Giriş:

Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından, 2 Ocak 2025 tarihinde, kişisel verilerin yurt dışına aktarılmasına ilişkin mevzuatın uygulamasını yönlendiren Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”) yayımlandı. Bu rehber, özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesinde yapılan değişikliklerin uygulanmasına ışık tutmayı hedefliyor. Hem veri sorumluları hem de veri işleyenler için kritik öneme sahip olan bu rehber, veri aktarımı süreçlerinin şeffaf ve hukuka uygun bir şekilde yürütülmesi açısından önemli bir yol haritası sunmaktadır.

• Rehberin Amacı ve Kapsamı

Rehberin temel amacı, Kanun’un 9. maddesi çerçevesinde kişisel verilerin yurt dışına aktarımı sırasında uyulması gereken prosedürleri ve KVKK’nın belirlediği uygun güvence mekanizmalarını netleştirmektir. Özellikle uluslararası veri transferlerinde karşılaşılan zorlukların giderilmesi için Kanun, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’ne (GDPR) uyum sağlanarak yeniden düzenlenmiştir. Bu bağlamda, rehber hem yeterlilik kararı bulunan ülkelerle yapılacak veri aktarımlarını hem de uygun güvenceler sağlanması gereken durumları ayrıntılı olarak ele almıştır.

• Yeterlilik Kararı ve Uygun Güvenceler

Kanun kapsamında, bir ülkenin genel olarak ya da belirli sektörler bazında yeterlilik kararı alması durumunda, kişisel verilerin bu ülkeye aktarımı kolaylaştırılmıştır. Ancak yeterlilik kararı bulunmayan ülkeler için veri aktarımı yapılabilmesi, dört ana güvence yönteminden birine dayandırılmaktadır:

• Uluslararası Sözleşmeler: Türkiye ile veri aktarımı yapılacak ülke arasında imzalanmış sözleşmelerin varlığı.
• Standart Sözleşmeler: KVKK tarafından onaylanmış sözleşme metinlerinin kullanılması.
• Bağlayıcı Şirket Kuralları: Çok uluslu şirket gruplarının kendi içindeki veri aktarımları için belirlediği, KVKK tarafından onaylanmış kurallar.
• Taahhütnameler: Veri sorumlularının yazılı olarak verdikleri güvence beyanları.

• İstisnai Aktarımlar

Yeterlilik kararı ya da uygun güvence sağlanamadığı durumlarda, belirli istisnai hallerde veri aktarımına izin verilmektedir. Bu haller arasında, ilgili kişinin açık rızası alınması, kamu yararının gözetilmesi veya hayati bir zararın önlenmesi gibi durumlar yer almaktadır. Ancak bu aktarımlar süreklilik arz etmemeli ve arızi nitelikteolmalıdır.

• Yeni Düzenlemelerin İş Dünyasına Etkisi

Kanunda yapılan değişiklikler, özellikle dijitalleşmenin hızla ilerlediği bir dönemde uluslararası veri transferlerini kolaylaştırmayı amaçlamaktadır. Ancak, rehberde öne çıkan detaylar, şirketlerin veri aktarımı süreçlerinde ciddi bir uyum çabası gerektirdiğini de göstermektedir. Bu nedenle, şirketlerin rehberi dikkatle inceleyerek veri işleme politikalarını güncellemeleri büyük önem taşımaktadır.

Sonuç:

KVKK’nın yayımladığı bu rehber, kişisel verilerin yurt dışına aktarımı konusunda daha net kurallar ve standartlar sunarak veri güvenliği ile iş sürekliliğini bir arada sağlamayı hedeflemektedir. Şirketler için rehbere uygun hareket etmek, hem yasal uyum hem de müşteri güvenini artırma açısından stratejik bir gereklilik olarak öne çıkmaktadır

 

---