetmeliğinin yürürlük tarihinin 1 Eylül olması sebebiyle uyum sürecini tamamlamış olmaları gerekmektedir.
1. Kanun Değişikliği Öncesi Yurt Dışına Aktarım Usulü
Yürürlükteki sistematikte kişisel verilerin yurt dışına aktarımında ilgili kişi yani kişisel verinin sahibinden alınacak bir açık rıza beyanı yeterli oluyordu.[1] Söz konusu açık rızanın alınmasına gerek olmayan istisnai haller için ise KVKK m. 5/2 ve KVKK m. 6/3 de yer alan şartlardan birinin varlığı yani; işlenme şartları ile bu şartların özel nitelikli kişisel verilerin işlenmesine yönelik düzenlenmiş ek şartlar ve kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması, bunun bulunmaması durumunda veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmesiyle birlikte Kurul’un bu hususta izninin bulunması yeterli olurken yeni gelen düzenlemeyle söz konusu kanun hükmünün tamamı değişmiştir.
Artık eski hükümde bulunan açık rıza şartı tamamen ortadan kalkmış yeni hükümde yer alan kademeli sistematiğin yerine getirilmesiyle birlikte KVKK m.5 ve 6’da yer alan şartlardan herhangi birinin varlığı halinde ilgili kişinin onayına bağlı kalmaksızın kişisel veriler yurt dışına aktarılabilir hale gelmiştir.[2]
2. Kanun Değişikliği Sonrası Yurt Dışına Aktarım Usulü
Yeni KVKK m.9 ve ilgili yönetmelik ile kişisel verilerin yurt dışına aktarımı için kademeli bir yöntem öngörülmüştür. Eski düzenlemeyle açık rıza temelli bir yaklaşım söz konusuyken artık yeterlilik kararı – uygun güvenceler – arızi (istisnai haller) şeklinde basamaklı bir sistematiğe geçiş yapılmıştır.
Yeni sistemin detaylarına geçmeden önce kanun maddesinde yapılan en önemli değişikliklerden biri; yurt dışına aktarım işlemi için yalnızca veri sorumlusunun süje olmaktan çıkıp buna veri işleyenlerinde eklenmesidir. Artık sadece veri sorumluları değil veri işleyenlerde yurt dışına aktarım hususunda yetkili sayılmıştır. Bu durum veri sorumlularının; KVKK bazındaki yurt dışına aktarım hususunda veri işleyenin veri sorumlusundan onay alması prosedürünü ortadan kaldırabilir ancak her ihtimalde veri sorumlusu olan kişi veya kişilerin bu yetkiyi yine onayına bağlaması kendi inisiyatifinde olacaktır zira ilgili düzenlemenin veri sorumlusunun/veri sorumlusu şirketin iç yapılanmasına etkisi mümkün değildir.
2.1. Yeterlilik Kararına Dayalı Aktarım
Yeni değişiklikle birlikte KVKK m.5-6’da yer alan işlenme şartlarının birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında kurulun vermiş olduğu yeterlilik kararı bulunmalıdır.
Bu konular hakkında yeterlilik kararı verilirken ilgili ülke, uluslararası kuruluş ve sektörler ile Türkiye arasındaki karşılıklılık esasının korunacağı belirtilmiştir. Yeterlilik kararının verilmesinde karşılıklılık sağlanması dışında karara konu olabilecek süjelerin Türkiye’nin de tarafı olduğu uluslararası sözleşmelere ve kuruluşlara, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere ve kuruluşlara taraf ve üye olması, tabi oldukları bağımsız bir veri koruma kurumunun bulunması ve adil başvuru yolarını ihtiva etmeleri yeterlilik kararı verilirken önem arz edecek kriterlerdir.[3]
Kişisel Verileri Koruma Kurulun (Kurul) vereceği yeterlilik kararlarının Resmi Gazete’de yayımlanacağı yine Kurul tarafından duyurulmuştur. Yeterlilik kararıyla birlikte en geç dört yılda bir Kurul vermiş olduğu yeterlilik kararlarını değerlendirecek ve bu kapsamında değiştirme ve askıya alma yetkilerinden herhangi birini kullanabilecektir.
Son olarak Kurul yakın zamanda hazırlamış olduğu bültende; halihazırda vermiş olduğu bir yeterlilik kararının bulunmadığını ancak bu konuda titizlikle ve yoğun şekilde çalışma içinde olduğunu bildirmiştir.[4] Dolayısıyla veri sorumlularının halihazırda çalışmakta olduğu ve dolayısıyla yurt dışına aktarım yaptığı çoğu şirket muhtemelen Kurul’dan yeterlilik kararı alacak olmakla birlikte; Kurul’un söz konusu değerlendirmeyi ne zaman yapacağı ve ihtiyacımız olan Kurul kararına ne zaman vereceği konusunda herhangi bir bilgi olmaması sebebiyle; yurt dışına aktarım konusunda alternatif diğer yöntemlerden birine başvurmak gerekmektedir.
2.2. Uygun Güvencelere Dayalı Aktarım
Yeni düzenleme kapsamında eğer Kurul’un verdiği herhangi bir yeterlilik kararı yoksa (şu an olduğu gibi) alternatif yöntem olarak uygun güvencelerden herhangi birinin taraflarca sağlanması gerekliliği öngörülmüştür.
Bu kapsamda yine KVKK.m.5-6’da yer alan şartlardan birinin varlığı ve ilgili kişinin (veri sahibinin) aktarım yapılacak ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunmasıyla birlikte 4 farklı uygun güvenceden herhangi biri seçilerek yurt dışına aktarım yapabilecektir. Bunlar:
– Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları için özel aktarım sebebi
– Bağlayıcı şirket kuralları
– Standart sözleşmeler
– Taahhütnamedir.
Aktarım yapacak şirket söz konusu 4 uygun güvenceden herhangi birini seçip aynı zamanda diğer zorunlu şartları sağladıktan sonra bunu kuruma bildirmekle ve onay almakla yükümlüdür.
Bu hususta hızlıca Kurul kararı yayımlanmış ve şirketlerin uyum süresince yol gösterici olabilecek bilgilendirmeler yapılmıştır. Kurul kararına göre örneğin şirketlerin standart sözleşme güvencesini seçmesi durumunda sözleşmenin içeriğinde; veri kategorileri, veri aktarımının amaçları alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususların bulunması gerekliliğinden bahsedilmiş ve buna yönelik yol gösterici örnek sözleşme metinleri yayımlanmıştır. [5]
Bir diğer önemli husus; Yeni KVKK’nin 9. maddesine eklenen 5. fıkra, Standart Sözleşmelerin (SSC) imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyenin Kurul’a bu sözleşmeyi bildirmesini zorunlu tutmuştu. Aksi takdirde bu yükümlülüğü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği, 18. maddenin birinci fıkrasına eklenen (d) bendiyle kanunlaştırılmıştı. Yürürlüğe giren Yönetmelik’in 14. maddesi ile söz konusu bildirim yükümlülüğünün derecesi artırılmış, SCC’nin taraflarının değişmesi, içeriğinin taraflarca değiştirilmesi ve sözleşmenin sonlandırılması durumlarının da Kurum’a bildirilmesi gerektiği düzenlenmiştir
2.3. İstisnai (Arızi) Aktarım
Bir yeterlilik kararı bulunmaması ve uygun güvencelerden birinin de sağlanamadığı hallerde, üçüncü basamak olan istisnai aktarım yöntemi ile kişisel verilerin yurt dışına aktarımı sağlanabilecektir. Bu yöntemle aktarımın arızi olması, yani istisnai/tek veya birkaç sefere mahsus ve sistematik olmayacak şekilde gerçekleştirilecek olması şartı getirilmiştir.
Yeni KVKK ve ilgili yönetmelikte istisnai durumlara ilişkin aktarım hali için (i) muhtemel risklere yönelik bilgilendirilmiş özel açık rızanın bulunması, (i) sözleşmenin ifası ve sözleşme öncesi tedbirlerin uygulanması, (i) ilgili kişi yararına üçüncü taraf sözleşmeleri, (iv) üstün bir kamu yararı için zorunluluk, (v) hakkın tesisi, kullanılması veya korunması, (vi) fili imkansızlık ve (vi) kamuya açık sicillerden aktarım hukuki sebepleri sayılmıştır.
Getirilen bu düzenleme ile kanunun eski halinde geniş uygulama alanı bulan açık rızaya dayalı veri aktarımı yeniden tasarlanmış ve sınırlandırılmıştır. Buna göre arızi olmak şartıyla kişisel verilerin yurt dışına aktarılabilmesi için açık rızaya başvurulabilecektir ve bu yola aktarımın gerçekleştirilebilmesi için ilgili kişinin muhtemel risklere ilişkin bilgilendirilmiş, aydınlatılmış olması aranmaktadır.
Ancak tekrar belirtmek gerekirse arızi yöntem şirketlerin başvurabileceği son yöntemdir. Diğer iki ihtimal olan yeterlilik kararı ve uygun güvencelere dayalı aktarım ihtimallerinden herhangi birinin sağlanamadığı durumlarda son olarak bu yönteme başvurabilir ve bu ihtimalde de kurulun onayı şarttır.
SONUÇ
Getirilen yeni düzenlemeyle birlikte yurt dışına aktarım usulü tamamen değişmiş ve daha sıkı şartların yerine getirilmesine bağlanmıştır. GDPR’a uyum kapsamında gündeme gelen değişiklik ile birlikte veri sorumlularının/veri sorumlusu şirketlerin ve yeni düzenlemeyle birlikte şartların gerçekleşmesi halinde veri işleyenlerin yeni kanuna uyum sürecini 1 Eylül tarihine kadar başlatması ve tamamlaması öngörülmüştür.
Halihazırda veri sorumlusu şirketler için başvurabilecek en kolay ve kesin uygun güvencelere dayalı aktarım metodu Standart Sözleşme seçeneği olmuştur. Ne var ki uygulama yönetmeliğinde yer alan usulü şartların sağlanması veri sorumluları için zorlayıcı durumda olmakla birlikte Kurul’dan sehven alınan bilgilerin günden güne değişiklik gösterdiği, kanun değişikliğinden günümüze imzala koşullarının nispeten esnetildiği bilinmektedir.
Özellikle küresel bazda faaliyet gösteren veri sorumlularının söz konusu kanun değişikliğine uyum kapsamında uzmanlardan ve/veya kişisel veri hukuku üzerine çalışan avukatlardan destek alması gerekliliği gündeme gelmektedir.
KVKK alanındaki tüm Blog yazılarımızı bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi Son Sayı’mızı okumak için bağlantıya tıklayınız.
Yazar: Av. Burçak DALGIÇ
[1] İlga Kişisel Verilerin Korunması Kanunu Madde 9
[2] Kişisel Verilerin Yurt Dışına Aktarılmasına Dair Usul ve Esaslar Hakkında Yönetmelik Madde 6
[3] Kişisel Verilerin Yurt Dışına Aktarılmasına Dair Usul ve Esaslar Hakkında Yönetmelik Madde 8
[4] Kişisel Verileri Koruma Kurumu 4. Bülten
[5] 2024/959 sayılı Kurul Kararı