6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde yapılan son değişikliklerle birlikte, yurt dışına kişisel veri aktarımında standart sözleşmeler (SS) dönemi başlamıştır. Bu mekanizma, taraflar arasında uzun müzakereler yapılmaksızın, Kişisel Verileri Koruma Kurulu tarafından önceden belirlenmiş ve değiştirilemez model sözleşmelerin imzalanması esasına dayanır. Standart sözleşmeler, yurt dışına çıkarılan kişisel verilerin, aktarıldıkları yabancı ülkede de Türkiye'deki standartlara eşdeğer bir korumadan faydalanmasını güvence altına almayı hedefler. Sözleşmenin imzalanmasıyla beraber veri alıcısı konumundaki yabancı taraf, KVKK kapsamındaki hukuki korumayı sağlayacağını taahhüt etmektedir. Türk hukukunda bu yöntem, kurul onayına tabi olmaması ve pratikliği sebebiyle kısa sürede en çok tercih edilen yurt dışı aktarım mekanizması haline gelmiştir. Tarafların bu süreçte üstlendiği hukuki ve operasyonel yükümlülüklerin eksiksiz yerine getirilmesi, veri güvenliği ihlallerinin önlenmesi ve ağır idari yaptırımlarla karşılaşılmaması adına hayati önem taşımaktadır.
Standart Sözleşmelerin Tarafları ve Bildirim Yükümlülüğü
Türk hukukunda standart sözleşmelerin tarafları, kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen ile bu verileri yurt dışında devralan veri alıcısı konumundaki gerçek veya tüzel kişilerdir. Kurul tarafından yayınlanan dört farklı modül, tarafların hukuki statüsüne göre farklılık gösteren spesifik sorumluluk rejimleri öngörmektedir. En kritik yükümlülüklerden biri, taraflarca imzalanan standart sözleşmelerin en geç beş iş günü içerisinde fiziki veya kayıtlı elektronik posta (KEP) gibi yöntemlerle Kuruma bildirilmesi zorunluluğudur. Kurulun açık onayı gerekmese de, bu bildirim yükümlülüğüne uyulmaması sözleşmeyi ve dolayısıyla veri aktarımını hukuka aykırı hale getirecektir. Bildirim yükümlülüğünün kimin tarafından yerine getirileceği taraflarca sözleşmede serbestçe belirlenebilir; ancak özel bir belirleme yapılmadığı takdirde bu sorumluluk doğrudan veri aktarana aittir.
Veri Sorumlusunun Aydınlatma ve Sicile Kayıt Yükümlülükleri
Yurt dışına veri aktarımı süreci, özünde bir kişisel veri işleme faaliyetidir. Bu sebeple veri sorumlusu, şeffaflık ve dürüstlük kuralları gereğince aydınlatma yükümlülüğünü tam ve eksiksiz olarak yerine getirmek zorundadır. İlgili kişilere, verilerin kim tarafından, hangi amaçlarla yurt dışına aktarıldığı ve KVKK kapsamındaki haklarının neler olduğu açık, sade ve anlaşılır bir dille bildirilmelidir. Ayrıca, veri aktaran veri sorumlusunun Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü bulunuyorsa, standart sözleşme eklerinde sağlanan bilgilerin VERBİS üzerindeki kayıtlarla birebir uyumlu olması şarttır. Bu durum, Kurulun yapacağı muhtemel denetimlerde çapraz kontrollerin temelini oluşturur. Aydınlatma metinlerinde kullanılacak ifadelerin muğlaklıktan uzak olması ve standart sözleşmeye dayalı aktarım mekanizmasının veri sahibine doğru şekilde aktarılması, hukuki uyuşmazlıkların önlenmesinde avukatlar ve uyum profesyonelleri için öncelikli bir risk yönetimi adımıdır.
Veri Güvenliğini Sağlamaya Yönelik Müşterek Sorumluluk ve İhlal Bildirimi
Kanun, kişisel verilerin yetkisiz erişime maruz kalmasını önlemek amacıyla alınacak idari ve teknik tedbirler konusunda veri sorumlusu ile veri işleyeni müştereken sorumlu tutmuştur. Bu kapsamda, çalışanların eğitilmesi, veri minimizasyonu, erişim loglarının tutulması ve kriptografik şifreleme gibi yöntemlerin titizlikle uygulanması gerekmektedir. Özel nitelikli kişisel verilerin aktarılmasında ise Kurulun belirlediği ekstra güvenlik protokollerinin sağlanması elzemdir. İşlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişilerin eline geçmesi, yani bir veri ihlali yaşanması durumunda, veri sorumlusu bu durumu en geç yetmiş iki saat içinde Kurula ve etkilenen ilgili kişilere bildirmekle mükelleftir. Bu katı süreçlerin ihlali durumunda şirketler, KVKK ve sözleşme hukuku kapsamında ağır yaptırımlarla karşı karşıya kalabilmektedir.
İlgili Kişinin Hakları ve Yasal Süreçler
Standart sözleşmeler bağlamında kişisel verileri yurt dışına aktarılan ilgili kişilerin temel haklarını kullanabilmeleri için veri sorumluları net prosedürler oluşturmalıdır. Sözleşmenin Üçüncü Taraf Yararlanıcı Hakları maddesi gereğince, ilgili kişiler veri aktaran veya veri alıcısına karşı haklarını ileri sürebilme imkanına sahiptir. Veri sorumlusuna yöneltilen başvuruların en geç otuz gün içinde ve kural olarak ücretsiz sonuçlandırılması yasal bir zorunluluktur. İlgili kişilerin standart sözleşmelerden doğan ve KVKK ile güvence altına alınan başlıca hakları şunlardır:
- Kişisel verilerin yurt dışında aktarıldığı üçüncü kişileri bilme ve veri işlemeye dair detaylı bilgi talep etme,
- Eksik veya yanlış işlenen verilerin düzeltilmesini, ayrıca yasal şartlar oluştuğunda silinmesini isteme,
- Özellikle otomatik sistemler aracılığıyla yapılan analizler sonucunda aleyhe ortaya çıkan kararlara itiraz etme,
- Hukuka aykırı aktarım ve işleme faaliyetleri sebebiyle uğranılan zararların giderilmesini talep etme.
Müşteri bilgilerini yurt dışındaki sunucularda tutuyoruz, izin almamız şart mı? expand_more
Yurt dışı şirketlerle çalışırken bunu müşteriye söylemek zorunda mıyım? expand_more
Yurt dışındaki ortağımız hacklendi ve veriler çalındı, biz de ceza yer miyiz? expand_more
Bilgilerimi benden habersiz yurt dışına satmışlar, dava açıp hakkımı arayabilir miyim? expand_more
Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.
Bizi Değerlendirin
Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.
Google'da Değerlendir