Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

Bilindiği üzere, 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un 34'üncü maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun “Kişisel verilerin yurt dışına aktarılması" başlıklı 9'uncu maddesinde değişiklik yapılmıştır. Söz konusu değişiklik 01.06.2024 tarihinde yürürlüğe girmiştir.

6698 sayılı Kanun'un 9'uncu maddesinin yeni hâlinin on birinci fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" 10.07.2024 tarih ve 32598 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Yönetmeliğin Amacı

Bu yönetmeliğin amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesinin uygulanmasına yönelik usul ve esasları belirlemektir.

Genel Hükümler

Kişisel veriler, yalnızca Kanun ve Yönetmelikte belirtilen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Veri işleyen, veri sorumlusunun talimatlarına uygun olarak hareket eder ve gerekli teknik ve idari tedbirleri alır. Diğer kanunlarda yer alan hükümler saklıdır.

Yeterlilik Kararına Dayalı Aktarımlar

Yurt dışına kişisel veri aktarımından ilk aranacak kriter ülke veya sektör hakkında verilmiş bir yeterlilik kararının bulunmasıdır. Kurul, belirli ülkelerin veya uluslararası kuruluşların yeterli düzeyde veri koruma sağladığına karar verebilir. Yeterlilik kararı, dört yılda bir gözden geçirilir ve gerekli görüldüğünde değiştirilir, askıya alınır veya kaldırılır.

Uygun Güvencelere Dayalı Aktarımlar

Yeterlilik kararı bulunmayan durumlarda, kişisel verilerin yurt dışına aktarımı için belirli uygun güvenceler sağlanmalıdır. Bu güvenceler; uluslararası anlaşmalar, bağlayıcı şirket kuralları, standart sözleşmeler veya taahhütnameler olabilir. Bağlayıcı şirket kuralları ve standart sözleşmeler, Kurul tarafından onaylanmalıdır. Taahhütnameler; kişisel veri aktarımının amacı, kapsamı, veri güvenliği gibi hususları içermelidir.

İstisnai Hâller (Arızi Hallerde Veri Aktarımı)

Yeterlilik kararının bulunmaması ve uygun güvencelerin sağlanamaması durumunda, kişisel veriler ancak istisnai hâllerde yurt dışına aktarılabilir.

Bu yönetmelik, kişisel verilerin yurt dışına aktarımına ilişkin detaylı düzenlemeler getirerek, veri sahiplerinin haklarını korumayı amaçlar.

İlgili yönetmeliğe buradan ulaşabilirsiniz.

Kanun’un eski düzenlemesi uyarınca yurt dışına veri aktarımlarında kullanılan açık rıza metinlerinin 1 Eylül 2024 tarihine kadar kullanılmaya devam edilebileceği, ancak bu tarihten sonra bu açık rıza metinlerine dayanarak veri aktarımının artık mümkün olmayacağı belirtilmiştir. Bu nedenle, belirtilen tarihten sonra Yönetmelik'te belirtilen veri aktarım usullerinin uygulanması gerektiğini önemle hatırlatırız.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.