Kişisel Verilerin Korunması Kanunu’nu kapsamında kişisel veri olarak kabul edilen verilerin yurt dışına aktarılmasına ilişkin usul ve esasları içeren yönetmelik yayımlandı. KVKK hükümleri arasında yurt dışına kişisel verilerin aktarımı konusunda hüküm bulunmaması sebebiyle oluşan boşluk, yönetmelik hükümleri ile doldurularak hukuki zemininin çerçevesi çizildi.
Kişisel verilerin yurt dışına aktarılma sürecinde açık rıza alınması şartından sıyrılarak; aktarım için yeterlilik kararı / uygun güvenceler / arızi haller şeklinde bir sistematikte ilerleyecek. Genel anlamda; ilgili yönetmelik ile özel nitelikli kişisel verilerin işlenmesi ve yurt dışına aktarımı konusunda Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyumlu bir geçiş yapıldığı anlaşılmakta.
Bu doğrultuda; kişisel veriler belirtilen şartlar dahilinde yurt dışına aktarılabilecek.
- Kişisel verilerin yurt dışına çıkartılması konusunda diğer kanunlarda yer alan hükümler saklı olmak kaydıyla; veri aktarımı yapılacak olan ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında “yeterlilik kararı” mevcutsa bu durumda; kişisel veriler yurt dışına aktarılabilecek.
- Şayet yeterlilik kararı yok ise de; bu durumda verilerin aktarılacağı kişinin aktarım yapılacak ülkede de haklarını kullanabilmesi ve etkili kanun yoluna başvurabilmesi imkanlarının bulunması kaydıyla ve aşağıdaki güvencelerin sağlanması halinde kişisel verilerin yurtdışına aktarımına izin verilebilecek.
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Yeterlilik kararı yoksa ve yukarıda bahsi geçen güvenceler de bulunmuyorsa bu halde arızi olmak (süreklilik arz etmemek) kaydıyla veri işleme şartlarının mevcut olması yani;
a)Kişiyi muhtemel riskler hakkında bilgilendirerek açık rıza alınması
b) Sözleşmenin kurulması veya ifası için aktarımın zorunlu olması
c) Aktarımın üstün kamu yararı içermesi
ç) Bir hakkın tesisi/kullanımı/korunması için zorunlu olması
d) Fiili imkânsızlık nedeniyle rıza alınamaması ve rızası alınamayan kişinin kendisi ya da bir başkasının hayatı/vücut bütünlüğünün korunması için aktarımın zorunlu olması
e) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi
- Bunların hiçbiri mevcut olmasa dahi; yani yeterlilik, güvence ve arızi haller bulunmasa dahi; Kişisel Verilerin Korunması Kurulu’nun vereceği bir karar ile kişisel verilerin yurt dışına aktarımı mümkün olabilecektir.
Yukarıda bahsedilen kişisel verilerin yurt dışına aktarım usulü dışında yönetmelik ile birlikte standart sözleşmelerde bildirim yükümlülüğünün de sınırları genişletildi. Artık; sözleşme taraflarının değişmesi, sözleşme içeriğinin değişmesi ve sözleşmenin sonlandırılması hallerinin de Kurum’a bildirilmesi yükümlülüğü söz konusu.
Standart sözleşmeler için süresi içinde bildirim yapılmaması halinde idari para cezası uygulanacak. Aynı zamanda bu para cezalarına karşı davalar artık idare mahkemelerinde açılabilecek.