Yurt Dışına Veri Aktarımı ve Standart Sözleşmeler

Yurt dışına veri aktarımı; kişilerin tüketici alışkanlıklarının daha iyi anlaşılabilmesi için kişisel bilgiler, tüketicilerin iletişim bilgileri, trafik ve konum bilgileri, sağlık kuruluşu hasta kayıtları, yapay zeka şirketlerine aktarılan çeşitli kişisel bilgiler, yurt içi ve yurt dışı şirketlerin ortaklaşa faaliyet gösterdikleri projelerde şirketlerin aralarında çalışanlarına ait verilerin aktarımı gibi örneklendirebileceğimiz ve günümüz küresel dünyasında en sık karşılaştığımız konulardan biridir.

 Kişisel verilerin yurt dışına aktarılması; belirli veya belirlenebilir kişilere ait verilerin işlenmesi, depolanması, verilerin silinmesi,  anonim hale getirilmesi gibi yöntemlerden biridir. Ancak yurt dışına veri aktarımına ilişkin usul ve esaslar sıkı hukuki şartlara ve detaylı prosedürlere bağlanmıştır. Türkiye’deki kişisel verilerin yurt dışına aktarılması 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve çeşitli mevzuatlarla beraber korunmakta ve ayrıntılı olarak düzenlenmektedir. Uygulamada kişisel verilerin aktarılmasının hukuka uygunluğunu tespit etmek oldukça zor iken değişikliklerle beraber bu konunun netleşmesi amaçlanmıştır. Fakat değişiklikler sonrası dahi hala hakkında yeterlilik kararı çıkartılmış ve uygulamada güvenli ülke olarak da nitelenen kavram gibi netleşmeyi bekleyen konular vardır.

Kişisel Verilerin Yurt Dışına Aktarımında Standart Sözleşmeler Nedir?

Kişisel verilerin korunması hukuku gelişmekte olan bir alan olup, genel kuralların değişen teknolojik gelişmelere ve faaliyet alanlarına uyum sağlayabilir olması gerekmektedir. Aynı zamanda hızla gelişen bir alan olması sebebiyle KVKK hükümleri çerçeve nitelikte olup, uygulamada ağırlıklı olarak Kişisel Verileri Koruma Kurulu’nun kurul kararları ve Kurum’un yönlendirmeleri ile bu alan şekillenmektedir.

Standart sözleşmeler ise birçok sözleşme ilişkisinde kullanmak amacıyla yapılan; yurt dışına veri aktarımı süreçlerinde uygulamanın kolaylaştırılması amacı ile hazırlanmış formüler metinlerdir.  Standart sözleşme uygulamamıza Avrupa Birliği Genel Veri Koruma Tüzüğü’ne ( EU General Data Protection Regulation, GDPR) uyum süreci çerçevesinde getirilmiş olup Kişisel Verileri Koruma Kurumu tarafından standart sözleşme taslakları yayınlamıştır.

Standard Contractual Clauses, Avrupa Komisyonu tarafından hazırlanmış ve üçüncü ülkelere kişisel veri aktarımı sırasında veri sorumluları ve/veya veri işleyenler arasında imzalanması gereken hazır şablon sözleşmelerdir.

Yurt dışına veri aktarımı konusunda güncel olarak diyebiliriz ki; 12.03.2024 tarihli ve 32487 sayılı Resmi Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun (7499 sayılı Kanun) 34’üncü maddesi ile Kişisel Verilerin Korunması Kanunu ‘’Kişisel verilerin yurt dışına aktarılması’’ başlıklı 9’uncu maddesinde değişiklikler yapılmış ve yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir.

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi uyarınca, kişisel verilerin yurtdışına aktarımı için uygun bir güvence yöntemi olarak belirlenen standart sözleşmelerin geçerli kabul edilebilmesi için içerik ve formatta uyulması gereken kurallar hakkında açıklamalar içeren kamuoyu duyurusunu yayımlamış bulunmaktadır.

Kişisel Verilerin Yurt Dışına Aktarımında Dikkat Edilmesi Gereken Hususlar

Kişisel veri aktarımının olabilmesi için genel kurala göre ilgili kişinin açık rızası gerekmektedir. Kanun değişikliği ile birlikte kişisel verilerin yurt dışına aktarılması için açık rızanın dışında KVKK madde 9’da belirtilen şartların yerine getirilmesinin sağlanması da gerekmektedir. Değişiklikler sonrası yeni dönemde Avrupa Birliği’nde de en çok tercih edilen veri aktarımına yönelik uygun güvence olması sebebiyle standart sözleşme yöntemine sıklıkla başvurulabilir.

            Kamuoyu duyurusunda da açıklandığı şekilde yurt dışına kişisel veri aktarımına ilişkin Kişisel Verileri Koruma Kurumu’na iletilen Standart Sözleşmelerin incelenmesi neticesinde tespit edilen ve dikkat edilmesi gereken hususlar aşağıdaki gibi sıralanmıştır:

• Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur. Tarafların birinin ya da her ikisinin geçerli imzasının bulunmaması halinde standart sözleşme geçerli olmayacaktır.

• Standart sözleşmede, aktarım tarafları veya tarafları temsile ve imzaya yetkili kişiler tarafından atılacak imzaların, 6098 sayılı Türk Borçlar Kanunu’nun imzaya ilişkin düzenlemelerine uygun olması gerekmektedir. 

• Standart sözleşmelerin yabancı dilde de akdedilmesi halinde hem veri aktaranın hem de veri alıcısının Türkçe sözleşme metni üzerinde imzalarının bulunması gerekmektedir. Standart sözleşmenin çift sütunlu olarak Türkçe ile diğer başka bir dilde düzenlenmiş olması halinde de hem veri aktaranın hem de veri alıcısının imzalarının Türkçe metnin yer aldığı sütunda mutlaka bulunması gerekmektedir. 

• Veri aktaran veya veri alıcısı adına standart sözleşmeyi imzalayan kişilerin temsile ve imzaya yetkili olduklarına dair tevsik edici belgelerin, standart sözleşme ile birlikte Kuruma sunulması gerekmektedir. Kuruma sunulan tevsik edici belgelerde standart sözleşmeyi imzalayan kişilerin isimlerinin yer almaması halinde sözleşme yetkisiz kişiler tarafından imzalanmış olacağından standart sözleşme geçerli sayılmayacaktır.

• Standart sözleşme metnindeki taraf isimlerinde eksiklik olmaması ve sözleşme metninde yer alan taraf isimleri ile tevsik edici belgelerde yer alan taraf isimleri arasında farklılık olmaması gerekmektedir.

• Standart sözleşmenin, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Standart Sözleşme Bildirim Modülü vasıtasıyla Kuruma bildirilmesi gerekmektedir. Bu kapsamda bildirim yükümlülüğünün süresinde yerine getirilip getirilmediğinin tespit edilebilmesi bakımından aktarım taraflarının her ikisinin de imza tarihlerini standart sözleşme metni üzerinde belirtmeleri gerekmektedir.

• Aktarım taraflarının adres, irtibat noktası, imzacı isimleri veya benzeri bilgilerinin standart sözleşme metninde açıkça belirtilmesi gerekmektedir. 

• Kuruma gönderilecek standart sözleşmelerde (özellikle KEP iletisi olarak gönderilmesi halinde) sözleşme metninin eklenmesinin unutulmaması veya gönderilen standart sözleşmenin sayfalarında eksiklik bulunmaması gerekmektedir.

• Kuruma yapılacak bildirimlerde yabancı ülke makamlarınca düzenlenmiş resmî belgelere de yer verilmesi mümkün olduğundan, yabancı ülkelerde düzenlenmiş resmî belgeler üzerindeki imzanın doğruluğunun, belgeyi imzalayan kişinin unvanının veya gerektiğinde bu belge üzerindeki mühür veya damganın aslı ile aynı olduğunun teyidi gerekebilecektir. Normal şartlar altında, bu teyit işleminin ilgili ülkede görev yapan ülkemiz konsolosluk veya diplomasi memurları tarafından gerçekleştirilmesi gerekmektedir. Ancak, ülkemizin de taraf olduğu Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi çerçevesinde bu Sözleşmeye taraf devletlerde düzenlenmiş resmî belgeler söz konusu tasdik işleminden bağışık tutulmuş olup; apostil şerhinin varlığı yeterli olacaktır. Dolayısıyla, istisnai bir düzenlemenin veya uluslararası anlaşmanın yokluğu hâlinde Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf bir ülkede düzenlenmiş resmî belgelerin apostil şerhi ile birlikte Kuruma sunulması gerekmektedir. Hem Sözleşmeye taraf olmayan hem de herhangi bir muafiyetten yararlanmayan ülkeler bakımından ise ilgili ülke makamları tarafından tanzim edilen belgelerin tasdik işlemlerinin tamamlanarak Kuruma sunulması gerekmektedir. 

• Kuruma sunulacak tevsik edici belgeler ile yabancı dildeki her belgenin, noter onaylı Türkçe çevirisi ile birlikte sunulması gerekmektedir. 

• Standart sözleşmede, aktarım taraflarının imzaları daha ileri bir tarihte tamamlanmış olmasına rağmen sözleşmenin geçmişe dönük olarak yürürlüğe gireceğine dair ‘yürürlük tarihi:…’ vb. ibarelere yer verilmemelidir.

• Aktarım taraflarının, kişisel veri aktarımı bağlamında uygun standart sözleşme tipini belirledikten sonra yalnızca seçimlik veya alternatif içerikli standart sözleşme maddeleri üzerinde değişiklik yapabilmeleri mümkündür. Standart sözleşme metinlerinin, Kurul tarafından ilân edildiği şekliyle kişisel verilerin yurt dışına aktarılması bakımından uygun güvenceleri sağlayacağının kabul edildiği dikkate alındığında, seçimlik veya alternatif içerikli maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmamalıdır. 

Kişisel Verilerin Yurt Dışına Aktarımında İzlenecek Aşamalar

6698 sayılı Kişisel Verilerin Korunması Kanununda yapılan değişiklikle kişisel verilerin yurt dışına aktarımında aşağıda belirtilen şekilde aşamalı bir rejim yürürlüğe konulmuştur:

·      Aktarım yapılacak ülkenin Kurul tarafından yeterli korumanın bulunduğu ülke olarak ilan edilmiş olması.

Maddenin yeni düzenlemesi ile önceki düzenlemede değişiklik yapılarak, yeterlilik kararının sadece ülkenin geneli için değil, o ülkenin belirli bir sektörü veya uluslararası kuruluşlar için de verilebilmesine imkan sağlanmıştır. Kanunun 5’inci ve 6’ıncı maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.

·      Yeterli korumanın bulunmaması durumunda Kanunda düzenlenmiş uygun güvencelerin sağlanması.

Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9’uncu maddesinin 4. Fıkrasında, yeterlilik kararının bulunmaması durumunda, Kanunun 5’inci ve 6’ıncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, anılan fıkrada belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır.

·      Yeterli korumanın bulunmaması ve kanunda düzenlenecek uygun güvencelerin sağlanmaması durumunda kanuna eklenecek bir maddede sınırlı sayıda belirlenmiş istisnai hallerden birinin varlığı.

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

·      Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul izni.

Ülkemizdeki bir kamu kurumunun yabancı ülkedeki ilgili kamu kurumuyla belli alanda yapacağı iş birliği protokolü çerçevesinde, Kurulun izin vermesi koşuluyla, bu iş birliği kapsamındaki faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkün hale gelecektir.

·      Kurul tarafından ‘’Onaylanmış Bağlayıcı Şirket Kurallarının’’ varlığı.

Kanunun dördüncü fıkrası (b) bendine göre, aynı teşebbüs grubu içinde bulunan şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6’ıncı maddelerindeki veri işleme şartlarından biri de mevcut ise, Kuruldan ek bir izin alınmadan bu şirketler arası veri aktarımı gerçekleştirilebilecektir. Böylece Kurulca onaylanan bağlayıcı şirket kuralları olan bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yabancı ülkedeki şirketine Kuruldan bir kez daha izin alınmaksızın veri aktarımı yapılabilecektir.

·      Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmelerin varlığı ve Kurula bildirim.

·      Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul izni.

Kanunun dördüncü fıkrası (ç) bendi uyarınca sektörel ya da bölgesel zorunluluklar sebebiyle standart taahhütname ile yurt dışına kişisel veri aktarımını gerçekleştiremeyecek aktarım taraflarının, aralarında yapacakları kişisel verilerin korunmasına ilişkin taahhütleri içeren taahhütnameyi Kurulun onayına sunmaları sonucu kişisel veri aktarımı gerçekleştirilebilecektir.

İstisnai Haller

Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin de sağlanmaması durumunda arızi olmak kaydıyla kanunun 9. Maddesi altıncı fıkrasında sayılan hallerden birinin varlığı halinde yurtdışına kişisel veri aktarabilir.

Sonuç itibariyle bahsedilen kanun değişikliği 1 Haziran 2024 tarihi itibari ile yürürlüğe girmiştir. Ve bu kanun değişikliğiyle öngörülen geçiş süreci kapsamında veri sorumlularının, 1 Eylül 2024 tarihine kadar Kanun’un 9. Maddesinin 1. fıkrası uyarınca açık rızaya dayalı olarak yurt dışına aktarım faaliyetlerini sürdürmeleri mümkün olmaktaydı. Bununla beraber, veri sorumluları ve veri işleyenlerin, yayımlanan yönetmelik ve Kurum’un internet sitesinde yayımlanan standart sözleşmeler ile bağlayıcı şirket kurallarına ilişkin dokümanlar uyarınca yurt dışına aktarım süreçlerini gözden geçirmeleri ve kendilerine uygun aktarım mekanizmasını belirleyerek uyum süreçlerini belirtilen tarihe kadar tamamlamaları için de müsaade verilmiştir.

Tüm bu süreçlerin alanında uzman bir avukat aracılığı ile takip edilmesi, süreçte danışmanlık alınarak ilerlenmesi hak kayıplarının yaşanmaması ve usuli işlemlerin doğru yapılması adına öncelikli tavsiyemizdir.

Yazar: Serenay Şahin

Editör: Sünbül Akçınar