Makale
7499 sayılı Kanun ile KVKK’nın 9. maddesinde yapılan köklü değişiklikler, yurt dışına veri aktarımında açık rıza mecburiyetini esneterek üç kademeli yeni bir rejim getirmiştir. Yeterlilik kararı, uygun güvenceler ve istisnai aktarım mekanizmaları ile veri sorumlularına ticari hayatta büyük kolaylık ve hukuki öngörülebilirlik sağlanmaktadır.
2024 Reformu Işığında Yurt Dışına Veri Aktarımı
12 Mart 2024 tarihinde yayımlanan 7499 sayılı Kanun, Türkiye'nin veri koruma hukukunda yeni bir dönemin kapılarını aralamıştır. Uzun yıllardır uygulamada en çok tartışılan ve ticari hayatı zorlaştıran konulardan biri olan kişisel verilerin yurt dışına aktarılması, bu reformla birlikte uluslararası standartlara çok daha uyumlu ve esnek bir yapıya kavuşmuştur. Değişiklik öncesinde uygulamada fiilen tek yöntem haline gelen açık rıza zorunluluğu, yerini kademeli ve sistematik bir aktarım rejimine bırakmıştır. Yeni düzenleme, işletmelerin uluslararası veri akışlarını hukuki güvenlik ve öngörülebilirlik ilkeleri çerçevesinde sürdürebilmeleri için yeterlilik kararı, uygun güvenceler ve istisnai aktarım halleri olmak üzere üç temel dayanak sunmaktadır. Bu makalede, veri aktarımı rejiminde yapılan devrim niteliğindeki değişiklikler ve yeni dönemin kurumsal uygulamalara yansımaları hukuki bir perspektifle ele alınacaktır.
Yeterlilik Kararı ile Veri Aktarımı
Yeni aktarım rejiminin ilk ve öncelikli basamağını yeterlilik kararı oluşturmaktadır. Kişisel Verileri Koruma Kurulu tarafından verilecek bu karar, verilerin aktarılacağı yabancı ülke, o ülke içerisindeki belirli bir sektör veya uluslararası kuruluş nezdinde yeterli veri koruma standartlarının bulunduğunu tescil eder. Kurul, kararını alırken karşılıklılık durumu, ilgili ülkenin mevzuatı, bağımsız bir denetim otoritesinin varlığı ve uluslararası sözleşmelere katılım gibi kriterleri dikkate alır. Yeterlilik kararı bulunması durumunda, veri sorumluları ve veri işleyenler, ek bir idari izne veya onaya ihtiyaç duymaksızın yurt dışına veri aktarımı gerçekleştirebilirler. İlgili kararlar, en geç dört yılda bir Kurul tarafından yeniden değerlendirilmekte olup, koruma seviyesinin düşmesi halinde kararın değiştirilmesi, askıya alınması veya tamamen kaldırılması mümkündür.
Uygun Güvenceler Çerçevesinde Veri Aktarımı
Aktarım yapılacak ülke, sektör veya kuruluş hakkında bir yeterlilik kararı bulunmadığı senaryolarda, veri aktarımının hukuka uygun şekilde yapılabilmesi için ikinci kademe olan uygun güvenceler devreye girmektedir. Bu yöntemlerin kullanılabilmesi için, aktarılacak ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yollarına başvurma imkânına sahip olması şarttır. Kanun koyucu, ticari hayatın gerekliliklerini gözeterek dört farklı uygun güvence mekanizması öngörmüştür. İşletmelerin somut olayın niteliğine göre tercih edebileceği bu yöntemler, uluslararası veri akışlarının esnek ve yasal zeminde yürütülmesini garanti altına alır.
| Uygun Güvence Yöntemi | Aktarımın Tarafı / Kapsamı | Kurul Onayı / Bildirimi |
|---|---|---|
| Standart Sözleşmeler | Veri Sorumlusu ve/veya Veri İşleyenler | İmzadan itibaren 5 iş günü içinde Kuruma bildirim |
| Bağlayıcı Şirket Kuralları (BŞK) | Aynı şirketler topluluğu (Grup şirketleri) | Kurul İzni zorunlu |
| Taahhütnameler | Yeterli koruma sağlayacak veri aktaran ve alıcı | Kurul İzni zorunlu |
| İdari Anlaşmalar | Kamu kurum ve meslek kuruluşları | Kurul İzni zorunlu |
Standart Sözleşmelerin Uygulama Esasları
Reformun özel sektöre sunduğu en pratik çözüm olan standart sözleşmeler, veri aktaran ve veri alıcısı arasında imzalanan ve Kurul tarafından standart şablonları yayımlanan metinlerdir. Sözleşmelerin imzalanması tek başına yeterli olmayıp, beş iş günü içerisinde Kuruma bildirim yapılması zorunludur. Bildirim yükümlülüğünün ihlali halinde, yeni düzenleme ile birlikte hem veri sorumluları hem de veri işleyenler hakkında doğrudan idari para cezası uygulanması hüküm altına alınmıştır. Önceden sadece veri sorumlularına uygulanan idari yaptırımların, artık veri işleyenleri de bağlaması, yeni dönemin en kritik yasal sonuçlarından biridir. Standart sözleşme metinlerinde, Kurulun belirlediği boşluklar haricinde esaslı bir değişiklik yapılamaz. Metinde oynama yapılması, aktarımı doğrudan hukuka aykırı hale getirecektir.
İstisnai Aktarım Halleri ve Arızi Aktarımlar
Yeterlilik kararının bulunmadığı ve uygun güvencelerden hiçbirinin sağlanamadığı son ihtimalde, kanun koyucu istisnai aktarım hallerini öngörmüştür. Ancak bu hallere dayanarak veri aktarımı yapılabilmesi için aktarımın mutlaka arızi (tek seferlik veya nadir) olması gerekmektedir. Düzenli veya sistematik aktarımlar için bu istisnalara dayanılması hukuken mümkün değildir. İstisnai haller arasında en dikkat çekeni, eski sistemin temel kuralı olan açık rızanın artık sadece bir son çare olarak kurgulanmasıdır. Üstelik bu kapsamda alınacak açık rızanın geçerli olabilmesi için, ilgili kişinin uygun güvencelerin bulunmamasından doğan muhtemel riskler hakkında özel olarak aydınlatılması zorunludur. Sözleşmenin ifası, üstün kamu yararı, bir hakkın tesisi ve fiili imkânsızlık gibi diğer istisnalar da, yalnızca katı gereklilik testlerini geçen durumlarda işletilebilecektir.