Kişisel Verilerin Yurt Dışına Aktarılması Rehberi

2 Ocak 2025 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) resmi internet sitesinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) yayımlanmıştır.

Rehber, 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“7499 sayılı Kanun”) madde 34 ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 9’da yapılan değişiklikler doğrultusunda, yurt dışı veri aktarım şartlarının uygulanması ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) beklediği güvenceler hakkında bilgi verilmesi amacıyla hazırlanmıştır. Rehber’de yapılan KVKK madde 9 değişikliğinin amacı, gerekçeleri ve kapsamını detaylı bir şekilde ele alınmış ve yeni yurtdışı aktarım rejimleri örnekler ile detaylı bir şekilde açıklanmıştır.

10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’te (“Yönetmelik”) “yurtdışı veri aktarımı” ilk defa tanımlanmıştır ve “kişisel verilerin KVKK kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” şeklinde ifade edilmektedir. Rehber’de ise aşağıda yer alan üç şartın sağlanması halinde kişisel verilerin yurtdışına aktarılması faaliyetinin gerçekleşeceği belirtilmiştir:

• Veri sorumlusu ya da veri işleyen (veri aktaran) söz konusu kişisel veri işleme faaliyeti için KVKK’ye tabi olmalıdır. Rehber’de, özellikle bu başlık altında, KVKK’nin yer bakımından uygulama alanına ilişkin detaylar açıklanmış; KVKK’nin uygulama kapsamını “mülkilik ilkesi” yerine “etki ilkesi” üzerinden yorumlandığı vurgulanmıştır.
• Veri aktaran tarafından işlenen kişisel veriler, iletilmeli veya başka bir suretle erişilebilir hale getirilmelidir. Bu kapsamda, Rehber’de veri aktarımına ilişkin birçok uygulama örneklerine yer verilmiştir.
• Veri aktarılan veri sorumlusu ya da veri işleyen, KVKK’ye tabi olup olmadığına bakılmaksızın coğrafi olarak üçüncü bir ülkede olması gerekmektedir.

7499 sayılı Kanun ile getirilen yeni düzenlemeler ile KVKK madde 9’un sistematiğinin değiştiği ve artık yurt dışına veri aktarımı süreçlerinde üç basamaklı bir yapı oluşturulduğu ifade edilmiştir. Detaylar aşağıda yer almaktadır:

1. Yeterlilik Kararına Dayalı Aktarımlar

KVKK madde 5 ve madde 6’da yer alan şartlardan birinin varlığı halinde ilk aşamada aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının olup olmadığına bakılması gerekmektedir. Yeterlilik kararının amacı, kişisel veri aktarımı yapılacak tarafın veri koruma düzeyinin Türkiye’deki seviyeye eşdeğer olduğunu teyit etmektir.

2. Uygun Güvencelere Dayalı Aktarımlar

a. Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencelerin Sağlanması

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi suretiyle yurt dışı veri aktarımı gerçekleştirilebilecektir. Bu süreçte, kişisel veri aktarımının tarafları arasında akdedilecek olup anlaşmanın müzakere sürecinde Kurul’un görüşüne başvurulması gerekmektedir. Ek olarak, Rehber’de taraflar arasındaki anlaşmanın kişisel verilerin korunmasına yönelik hükümlerinin detaylandırılması ve Kurul tarafından belirlenen standartlara uygunluk sağlanması gerektiği belirtilmiş ve asgari olarak bulunması gereken hususlara yer verilmiştir. Uluslararası sözleşme niteliğinde olmayan anlaşmaların ise iş birliği protokolü, mutabakat zaptı veya idari anlaşma şeklinde olabileceği; Türkiye İlaç ve Tıbbi Cihaz Kurumu ile Avrupa Komisyonu arasında akdedilen idari anlaşma, bu tür bir düzenlemenin somut bir örneği olarak ifade edilmiştir.

b. Bağlayıcı Şirket Kuralları ile Aktarım

Rehber, Bağlayıcı Şirket Kuralları (“BŞK”) uygulamasının mevzuat kapsamına dahil edilmesi bakımından tarihsel gelişimini açıklamıştır. BŞK’nin, 7499 sayılı Kanun’un yürürlüğe girdiği 1 Haziran 2024 tarihine kadar Kurum’a üç başvuru yapıldığı; ancak bu başvurular usul ve esasa ilişkin eksiklikler nedeniyle reddedildiği belirtilmiştir. 7499 sayılı Kanun ile yapılan değişiklik öncesinde, KVKK madde 9’da kişisel verilerin yurt dışına aktarımını düzenlenmiş olsa da “veri işleyen” tarafından aktarımı kapsamamaktaydı. Ancak, değişiklikle birlikte KVKK madde 9/1 uyarınca, hem “veri sorumluları” hem de “veri işleyenler” kişisel verileri yurt dışına aktarabilmektedir. Bu kapsamda, veri sorumluları ve veri işleyenler, Kurul’a yapacakları BŞK başvurusunun kabulü sonrası veri aktarımı gerçekleştirebilecektir.

10 Temmuz 2024 tarihinde Kurum’un resmi internet sitesinde, veri sorumluları için KVKK-BŞK/2024-1 sayılı “Bağlayıcı Şirket Kuralları Başvuru Formu” ve KVKK-BŞK/2024-2 sayılı “Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu,” ; veri işleyenler için KVKK-BŞK/2024-3 sayılı “Bağlayıcı Şirket Kuralları Başvuru Formu” ve KVKK-BŞK/2024-4 sayılı “Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu,” yayımlanmıştır. BŞK ile ilgili Kurul’a yapılan başvurular için standart bir form oluşturulması, BŞK başvurularında bulunması gereken asgari unsurların içeriğinin açıklığa kavuşturulması, yardımcı kılavuzlar aracığı ile mevzuat gerekliliklerinin sağlanması, Kurul’a sunulması gereken belgelere yer verilmesi amaçları hedeflenmiştir.

BŞK başvurusunda bulunması gereken asgari unsurlar, Yönetmeliğin 13/1 maddesinde belirtildiği üzere, Rehber’de aşağıdaki başlıklar detaylı bir şekilde açıklanmıştır. Grubun organizasyon yapısı ve irtibat bilgileri, kişisel veri akışına ilişkin açıklamalar, bağlayıcılık unsuru, veri koruma önlemleri ve ilgili kişi hakları gibi temel başlıklar ele alınmaktadır. Ayrıca, sorumluluğun üstlenilmesi, ilgili kişilerin BŞK’ye kolay erişimi, uygun bir eğitim programının varlığı, uyumun denetlenmesi konusunda uygun personel yapılanması ve uyumluluk denetim mekanizmalarının bulunması gibi unsurlar da detaylandırılmıştır. Değişikliklerin kaydedilmesi ve raporlanmasına ilişkin mekanizmalar, Kurum ile iş birliği yapma yükümlülüğü ve BŞK’ya uyumu etkileyen ulusal düzenlemeler ve uygulamalar da başvuru kapsamında değerlendirilmesi gereken diğer unsurlar arasında yer almaktadır.

Tüm bunlarla birlikte BŞK başvurusunda dikkat edilmesi gereken diğer unsurlar da şu şekilde belirtilmiştir:

• Kişisel verilerin yurt dışına aktarımı için Kurul’a onay başvurusu yapılmalı ve başvuru elden, posta yolu ya da Kurul tarafından belirlenen yöntemlerle iletilmeli,
• Başvuru, BŞK metni, Başvuru Formu ve Yardımcı Kılavuz’un birer kopyasıyla birlikte gerekli bilgi ve belgeler ile sunulmalı,
• Başvuru Formu ve Yardımcı Kılavuzdaki yanıtlar yetersiz alana sahipse ek sayfalar ya da ekler kullanılmalı,
• Yabancı dildeki belgelerin noter onaylı Türkçe çevirisi başvuruya eklenmeli, metin yabancı dilde düzenlenmesi halinde; Türkçe versiyonu esas alınmalı,
• Başvuruyu imzalayan kişinin yetkisini belgeleyen evraklar, tüzel kişilerde temsil yetkisine dair belgeler, vekil başvurularında vekâletnamenin aslı veya onaylı örneği sunulmalı,
• Grup merkezi Türkiye’deyse, başvurular Türkiye’deki kuruluş tarafından yapılmalı, farklı bir kuruluş yetkilendirildiyse gerekçeler sunulmalı,
• Grup merkezi Türkiye dışında ise, Türkiye’deki bir grup kuruluşu yetkilendirilerek başvuru bu kuruluş tarafından yapılmalı,
• Hem VS BŞK hem de Vİ BŞK için ayrı ayrı formlar doldurularak başvuru yapılmalı,
• Tevsik edici ek belgeler yalnızca açıklama amacıyla sunulmalı ve uygun şekilde adlandırılmalı (örneğin, “(EK-3-1)”),
• Başvuruyla ilgili sorular için temas kurulacak kişi ya da birim belirtilmeli, uygulamada pratikliğin sağlanması adına bu kişinin Türkiye’de olması önerilmektedir.

c. Standart Sözleşme ile Aktarım

Rehber, standart sözleşmeyi (“SS”),  KVKK madde 9/4(c) uyarınca, yurt dışına veri aktarımında uygun güvence sağlayan bir diğer pratik bir araçlardan biri olarak tanımlamaktadır. SS ile KVKK’de ve Yönetmelik’te öngörülen yükümlülüklerin yerine getirilmesini ve aktarılan kişisel verilerin yurt dışında da eş değer düzeyde korumadan yararlanmaya devam etmesi için veri koruma ilkelerine uyumun, veri güvenliği tedbirlerinin yerine getirilmesini, özel nitelikli veriler için ek önlemlerin alınmasını ve aktarım sonrası süreçlerde devam eden güvencelerin sağlanmasını hedeflenmektedir.

Farklı aktarım senaryolarına göre Kurul tarafından hazırlanmış ve onaylanmış dört farklı sözleşme türü kabul edilmiştir. Rehber’de SS metinlerinde yalnızca seçimlik veya alternatif içerik maddelerinde değişiklik yapılmasının mümkün olduğu; diğer maddelerde ise herhangi bir değişiklik yapılmaması gerektiği vurgulanmıştır. Ayrıca, SS metinlerinin çift sütunlu olarak ve Türkçe ile diğer başka bir dilde düzenlenmiş olması halinde ilgili SS’nin de KVKK gerekliliklerini karşıladığı belirtilmiştir.

Tüm bunlarla birlikte, SS metinlerinde yer alan eklerin başlıkları Rehber’de açıklanmıştır:

• Veri Aktaran ve Veri Alıcısının Standart Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri: kişisel veri aktarımına ilişkin olarak genel açıklamalara yer verilmeli ve açıklama yapılırken aktarıma konu kişisel veriler üzerinde aktarım taraflarınca yürütülen faaliyetler belirtilmelidir.
• İlgili Kişi Grubu veya Grupları: Aktarılan kişisel verilerin hangi ilgili kişi grubuna veya gruplarına ilişkin olduğu kişisel veri bazında belirtilmelidir.
• Aktarılan Kişisel Veri Kategorileri ve (Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri: Aktarıma konu kişisel veriler, kategori (örn: iletişim) ve türlerine (örn: e-posta adresi) göre belirtilmelidir.
• Aktarımın Hukuki Sebebi: Aktarımın, KVKK madde 5 ve madde 6’da düzenlenen hangi işleme şartına dayanılarak gerçekleştirileceği belirtilmelidir.
• İşleme Faaliyetlerinin Niteliği: Aktarıma konu kişisel veriler üzerinde ne tür bir kişisel veri işleme faaliyeti gerçekleştirileceği (örn: saklama, kaydetme, yayımlama, birleştirme, kategorize etme vb.) açıklanmalıdır.
• Veri Aktarımının ve Devamında Gerçekleştirilecek İşleme Faaliyetinin Amaçları: SS’ye dayanılarak gerçekleştirilecek aktarımın ve sonrasında veri alıcısı tarafından gerçekleştirilecek kişisel veri işleme faaliyetinin amaçları (örn: banka ödemelerinin gerçekleştirilmesi, müşteri destek hizmetlerinin sağlanması, piyasa araştırması vb.) açıklanmalıdır.
• Kişisel Verileri Saklama Süresi: Aktarıma konu kişisel verilerin ne kadar süreyle saklanacağı belirtilmelidir. Böyle bir kesin sürenin belirtilmesinin mümkün olmaması hâlinde saklama süresinin belirlenmesinde kullanılan kriterler (örn: kişisel veri işleme sözleşmesinin yürürlükte bulunduğu süre) açıklanır. Farklı kişisel veri kategorilerinin farklı saklama sürelerine tabi olması durumunda süreler ayrıca belirtilmelidir.
• Alıcılar veya Alıcı Grupları: Veri alıcısı tarafından yapılacak sonraki aktarım kapsamında, SS’ye dayanılarak veri aktarandan alınan kişisel verilerin aktarıldığı alıcılar belirtilir. Bu bölüm SS süresince güncel tutulmalıdır.
• Veri Aktaranın Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) Bilgileri: Veri aktaran veri sorumlusunun VERBİS’e kayıt ve bildirimle yükümlü olması durumunda SS-Veri Sorumlusundan Veri Sorumlusuna ve SS-Veri Sorumlusundan Veri İşleyene ilgili bölüm altında VERBİS bilgilerine yer verilmelidir. Bu kapsamda, SS eklerinde veri aktaran veri sorumlusu tarafından sağlanan bilgilerin VERBİS kayıtlarıyla uyumlu olması gerekmektedir.
• (Alt) Veri İşleyene Aktarımlarda İşleme Faaliyetinin Konusu, Niteliği ve Süresi: Veri alıcısı veri işleyen tarafından alt veri işleyenlere sonraki aktarımın yapıldığı durumlarda söz konusu aktarım ve alt veri işleyen tarafından gerçekleştirilen işleme faaliyetleri SS-Veri Sorumlusundan Veri İşleyene ve SS-Veri İşleyenden Veri İşleyene ilgili bölüm altında açıklanmalıdır.

d. Taahhütname ile Aktarım

Rehber’de yurt dışına kişisel veri aktarımında yazılı taahhütnameler ile aktarım yapılmasının usul ve esaslarına yer verilmiştir. Aktarım tarafları arasında akdedilecek olan yazılı taahhütnamelerin özellikle yer alması gereken unsurlar açıklanmıştır. Öne çıkan unsurlar arasında, kişisel veri aktarımının amacı ve hukuki sebebine ilişkin detaylar, veri güvenliği tedbirleri, özel nitelikli kişisel verilere yönelik ek önlemler ve ilgili kişilerin haklarının korunması yer almaktadır. Ayrıca, taahhütnamenin ihlal edilmesi hâlinde başvurulacak hak arama yöntemleri ve veri aktarımının askıya alınması veya feshedilmesine dair düzenlemeler de taahhütnameye dahil edilmesi gereği de belirtilmiştir. Rehber’de, Kurul’un taahhütname başvurusunu değerlendirme süreci tamamlanmadan veri aktarımına başlanmasının hukuka aykırı olduğu açıklanmıştır.

3. İstisnai Aktarımlar

KVKK kapsamında yeterlilik kararı veya uygun güvencelerin sağlanamadığı durumlarda, yalnızca belirli istisnai hallerde kişisel verilerin yurtdışına aktarılabileceği düzenlenmiştir. Rehber’de istisnai aktarımlara ilişkin dikkat çeken açıklamalar şu şekildedir:

• Arızi hallerde, KVKK madde 5 ve madde 6’da yer alan şartlardan birinin varlığının gerekmediği,
• Rehber’de arızi hallerde yapılan aktarımların istisnai aktarım olması dolayısıyla, son derece dar bir yorum yapılması; öncelikle yeterlilik kararı veya uygun güvencelerden birinin mevcut olup olmadığına bakılması ve bunların yokluğunda istisnai aktarıma son çare olarak başvurulması gerektiği,
• İstisnai aktarım halleri, ancak arızi nitelik arz ettiğinde yani tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan durumlarda yapılabileceği belirtilmiştir.
• Rehber’de uygulama örnekleri ile istisnai aktarım örneklerine de yer verilmiştir:
• Bir turizm şirketinin müşterilerinin rezervasyon bilgilerine ilişkin yapacağı aktarımlar, şirketin olağan faaliyet akışı içerisinde kabul edileceğinden istisnai aktarım kabul edilmeyecektir.
• Seyahat acentelerinin bireysel müşterilerine ait kişisel verileri, bu müşterilerin yurt dışındaki konaklamalarını organize etmek amacıyla otellere veya diğer ticari ortaklarına aktarmaları, seyahat acentesi ile müşteriler arasında yapılan sözleşmelerin amaçları doğrultusunda zorunlu kabul edilebilir.
• İş sözleşmesinin ifası gereği yurt dışındaki farklı müşterileri ziyaret etmek için seyahat eden bir satış müdürünün kişisel verilerinin bu müşterilerle toplantı düzenlemek amacıyla işvereni tarafından aktarılması arızi olarak kabul edilebilir.
• Türk şirketinin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, tek veya birkaç sefer gerçekleşmesi, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi olarak kabul edilebilir.
• Karşılık çok uluslu bir şirketin, yurt dışındaki bir eğitim merkezinde eğitimler düzenlemesi ve eğitim kursuna katılan çalışanlarının ad, soyad, iş unvanı gibi kişisel verilerini sistematik olarak aktarması durumunun arızi olarak kabul edilemeyeceği değerlendirilmektedir.
• Yurt dışında bir soruşturma bağlamında savunma hakkının kullanılabilmesini teminen yargı mercilerine kişisel veri içeren evrakların sunulması bir hakkında tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması sebebine dayalı olarak arızi durum olarak kabul edilebilecektir.

Rehber’in tam metnine bu bağlantıdan ulaşabilirsiniz.