Yurt Dışına Kişisel Veri Aktarımına İlişkin Kritik Rehber: Uygulamada Neler Değişiyor?
1. Rehber’in Amacı
12 Mart 2024 tarihinde yayımlanan Resmi Gazete ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesinde değişiklik yapılmıştı. Ardından, 10 Temmuz 2024 tarihli Resmi Gazete ile Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) yayımlanmış olup kişisel verilerin yurt dışına veri aktarımının tanımı netleştirilmişti. Bu tanıma göre, yurt dışına aktarım, kişisel verilerin bir veri sorumlusu veya veri işleyen tarafından yurtdışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da erişilebilir hale getirilmesi anlamına gelmektedir.
Kanun değişikliği ve Yönetmelik sonrasında uygulamada beliren sorulara yanıt vermek amacıyla Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 2 Ocak 2025 tarihinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) yayımlanmıştır. Rehber, yurt dışına kişisel veri aktarımında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) beklediği güvence kriterlerini açıklarken, aynı zamanda bu alandaki mevzuat kurallarını uygulamaya yönelik bir rehber niteliği taşımaktadır. Rehber’in amacı, yurt dışına veri aktarımı süreçlerinde uygulama birliği sağlamak ve veri sorumluları ile veri işleyenlere yol göstermektir.
2. Rehber’in Getirdiği Tanımlar
Rehber’de, kişisel verilerin yurt dışına aktarımı konusundaki kurallara ilişkin tanımlar ve açıklamalar yapılmıştır.
3. Kişisel Verilerin Yurt Dışına Aktarımı
Rehber kapsamında kişisel verilerin yurt dışına aktarımı konusunda, birinci kriter olarak mülkilik ilkesinin ötesine geçilerek etki ilkesine dayalı bir yorum benimsenmesi gerektiğini, veri aktaran veri sorumlusu veya veri işleyenin Kanun’a tabi olması gerektiğini vurgulamıştır.
Yeni Rehber, ikinci kriter olarak, yurt dışına veri aktarımından bahsedilebilmesi için kişisel verilerin bir veri sorumlusu veya veri işleyenden başka bir veri sorumlusuna veya veri işleyene iletilmesi veya erişilebilir hale getirilmesi gerektiğini (hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, uzaktan erişim için etkili bir talebin onaylanması/kabul edilmesi, bir sabit sürücünün yerleştirilmesi veya bir dosyaya şifre gönderilmesi gibi) belirtmiştir.
Ayrıca Rehber, üçüncü bir ülkeden gerçekleştirilen uzaktan erişim (kişisel verilerin yalnızca ekranda görüntülenmesi yoluyla bile olsa, örneğin destek, sorun giderme veya yönetim amacıyla) ve/veya yurt dışındaki bir bulut ortamında depolama gibi işlemlerin, belirtilen üç kriterin karşılanması durumunda yurt dışına aktarım olarak kabul edildiğini belirtmiştir. Bununla birlikte, kişisel verilerin doğrudan ilgili kişi tarafından iletilmesi hali yurtdışına aktarım sayılmayacaktır.
Rehber üçüncü kriter olarak veri aktarılan veri sorumlusunun ya da veri işleyenin, Kanun’a tabi olup olmadığına bakılmaksızın yurt dışında olması gerektiğini vurgulamıştır.
4. Uygun Güvencelere Dayalı Aktarımlar
Rehber’de (i) Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması, (ii) Bağlayıcı Şirket Kurallarıyla Uygun Güvencenin Sağlanması, (iii) Standart Sözleşmeyle Uygun Güvencenin Sağlanması, ve (iv) Taahhütnameyle Uygun Güvencenin Sağlanması’na dair detaylı açıklamalarda bulunulmuştur.
Uygulamada en çok tereddüte mahal veren standart sözleşmelere ilişkin olarak Rehber, standart sözleşmelerin çift sütunlu olarak çift dilde hazırlanması durumunda Türkçe dilinin geçerli kabul edileceğini hatırlattıktan sonra standart sözleşmelerin ekleri için açıklamalar da yapmıştır. Buna göre diğerlerinin yanı sıra aşağıdakileri belirtmiştir:
- Standart sözleşmede ek olarak “veri kategorisi” belirtilirken, Rehber’de bu kategorilerin alt kırılımı olan “veri türlerinin” de yazılması gerektiği ifade edilmiştir.
- Kişisel verilerin saklama süresi verilemiyorsa, saklama süresini belirleyen kriterler açıklanmalıdır.
- Veri alıcısının, standart sözleşmeye dayanarak veri aktarandan aldığı kişisel verilerin aktarıldığı alıcılar belirtilmelidir. Bu bölüm, standart sözleşme süresince güncel tutulmalıdır.
- Veri aktaran veri sorumlusunun sağladığı bilgiler, VERBİS kayıtlarıyla uyumlu olmalıdır.
- Veri aktaranın veri işleyen olduğu durumlarda, Kurul’a bildirim yükümlülüğü, veri işleyen tarafından veri sorumlusuna sormadan yapılabilir.
- Standart sözleşmenin Kurum’a bildirilmesinin ardından, aktarım tarafları tarafından yapılan açıklamalarda ya da verilen bilgilerde bir değişiklik olması ya da sözleşmenin sona ermesi durumunda, bu değişikliklerin Kurum’a bildirilmesi gerekmektedir. Belli başlı değişiklikler için sözleşme metinlerinde bildirim yükümlülükleri belirtilmiştir. Örneğin, **SS-1**’de “Sonraki Aktarımlar” başlığı altındaki alıcı değişiklikleri ve **SS-2** ile **SS-3**’teki alıcılar ve alt veri işleyenlerdeki değişiklikler Kurum’a bildirilmelidir.
5. İstisnai Aktarımlar ve Açık Rıza
Rehber, arızi hallerde yapılan aktarımlarda istisnai bir aktarımdan söz edildiğinden, istisnai aktarımlar için dar bir yorum yapılması gerektiğini vurgulamış, bu tür aktarımlara yalnızca yeterlilik kararı veya uygun güvencelerin mevcut olmadığı durumlarda ve son çare olarak başvurulması gerektiğini belirtmiştir. Ayrıca, arızi hallere dayalı istisnai aktarımlarda Kurul’un iznine veya onayına gerek olmadığını, Kanun ve Yönetmelik uyarınca herhangi bir bildirim yükümlülüğünün de bulunmadığını açıklığa kavuşturmuştur.
Rehber, istisnai aktarımın, süreklilik arz etmeyen ve olağan faaliyet akışı dışında, düzenli olmamak kaydıyla, öngörülemeyen koşullar altında bir veya birden fazla kez ve belirsiz zaman aralıklarında gerçekleşebileceğini belirtmiştir. Bu tür aktarımların, veri aktaran ile veri alıcısı arasında sistematik ve sürekli bir ilişkinin parçası olarak düzenli şekilde gerçekleşen veri aktarımlarından ayrıldığını vurgulamıştır. Örneğin, bir veri tabanına doğrudan erişim izni verilmesi, düzenli ve sürekli bir aktarım olarak kabul edileceğinden istisnai aktarım kapsamında değerlendirilemeyecektir.
Rehber, istisnai aktarımların birden fazla kez gerçekleşebileceğini ancak bu aktarımların düzenli ve sürekli bir nitelik taşımaması gerektiğinin altını çizmiştir.
Rehber, arızi olmak kaydıyla istisnai aktarım hallerinden biri olan ilgili kişinin açık rızasının alınması durumunda, bu açık rızanın bir konuya ilişkin olduğunun, bilgilendirilmeye dayandığının ve özgür iradeyle açıklandığının altını çizerek ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi gerektiğini tekrar vurgulamıştır. İlaveten Rehber, açık rızanın yurt dışına aktarım gerçekleşmeden önce alınmasının zorunlu olduğunu ve ilgili kişinin gelecekteki belirsiz bir aktarım için açık rıza vermesinin etkili olamayacağını belirtmiştir. Veri aktaranın, veri toplama faaliyeti gerçekleştikten sonra olsa bile, aktarım gerçekleşmeden önce yurt dışına aktarıma ilişkin açık rıza alması gerektiği belirtilmiştir.
Rehber uyarınca ayrıca, açık rıza alınmadan önce yapılması gereken bilgilendirmenin;
(i) veri aktaranın kimliği, aktarımın amacı, aktarılan verilerin türü ve açık rızanın geri alınma hakkı gibi unsurları, ve
(ii) aktarımın yasal dayanağının açık rıza olduğunu ve aktarılacak ülke hakkında Kurul tarafından yeterlilik kararı bulunmadığını kapsaması gerekecektir.
İlgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kapsamında, aktarımın yapılacağı ülkede verilerin yeterli koruma sağlamadığına dair özel risklerin ve güvenlik önlemlerinin eksik olduğuna dair bilgileri içerecektir (örneğin, aktarımın yapılacağı ülkede denetim otoritesinin olmaması veya veri işleme ilkelerinin yeterli olmaması gibi).
6. Sonuç
Rehber, yurt dışına kişisel veri aktarımına ilişkin uygulamada yaşanan tereddütlere açıklık getirmiş ve konuyu detaylı bir şekilde ele almıştır. Özellikle yurt dışına aktarımın kapsamı, istisnai aktarımlar, arızilik kavramı, standart sözleşme ile ilgili açıklamalar gibi kritik konulara yönelik değerlendirmeler, uygulayıcılara rehberlik edecek niteliktedir.
