Anasayfa Makale KVKK Yeni Yurt Dışına Aktarım Rejimi

Makale

6698 sayılı KVKK'da 7499 sayılı Kanun ile yapılan değişiklikler neticesinde yurt dışına veri aktarımı rejiminde üç aşamalı yeni bir sisteme geçilmiştir. Bu sistem; yeterlilik kararı, uygun güvenceler ve istisnai aktarım hallerinden oluşmakta olup, veri akışını kolaylaştırmayı ve uluslararası standartlara uyumlu hale getirmeyi amaçlar.

KVKK Yeni Yurt Dışına Aktarım Rejimi

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yurt dışına veri aktarımı rejimi, 12 Mart 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile köklü bir değişikliğe uğramıştır. Önceki düzenlemenin ticari hayatta bulut tabanlı sistemlerin kullanımını zorlaştırması ve uluslararası veri akışında tıkanıklıklara yol açması nedeniyle, Avrupa Birliği standartları ile uyumlu, üç aşamalı yeni bir yurt dışına aktarım mekanizması ihdas edilmiştir. Yeni rejim uyarınca, veri aktarımı gerçekleştirilebilmesi için öncelikle Kanun'un 5. ve 6. maddelerinde öngörülen kişisel veri işleme şartlarının bulunması zorunludur. Bu temel işleme şartlarının varlığı halinde; sırasıyla yeterlilik kararı, uygun güvencelerin sağlanması veya istisnai aktarım halleri üzerinden yurt dışına veri aktarımı hukuka uygun bir biçimde gerçekleştirilebilir. Bu yapısal reform, ülkemize yönelik ticari yatırımların önünü açmayı ve dijital ekonominin ihtiyaçlarına cevap vermeyi hedeflemektedir.

Yeterlilik Kararına Dayalı Aktarım

Yeni aktarım rejiminin ilk basamağını yeterlilik kararına dayalı aktarım oluşturmaktadır. Kanun'un 9. maddesine göre, aktarımın yapılacağı ülke, ülke içerisindeki belirli sektörler veya uluslararası kuruluşlar hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına kişisel veri aktarılabilir. Kurul bu kararı verirken, aktarım yapılacak ülkenin mevzuatı, bağımsız bir veri koruma kurumunun varlığı, idari ve adli başvuru yollarının bulunması ve uluslararası sözleşmelere taraf olma durumu gibi kriterleri dikkate alır. Alınan yeterlilik kararları en geç dört yılda bir değerlendirilir ve Kurul gerekli gördüğü hallerde bu kararı ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Yeterlilik kararının varlığı, veri aktarım süreçlerinde işletmelere büyük bir hukuki kolaylık ve öngörülebilirlik sağlamaktadır.

Uygun Güvencelere Dayalı Aktarım

Kurul tarafından verilmiş bir yeterlilik kararının bulunmadığı durumlarda, aktarımın ikinci aşaması olan uygun güvencelere dayalı aktarım mekanizmaları devreye girer. Bu yöntemde veri aktarımının yapılabilmesi için, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şarttır. Veri sorumluları ve veri işleyenler, kanunda tahdidi olarak sayılan uygun güvencelerden birini sağlayarak aktarımı hukuka uygun hale getirebilirler. Bu aşamada sunulan güvenceler, veri aktarımının yapıldığı ülkede de Türkiye'deki ile eşdeğer bir kişisel veri korumasının devam etmesini güvence altına almayı amaçlar. İşletmelerin somut ihtiyaçlarına ve veri aktarımının niteliğine göre belirlenecek bu hukuki araçlar, küresel veri akışının kesintisiz ve güvenli bir şekilde sürdürülmesinde kritik bir işlev görmektedir.

Kanunda öngörülen uygun güvence mekanizmaları şunlardır:

  • Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmalar: Kamu kurumları arasında iş birliği protokolü veya idari anlaşma şeklinde akdedilen ve Kurul iznine tabi olan güvenceler.
  • Bağlayıcı Şirket Kuralları (BŞK): Ortak ekonomik faaliyette bulunan şirket toplulukları içinde uygulanan ve Kurul onayı gerektiren veri koruma kuralları.
  • Standart Sözleşmeler: Kurul tarafından ilan edilen, içeriği değiştirilemeyen ve Kurul'a bildirim usulüyle yürürlüğe giren bağlayıcı metinler.
  • Yazılı Taahhütnameler: Yeterli korumayı sağlayacak hükümlerin yer aldığı ve Kurul'un açık iznine tabi olan veri koruma taahhütleri.

İstisnai ve Arızi Aktarım Halleri

Yeterlilik kararının bulunmadığı ve uygun güvencelerden hiçbirinin sağlanamadığı son ihtimalde, istisnai aktarım halleri devreye girmektedir. Bu aktarım türü, düzenli ve sistematik olmayan, olağan faaliyet akışı dışında gerçekleşen ve tek veya birkaç seferlik aktarımları kapsar. Arızi aktarım yapılabilmesi için ilgili kişinin muhtemel riskler hakkında bilgilendirilerek açık rızasının alınması, bir sözleşmenin ifası için zorunlu olması, üstün bir kamu yararının bulunması veya bir hakkın tesisi ve korunması gibi spesifik kanuni şartlardan birinin gerçekleşmesi aranır. Bu istisnalar dar yorumlanmalı ve sadece özel durumlarda başvurulan bir son çare olarak değerlendirilmelidir. İstisnai hallerde Kurul iznine veya bildirime gerek duyulmaksızın aktarım yapılabilse de, verilerin yurt dışında korunmasına yönelik ek bir güvence mekanizması sağlanmadığı için dikkatle yönetilmesi gereken hukuki riskler barındırmaktadır.

4 dk okuma Yayınlanma: Güncelleme: