Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayınlandı
Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin yurt dışına aktarılmasına ilişkin yol gösterici bir doküman oluşturulması amacıyla hazırlanan ve uzun zamandır beklenen Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) 2 Ocak 2025 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayınlanmıştır.
Yurt dışı aktarımlarına ilişkin üç aylık geçiş süreci ile birlikte 1 Haziran 2024 tarihi itibariyle yürürlüğe giren kanun değişiklikliği ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in (“Yönetmelik”) yayımlanması ile birlikte uygulama oluşan bazı belirsizliklerin giderilmesi adına Rehber’de örnekler üzerinden somut ve detaylı değerlendirmelere yer verilmiştir. Rehber ile birlikte, Kanun’da yapılan değişiklikler ve Yönetmelik hükümleri daha detaylı olarak açıklanmıştır.
Rehber’de açıklanan önemli hususlara ilişkin notlarımız özetle aşağıdaki gibidir:
- Direct Collection – Doğrudan Elde Edilen Veriler: Yabancı ülkedeki veri sorumlusunun Türkiye’deki ilgili kişiden doğrudan kişisel veri elde ettiği durumların bir yurt dışı aktarımı olmadığının, ancak söz konusu işleme faaliyetinin Kanun’a tabi olduğu ve Kanun’un uygulanması gerekeceğinin altı çizildi. Verileri doğrudan ilgili kişilerden elde eden yabancı ülkedeki veri sorumlusunun bu verileri yabancı ülkedeki diğer veri sorumlularına ya da veri işleyenlerine aktarması ise Kanun kapsamında yurt dışı aktarımı olarak değerlendirilecektir. Özetle, ‘Direct Collection’ olarak bilinen, verilerin doğrudan ilgili kişiden elde edilmesi halinde, ilgili veriler yurtdışındaki diğer üçüncü kişiler ile paylaşılmayacaksa, yurt dışı aktarım kuralları uygulanmayacaktır. Ancak, yurt dışındaki diğer üçüncü kişilere yapılabilecek tüm sonraki aktarımlar için uygun güvencelerin temin edilmesi gerektiği açıklığa kavuşturulmuştur.
- Grup şirketleri arasındaki veri transferi: Çok uluslu şirketlerin veri işleme süreçleri ile bağlayıcı şirket kurallarının onaylanması sürecinin uzunluğu gözetilerek çok uluslu şirketler bakımından da çokça dayanılan standart sözleşmelerin düzenlenmesi ve imzalanması konusunda detaylı yönlendirmeler beklenmekteydi. Ne var ki konuya ilişkin Rehber’de detaylı bir yönlendirme yer almamaktadır. Rehber’de örnek olarak, sadece, çok uluslu şirketlerin Türkiye iştiraklerinin yurt dışındaki ana şirketi ile çalışanlarına ilişkin verilerinin merkezi bir veri tabanında saklanması amacıyla iletilmesi hususu değerlendirilmiştir. Bu örnek özelinde, Türkiye’deki iştirakin bu verileri işveren sıfatıyla ve veri sorumlusu olarak işlediği, ana şirketin ise veri işleyen olarak değerlendirilebileceği belirtilmiştir. Ancak söz konusu İK verilerinin ana şirket tarafından başka merkezi bir veri tabanında saklanması dışında başka amaçlarla işlendiği durumlarda, ana şirketin de veri sorumlusu olarak değerlendirilebileceği unutulmamalıdır. Uygulamada, çok uluslu şirketler, genellikle sistem ve veri merkezleri bakımından veri sorumlusundan veri işleyene yapılan aktarımlar için hazırlanan standart sözleşme kullanılmakta iken ana şirket ve yurt dışındaki diğer iştiraklerin veri sorumlusu olarak hareket ettiği işleme amaçları için veri sorumlusundan veri sorumlusuna aktarım için hazırlanan standart sözleşme kullanılmaktadır.
- Uygun Güvencelere Dayalı Aktarımlar: Aktarımın yapıldığı ülkede yeterlilik kararı bulunmaması durumunda, uygun güvencelere dayalı aktarımlar Rehber’de detaylı olarak düzenlenmiş olup, standart sözleşmeler ile ilgili dikkat edilmesi gereken hususlar detaylı şekilde analiz edilmiştir. Uygun güvencelere dayalı aktarımlar ile ilgili bilgi notumuzu inceleyebilirsiniz.
- Standart Sözleşmelerin Değiştirilmemesi: Seçimlik veya alternatif içerikli maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmaması gerektiği vurgulanmıştır. Uygulamada en çok görülen değişiklik, yürürlük tarihi ile ilgili yapılan eklemelerdi. Ancak kanaatimizce bu eklemeler de uygun olmayıp Rehber uyarınca da süresinde sözleşmeleri imzalayamayan şirketlerin yürürlük tarihini 1 Eylül 2024 olarak belirtmesi de uygun olmayacaktır. 1 Eylül 2024 tarihinden sonra standart sözleşme olmadan yapılan tüm aktarımlar, veri sorumlusu açısından risk teşkil etmektedir.
- Standart Sözleşme Eklerinin Hazırlanması: Standart sözleşme ekleri hazırlanırken ilgili başlıkların nasıl doldurulacağına dair açıklamalar Rehber’de detaylı olarak açıklanmıştır. Standart sözleşme eklerinde veri aktaran veri sorumlusu tarafından sağlanan bilgilerin VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kayıtları ile uyumlu olması gerektiğinin altı çizilmiştir. Dolayısıyla, standart sözleşmelerin VERBİS kayıtları ile çelişmemesi adına veri sorumlularının ilgili kontrolleri de yapması son derece önemlidir.
- Arızi Aktarımların İstisnai Özelliği: Arızi aktarımların son derece dar yorumlanması gerektiği, öncelikle yeterlilik kararı veya uygun güvencelerden birinin mevcut olup olmadığına bakılması gerektiği, bunların yokluğunda istisnai aktarıma son çare olarak başvurulabileceği belirtilmiştir. Arızi aktarımların bir kereden fazla olabileceği ancak istisnai olup olmadığı değerlendirilirken, düzenli olmaması, süreklilik arz etmemesi, öngörülemeyen koşullar altında ve belirsiz zaman aralıkları içinde olağan eylem akışının dışında gerçekleşmesi kriterleri açısından kümülatif bir değerlendirme yapılması gerektiğinin altı çizilmiştir.
Yurt Dışı Aktarımları Konusunda 2024 Yılı İtibari İle Son Durum
Değişiklik öncesi yurt dışı aktarımlar için açık rıza dışında etkin bir mekanizma bulunmuyordu. Nitekim Kanun değişikliği öncesinde kişisel verilerin yurt dışına aktarılmasına ilişkin veriler bu hususu doğrulamaktadır. Rehber’de bugüne kadar Kurul’a 86 adet taahhütname başvurusu yapıldığı, bunlardan sadece 10 tanesinin Kurul tarafından kabul edildiği, bununla birlikte 3 adet Bağlayıcı Şirket Kuralı başvurusunda bulunulduğu ancak bu başvuruların eksiklikler nedeniyle kabul edilmediği not edilmiştir.
Değişikliklerden sonra da veri sorumlularının uyumu konusunda eksiklikler bulunmaktadır. Kurum’un geçtiğimiz günlerde 2024 yılındaki faaliyetlerine ilişkin yayınladığı bilgi notunda, yurt dışı aktarımları ile ilgili 2024 yılında yeterli nitelikleri taşıyan 3 taahhütnamenin onaylandığı, 1.345 adet standart sözleşmenin Kurum’a bildirildiği belirtilmiştir.
Yurt dışı aktarımlarına ilişkin bugüne kadar ki gelişmeler standart sözleşmelerin 2025 yılı itibariyle de veri sorumluları tarafından çokça tercih edileceğini gösteriyor.
Tüm bunların ışığında, yurt dışı aktarımları bakımından veri sorumluları VERBİSkayıtlarının güncelliğinden emin olmasını ve akabinde VERBİS kayıtları ile uyumlu olmak üzere yurt dışı aktarımları için ilgili standart sözleşmeleri imzalayarak en kısa süre içerisinde sunmaları gerektiğini hatırlatmak isteriz. Rehber, bu çerçevede hazırlıklar konusunda veri sorumlusu ve veri işleyenlere yol gösterici olacaktır.
Yine de Rehber, çok uluslu şirketlerin uygulamaları, kullanılan global sistemler gibi hususlar bakımından somut değerlendirme, örnekler ve alternatif öneriler yönünden beklentiyi tam olarak karşılayamamıştır. Halen netlik kazanmayı bekleyen hususlar bulunduğu, özellikle veri işleme sözleşmeleri bakımından data akışının mı takip edileceği yoksa sözleşme tarafları ile sınırlı bir değerlendirme mi yapılacağı gibi uygulama esaslarının da örneklerle desteklenerek daha somut bir şekilde belirlenmesi ihtiyacı henüz giderilememiştir; bunun yanında standart sözleşmelerin sunulmasında veri sorumluları ile özellikle yurt dışında mukim veri sorumlusu ve işleyenlerin sürece dahil edilmelerini kolaylaştıracak daha pratik çözümlere ihtiyaç olduğu şüphesizdir.