18 Kasım 2024
Standart Sözleşme Bildirim Yükümlülüğü ve Yaptırımları
×
12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un 34'üncü maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") kişisel verilerin yurt dışına aktarılmasına ilişkin birtakım değişiklikler yapılmış ve 10.07.2024 tarih ve 32598 sayılı Resmî Gazete'de Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik") yayımlanarak yürürlüğe girmişti.
KVKK'da yapılan değişiklik ve Yönetmelik'in yayımlanması ile, oldukça tartışılan kişisel verilerin yurt dışına aktarılması konusunda usul ve esaslar belirlenmiştir. KVKK'nın 9. maddesi ve ilgili Yönetmelik çerçevesinde, kişisel verilerin yurt dışına aktarımında kullanılabilecek en önemli araçlardan biri standart sözleşmelerdir. Zira değişiklik öncesinde KVKK'da yer alan açık rızaya dayalı yurt dışına kişisel veri aktarımlarının 1 Eylül 2024 tarihine kadar geçerli kabul edileceği, ancak bu tarihten sonra açık rızaya dayalı olarak yurt dışına kişisel veri aktarımının yapılamayacağı düzenlenmiştir. Bu sebeple yeni düzenlemeler kapsamında veri sorumlusu ve veri işleyenlerin mevzuata uyum sağlamaları gerekmektedir.
Standart sözleşmeler, veri aktarımında tarafların uyması gereken hükümleri içerir ve Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenir. Bu sözleşmeler, veri sorumlusu ve veri işleyenler arasında uygun güvence sağlamak amacıyla kullanılır.
Kurul tarafından ilan edilen standart sözleşmeler, Kişisel Verileri Koruma Kurumu'nun resmî internet sitesinde Türkçe ve İngilizce olarak yayımlanmıştır. Ancak her ne kadar standart sözleşmeler Türkçe ve yabancı dilde hazırlanabilirse de Yönetmelik ile Türkçe metnin esas alınacağı düzenlenmiştir. Standart sözleşmelerde yurt dışına aktarılan kişisel verilere ilişkin veri kategorilerinin ve aktarım amaçları ile alıcı gruplarının belirtilerek veri aktarılan tarafından alınacak teknik ve idari tedbirlerin belirtilmesi gerekmektedir. Ayrıca sağlık verisi, dernek üyeliği bilgisi vb. gibi yurt dışına aktarılan özel nitelikli kişisel veri mahiyetindeki kişisel veriler için alınacak ek önlemlerin de belirtilmesi Yönetmelik ile düzenlenmiştir. Bu bağlamda veri sorumlularının yurt dışına aktardığı kişisel veriler özelinde çalışma yaparak bu bilgileri tespit etmesi ve standart sözleşmelerinde bu bilgilere yer vermesi gerekmektedir.
Belirtmek gerekir ki, standart sözleşmeler üzerinde değişiklik yapılamayacağı öngörülmüştür. Sözleşmede herhangi bir değişiklik yapıldığının yahut sözleşmenin tarafların yetkililerince imzalanmadığının tespiti hâlinde Kurum tarafından re'sen inceleme başlatılacağı belirtilmiştir.
Standart sözleşmeler, imzalanma aşamasının tamamlanmasına müteakip 5 (beş) işgünü içerisinde Kurum'a bildirilmesi gerekmektedir. Kurum'a bildirim; (i) fiziken gönderim, (ii) KEP üzerinden yahut (iii) Kurul tarafından belirlenen diğer yöntemlerle yapılabilmektedir. Diğer yöntemlere ilişkin 25 Ekim 2024 tarihinde Standart Sözleşme Bildirim Modülü Kurul tarafından resmî internet sitesinde duyurulmuş olup bildirimler ilgili arayüz üzerinden de yapılabilmektedir.
Sonuç olarak; yapılan Kanun değişikliği sonrasında kişisel verilerin yurt dışına aktarımında veri sorumlusu ve veri işleyenlerin Yönetmelik ile detaylı olarak belirlenen koşul ve şartlara uygun olarak gerekli uyumu sağlaması gerekmektedir. Kanun'a uygun olarak yurt dışı veri aktarımına ilişkin bildirim yükümlülüğünü yerine getirmeyenler hakkında 2024 yılı için 50.000 TL ila 1.000.000 TL arasında idari para cezasına hükmolunması belirlenmiştir.
Kurul tarafından ilan edilen standart sözleşmelere buradan ulaşabilirsiniz.
Standart sözleşmeler hakkında sık sorulan sorular ve cevaplarına buradan ulaşabilirsiniz.
Şirketinizin standart sözleşme süreçlerinde yasal uyumunu sağlamak için profesyonel danışmanlık hizmetlerimize buradan ulaşabilirsiniz.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.
Bilgilendirme Metni!
