Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yapılan ve 1 Haziran 2024 tarihinde yürürlüğe girecek değişiklikler çerçevesinde yurt dışı veri aktarımına ilişkin beklenen yönetmelik taslağı yayınlanmış ve kamuoyunun görüşüne sunulmuştur. Yönetmelik taslağında düzenlenen ve veri sorumluları ile veri işleyenler açısından önemli bazı hususlar aşağıdaki gibidir:
- Yeterlilik Kararına Dayalı Aktarımlar: Bilindiği üzere, yapılan Kanun değişikliği çerçevesinde yalnızca bir ülke için değil, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına dair yeterlilik kararı verilebilmesi hüküm altına alınmıştır ve yeterlilik kararı verilebilmesi için dikkate alınacak hususlar da düzenlenmiştir. Yönetmelik taslağı ile birlikte Kişisel Verileri Koruma Kurulu (“Kurul”), aynı zamanda daha sonra yeterlilik kriterleri bakımından ek hususlar belirlemeye yetkili kılınmaktadır. Yine, yeterlilik kararlarının aynı zamanda belirli aralıklarla Kurul tarafından gözden geçirilebileceği, yeniden değerlendirme sonucunda yeterli düzeyde koruma sağlanmadığının tespit edilmesi halinde, Kurul’un söz kararını ileriye etkili olmak üzere değiştirebileceği, askıya alabileceği veya kaldırabileceği ya da bunlara neden olan durumun düzeltilmesi amacıyla ilgili ülke veya uluslararası kuruluşun yetkili makamlarıyla görüşmeler yapabileceği düzenlenmiştir.
- Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmayla Uygun Güvencenin Sağlanması: Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak anlaşmalar çerçevesinde ilgili kurumlar arasında yapılabilecek aktarımlar bakımından uygun bir güvence sağlanabileceği Kanun’a eklenmişti. Yönetmelik taslağı ile birlikte aktarım tarafları arasında akdedilen anlaşamalarda bulunması gereken asgari hususlar düzenlenmiştir. Söz konusu anlaşmalar kapsamında kişisel veri aktarımı yapılabilmesi için Türkiye’de bulunan ilgili kamu kurum ve kuruluşu veya meslek kuruluşu Kurul’a izin başvurusunda da bulunmalıdır.
- Bağlayıcı Şirket Kuralları Çerçevesinde Yapılan Aktarımlar: Bilindiği üzere, Kanun değişiklikleri öncesinde açık hüküm bulunmasa da ekonomik faaliyette bulunan bir teşebbüs grubu bünyesindeki şirketler arasında (bir diğer deyişle çok uluslu şirketlerin iştirakleri arasında) yapılacak veri aktarımları bakımından Kurul tarafından “Bağlayıcı Şirket Kuralları” yöntemi belirlenmiş ve 10 Nisan 2020 tarihinde duyurulmuştu. Her ne kadar Kanun değişikliklerinde “Bağlayıcı Şirket Kuralları” ilk kez açık şekilde düzenlenmiş olsa da pratikte bilinen ve standartları, usul ve esasları belirlenmiş bir yöntemdi. Ne var ki henüz Kurul tarafından onaylandığı bilinen “Bağlayıcı Şirket Kuralları” bulunmamaktadır. Yönetmelik taslağında da konu ile ilgili olarak bağlayıcı şirket kurallarında bulunması gereken asgari hususlara ilişkin düzenlemeler, Kurul’un daha önceki uygulama ve belirlediği kurallara (başvuru formu ve bu kurallarda bulunması gereken temel hususlara ilişkin düzenlemelere) paralel şekilde düzenlenmiştir. Ayrıca, 17 Mayıs 2024 tarihinde “Bağlayıcı Şirket Kuralları” başvuru formları ve başvurularda dikkat edilecek hususları düzenleyen yardımcı kılavuzlar da ilan edilmiştir. Kurul tarafından kapsamlı araştırma ve incelemeleri gerektirmesi nedeniyle “Bağlayıcı Şirket Kuralları” hakkındaki onay süreçleri uzun sürebilmekte ve veri sorumlusu/veri işleyenler bakımından kapsamlı bir çalışma yapılmasını gerektirebilmektedir. Yönetmelik taslağında da vurgulandığı üzere, “Bağlayıcı Şirket Kuralları”na dayalı aktarımlar ancak Kurul tarafından onay verildikten sonra uygun bir veri aktarımı olarak değerlendirilebilecektir.
- Standart Sözleşme ile Uygun Güvencenin Sağlanması ve Yapılacak Veri Aktarımları: Kişisel verilerin yurt dışına aktarımı ile ilgili Kanun’daki en dikkat çekici değişiklik, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) bulunan “Standard Contractual Clauses” benzeri yeni bir mekanizmanın kabul edilmesiydi ve hangi usul ve esaslar çerçevesinde bu aktarım mekanizmasının uygulanacağı veri sorumluları ile veri işleyenlerce en çok merak edilen hususlardan biriydi. GDPR’dan farklı olarak imzalanan sözleşmelerin 5 iş günü içerisinde Kurul’a bildirilmesine ilişkin bir yükümlülük de öngörülmüştü. Yönetmelik taslağında bu husus ile ilgili olarak bir takım ek düzenlemelerin yapıldığı görülmektedir. Özellikle bildirimin hangi tarafça yapılacağı, standart sözleşmenin kimler tarafından imzalanacağı, sözleşmenin sonradan tadil edilip edilemeyeceği gibi merak edilen bir çok husus yönetmelik taslağında düzenlenmiş olup, standart sözleşmenin üzerinde herhangi bir değişiklik yapılmaksızın kullanımının asıl olduğu, sözleşmenin aktarımın taraflarınca veya ilgili belgelerle ispat edilmek üzere tarafları temsile yetkili kişilerce imzalanması zorunlulu olduğu, bildirimin kural olarak veri aktaran tarafça yapılacağı ancak bu hususun aksinin kararlaştırılabileceği anlaşılmaktadır.
Ayrıca, 17 Mayıs 2024 tarihinde, söz konusu veri aktarımlarına ilişkin beklenen 4 taslak da yayınlanmıştır. Herhangi bir standart sözleşme taslağı kullanılmadan önce ilgili aktarıma konu veri işleme faaliyeti bakımından tarafların veri işleyen mi, yoksa veri sorumlusu mu olduğu değerlendirilmelidir.
Bugüne kadar Kurul tarafından izin verilen aktarımlar son derece sınırlı olup, yurt dışına veri aktaran neredeyse tüm veri sorumlularının açık rızaya dayandığı ve dayanması gerektiği bilinmektedir. Öte yandan, 1 Eylül 2024 itibariyle açık rıza, ancak arızi durumlarda başvurulabilecek bir hukuki neden olacağından, veri sorumlularının ve veri işleyenlerin yeni gerekliliklere uyumu temin etmek adına gerekecek aksiyonlara yönelik hazırlıklara ivedilikle başlamalarını öneririz. “Standart Sözleşme” yönteminin Türkiye’de mukim kişilerin verilerini işleyen veri sorumluları tarafından yaygın şekilde kullanılacağını öngörüyoruz.
- Kurul Tarafından İzin Verilen Taahhütnameler Çerçevesinde Yapılan Veri Aktarımları: Kanun değişikliği öncesinde de Kanun’da yer alan ve pratikte sınırlı sayıda veri sorumlusunun başvurduğu bir yöntemdir. Buna ilişkin daha önce Kurul tarafından belirlenen ve yayınlanan taahhütname örneklerine paralel olarak taahhütnamelerde bulunması gereken hususlar kapsamlı şekilde düzenlenmiştir. Yönetmelik taslağının kabul edilmesi akabinde bu süreçte önemli bir değişiklik beklenmemektedir.
- İstisnai Aktarım Halleri: Yurt dışı veri aktarımlarına dayanak teşkil edebilecek bazı istisnai hukuki nedenler de Kanun değişikliğinde düzenlenmiştir Yönetmelik taslağında hangi hallerde istisnai aktarımın söz konusu olabileceği, bir diğer deyişle, Kanun değişikliğinde belirtilen arızi hallerden ne anlaşılması gerektiği açıklanmıştır. Buna göre yalnızca, düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımların hukuki nedenin varlığı halinde bu kapsamda gerçekleştirilmesine olanak sağlanmıştır. Dolayısıyla, veri sorumluları ancak son derece istisnai birtakım hallerde ilgili hükümlerden yararlanarak kişisel verileri yurt dışına aktarabilecektir. Kanun’da belirlenen geçiş sürecinin sonundan (1 Eylül 2024 tarihinden) itibaren açık rıza, veri aktarımları bakımından istisnai bir hukuki neden olacaktır.
Yönetmelik taslağına ve taslak belgelere ilişkin kamuoyunca paylaşılacak görüşlerin değerlendirilmesinin ardından, ilgili düzenlemelerin sonlandırılarak 1 Haziran 2024 tarihinden itibaren yürürlükte olacağını değerlendiriyoruz. Kurul, yönetmeliğin uygulanması sırasında doğacak tereddütlerin giderilmesi ve yönetmelikte düzenlenmeyen konularda karar vermeye de yetkili olacaktır.
Yurt dışı aktarımına ilişkin uygun bir güvencenin 1 Eylül 2024’e kadar sağlanabilmesi adına veri sorumluları ve veri işleyenler bakımından ön hazırlıkların ivedilikle başlatılmasını öneririz. Alınacak aksiyonlar çerçevesinde veri sorumlularının idari süreçlerinde, kullandıkları aydınlatma metinleri ve rıza formlarında da bazı değişikliklerin yapılması kaçınılmazdır.