Anasayfa/ Makale/ Yeterlilik Kararı Olmayan Hallerde Güvenceler ve İstisnalar

Yeterlilik Kararı Olmayan Hallerde Güvenceler ve İstisnalar

Yeterlilik kararı olmayan ülkelere veri aktarımı, 7499 sayılı Kanun'la gelen yenilikler ışığında uygun güvencelerin sağlanmasıyla mümkündür. Bu makalede, standart sözleşmeler, bağlayıcı şirket kuralları ve taahhütnameler gibi hukuki mekanizmalar ile güvencelerin sağlanamadığı durumlarda geçerli olan arızi aktarım istisnaları incelenmiştir.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK AÇIK RIZA KAMU YARARI GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Kişisel verilerin yurtdışına aktarılması sürecinde, aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararı bulunmaması uygulamada sıkça karşılaşılan bir durumdur. Bu gibi spesifik durumlarda, veri sorumluları ve veri işleyenlerin uluslararası veri transferini hukuka uygun şekilde gerçekleştirebilmeleri için Kanun'da sayılan uygun güvencelerden birini sağlaması gerekmektedir. 7499 sayılı Kanun ile KVKK madde 9'da yapılan ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumu amaçlayan değişiklikler, bu hukuki çerçeveyi yeniden şekillendirmiştir. Bu yeni düzenleme uyarınca, yeterlilik kararının bulunmadığı hallerde aktarım yapılabilmesi için, veri sahibinin aktarım yapılacak ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması zorunlu bir ön şart olarak aranmaktadır. Hukuki bir perspektifle değerlendirildiğinde, küresel çapta ticari faaliyet yürüten şirketlerin idari yaptırımlardan kaçınmaları için sınır ötesi veri akışlarındaki güvence mekanizmalarını doğru kurgulamaları hayati önem taşır.

KVKK Kapsamında Sağlanabilecek Uygun Güvenceler

Yeterlilik kararının bulunmadığı durumlarda uluslararası veri aktarımının yasal zeminini oluşturmak üzere KVKK'nın 9. maddesinin 4. fıkrasında çeşitli uygun güvence mekanizmaları düzenlenmiştir. Bu mekanizmaların temel amacı, yurtdışına çıkan kişisel verilerin, ulusal sınırların ötesinde de Türk hukuku standartlarına eşdeğer bir koruma kalkanı altında tutulmasını mutlak surette garanti etmektir. Veri aktaran ile alıcı arasında tesis edilecek bu güvenceler, hukuki niteliklerine göre Kurul onayına veya bildirim usulüne tabi tutulmuştur. İlgili hukuk uygulamaları bağlamında ele alındığında, şirketlerin kurumsal yapılarına, iştirak ağlarına veya veri akışının sıklığına göre en uygun mekanizmayı seçmeleri stratejik bir değer taşır. Kanun koyucu, uluslararası sözleşme niteliğinde olmayan anlaşmalardan, özel teşebbüsler arasındaki sözleşmelere kadar son derece geniş bir yelpazede hukuki enstrümanlar sunmuştur. Bu güvencelerin uygulanabilmesi için her halükarda genel veri işleme şartlarından birinin gerçekleşmiş olması aranmaktadır.

Standart Sözleşmeler ve Bağlayıcı Şirket Kuralları

Sınır ötesi kurumsal veri akışlarında en çok tercih edilecek esnek mekanizmalardan biri, Kurul tarafından ilan edilen standart sözleşmeler aracılığıyla sağlanan güvencedir. Veri kategorileri, aktarım amaçları, alıcı grupları ile alınacak teknik ve idari tedbirleri kapsayan bu sözleşmelerin imzalanması halinde, önceden idari bir izin alınmaksızın aktarım gerçekleştirilebilir. Ancak, hukuki bir geçerlilik şartı olarak bu sözleşmelerin imzalanmalarından itibaren beş iş günü içinde Kuruma bildirilmesi emredici bir kuraldır. Öte yandan, çok uluslu ve ortak ekonomik faaliyette bulunan teşebbüs grupları için bağlayıcı şirket kuralları son derece işlevsel ve kalıcı bir yöntemdir. Bu kural setleri, grup içerisindeki tüm şirketleri bağlayıcı nitelikte kurgulanmalı ve Kurul tarafından resmen onaylanmalıdır. Bağlayıcı şirket kurallarına dayalı aktarımlar, çok uluslu şirketlerin karmaşık veri trafiğini tek bir hukuki şemsiye altında toplayarak operasyonel maliyetleri düşürür ve uyumluluğu artırır.

Taahhütnameler ve Kurum İzni

Yeterli korumanın bulunmadığı ülkelere veri aktarımında kullanılan bir diğer önemli güvence mekanizması ise yeterli korumayı sağlayacak standart hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve bu taahhütnameye istinaden Kurul tarafından aktarıma izin verilmesi usulüdür. Bu yöntem, standart sözleşmelerin kullanılamadığı veya bağlayıcı şirket kurallarının tesis edilemediği özellikli veri aktarım senaryolarında veri sorumluları tarafından kurtarıcı bir enstrüman olarak kullanılır. Hazırlanacak taahhütnamelerde, kişisel verilerin niteliği, işlenme süresi ve alıcı ülkede alınacak taahhütlü önlemler detaylandırılmalıdır. Kurul, izin başvurusunu değerlendirirken aktarım yapılacak ülkenin mevzuatını, idari uygulamalarını, hukuki karşılıklılık durumunu ve somut aktarımın taşıdığı riskleri bir bütün olarak analiz eder. İzin sürecinin detaylı incelemeye tabi olması sebebiyle, taahhütnamelerin güçlü hukuki argümanlarla hazırlanması uygulamada avukatların en hassas yaklaşması gereken konuların başında gelir.

Uygun Güvencelerin Bulunmadığı Arızi Aktarım İstisnaları

Yeterlilik kararının tahsis edilmediği ve Kanun'da açıkça öngörülen uygun güvence mekanizmalarının (standart sözleşme, bağlayıcı şirket kuralları, taahhütname vb.) fiilen sağlanamadığı son çare durumlarında, kişisel verilerin yurt dışına aktarılabilmesi ancak arızi olmak kaydıyla belirli istisnai hallere dayandırılabilir. Hukuki uygulamalarda "arızi aktarım" kavramı; sistematik, düzenli ve sürekli olarak tekrarlanmayan, istisnai ihtiyaçlardan doğan anlık veri akışlarını ifade eder. KVKK'nın 9. maddesinin 6. fıkrasında sınırlı sayıda (tahdidi) sayılan bu istisnai durumların herhangi birinin varlığı, veri aktaran taraflara acil hukuki işlemlerinde dar bir hareket alanı tanımaktadır. İstisna normlarının dar yorumlanması ilkesi gereği, bu maddelere dayanılarak sürekli bir veri aktarım kurgusu yapılamaz. Belirtilen sıkı hukuki koşullar altında geçerli olan istisnai aktarım halleri Kanun'da şu şekilde listelenmiştir:

  • İlgili kişinin, aktarımın muhtemel riskleri hakkında önceden aydınlatılarak bilgilendirilmesi şartıyla, söz konusu aktarıma açık rıza vermesi.
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması için hukuken zorunlu olması.
  • İlgili kişi yararına, veri sorumlusu ile üçüncü bir kişi arasında yapılacak sözleşmenin kurulması veya ifası için sınır ötesi aktarımın zorunlu olması.
  • Kişisel verilerin aktarılmasının, yasal düzenlemelerde karşılığını bulan üstün bir kamu yararı sebebiyle kesin bir zorunluluk arz etmesi.
  • Bir hakkın tesisi, kullanılması veya korunması amacıyla verilerin yargı veya idari merciler nezdinde paylaşımının zorunlu olması.
  • Fiili imkânsızlık sebebiyle rızasını açıklayamayan kişinin veya üçüncü bir şahsın hayatı ya da beden bütünlüğünün korunması için verilerin aktarılması.
  • Mevzuattaki şartları fiilen sağlamak ve resmi olarak talep etmek kaydıyla, kamuya veya meşru menfaati bulunanlara açık bir sicilden veri aktarımı yapılması.
Müşteri verilerimizi yurt dışına aktaracağız ama o ülke güvenli değilmiş, ne yapmalıyız? expand_more
Kişisel Verileri Koruma Kurulu tarafından yeterlilik kararı bulunmayan ülkelere veri aktarımı yapabilmeniz için, kanunda sayılan uygun güvencelerden birini mutlaka sağlamanız gerekmektedir. Sınır ötesine giden verilerin Türk hukuku standartlarına eşdeğer bir koruma altında olmasını garanti etmek adına standart sözleşmeler, bağlayıcı şirket kuralları veya taahhütnameler gibi hukuki mekanizmalardan birini tesis etmelisiniz. İdari yaptırımlarla karşılaşmamak için, aktarım yapılacak ülkede veri sahibinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının var olduğundan da emin olmalısınız. Tüm bu güvence mekanizmalarının uygulanabilmesi için öncelikle kanundaki genel veri işleme şartlarından birinin hali hazırda gerçekleşmiş olması şartı aranır.
Yurt dışındaki bir firmayla standart sözleşme imzaladık, Kuruldan izin almalı mıyız? expand_more
Kurul tarafından ilan edilen standart sözleşmeleri imzalayarak kullandığınız durumlarda, aktarım öncesinde Kuruldan ayrıca idari bir izin almanıza gerek bulunmamaktadır. Ancak bu yöntemin hukuken geçerli olabilmesi için, sözleşmelerin imzalandığı tarihten itibaren beş iş günü içinde Kuruma bildirilmesi mutlak ve emredici bir kuraldır. İlgili sözleşmelerin veri kategorilerini, aktarım amaçlarını, alıcı gruplarını ve mutlaka alınacak teknik ile idari tedbirleri kapsaması hukuki bir zorunluluktur. Bu bildirim yükümlülüğünün ihlali, idari para cezaları dahil olmak üzere şirketiniz nezdinde ciddi yaptırım riskleri doğurur.
Şirketimizin yurt dışı merkezine sürekli veri gönderiyoruz, her defasında uğraşacak mıyız? expand_more
Çok uluslu ve ortak ekonomik faaliyette bulunan şirketler topluluğu için en kalıcı ve işlevsel hukuki çözüm, bağlayıcı şirket kuralları mekanizmasını kurmaktır. Grup içerisindeki tüm şirketleri kapsayacak şekilde hazırlanacak bu kural setlerinin yürürlüğe girmesi için mutlaka Kurul tarafından resmen onaylanması gerekmektedir. Bu yapıyı kurduğunuzda, karmaşık uluslararası veri trafiğinizi tek bir hukuki şemsiye altında toplayarak hem operasyonel maliyetlerinizi düşürür hem de yasal uyumluluğunuzu tam olarak sağlamış olursunuz. Ortak kuralların tesis edilemediği farklı özellikli durumlarda ise Kurul onaylı taahhütnameler bir diğer kurtarıcı hukuki enstrüman olarak değerlendirilebilir.
Acil bir durum oldu, güvence sağlayamadan yurt dışına bir kerelik veri atabilir miyiz? expand_more
Kanunda belirtilen uygun güvencelerin fiilen sağlanamadığı zorunlu durumlarda, ancak arızi (sistematik ve sürekli olmayan) olmak kaydıyla kişisel verileri yurt dışına aktarabilmeniz istisnai olarak mümkündür. Bu tür istisnai aktarımlar; veri sahibinin muhtemel riskler hakkında bilgilendirilerek açık rızasının alınması, hukuki bir sözleşmenin ifası, yargı önünde bir hakkın korunması veya hayati bir tehlikenin varlığı gibi kanunda tahdidi olarak sayılan dar durumlara dayanmak zorundadır. İstisna normlarının dar yorumlanması temel kuralı gereğince, bu maddelere dayanarak şirketinize sürekli bir veri aktarım modeli kurgulamanız yasal olarak mümkün değildir. Arızi durumun kapsamı dışına çıkan her türlü düzenli aktarım hukuka aykırı kabul edilecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir