Comment are off
KVKK Değişiklikleri (GDPR UYUM PAKETİ)
16.02.24
KVKK Değişiklikleri (GDPR UYUM PAKETİ)
KVKK-GDPR Değişikliği Artık Somutlaştı
Uzun süredir beklenen KVKK reformu nihayet somutlaştı. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyum için ilk kapsamlı revizyon 8. Yargı Paketinde kendisine yer buldu.
6698 sayılı KVKK’da neler değişiyor, neler değişmiyor?
Kanun teklifine baktığımızda, kap-samlı değişiklikler yapıldığı görülmektedir. 2024 revziyonları veya GDPR Değişiklikleri şu şekilde özetlenebilir:
(1) Özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir.
(2) Kişisel verilerin yurtdışına aktarılması için yeni ve alternatifli bir rejim oluşturulmuştur.
(3) Açık rıza yurtdışına kişisel veri aktarılması için genel bir sebep olmaktan çıkartılmıştır; istisnai bir hale getirilmiştir.
(4) KVK Kurulu işlemlerinin tamamına karşı tek bir yargı yolu -idari yargı yolu- belirlenmiştir.
(5) Kişisel verilerin yurtdışına aktarılmasına ilişkin (standart sözleşmeleri 5 iş günü içerisinde KVK Kurulu’na bildirmeme) yeni bir kabahat ihdas edilmiştir.
Daha detay var tabii ki. Bunlar sadece öne çıkanlar.
Takdir artık Yüce Meclisin! Değişiklikler olabilir, metni dikkatli okumak gerekir…
Şimdiden hayırlı olsun…
Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklif
KVKK Reform Yasası Tam Metni
MADDE 33- 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinin ikinci fıkrası aşağıdaki şekilde değiştirilmiş ve üçüncü fıkrası yürürlükten kaldırılmıştır.
“(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması.
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde mümkündür.”
MADDE 34- 6698 sayılı Kanunun 9 uncu maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.
(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.”
MADDE 35- 6698 sayılı Kanunun 18 inci maddesinin birinci fıkrasına aşağıdaki bent eklenmiş, ikinci fıkrası aşağıdaki şekilde değiştirilmiş, ikinci fıkrasından sonra gelmek üzere aşağıdaki fıkra eklenmiş ve diğer fıkra buna göre teselsül ettirilmiştir.
“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,”
“(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.”
“(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.”
MADDE 36- 6698 sayılı Kanuna aşağıdaki geçici madde eklenmiştir.
“GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.
(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.”
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik
KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK TASLAĞI
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1- (1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin yurt dışına aktarılmasını düzenleyen 9 uncu maddesinin uygulanmasına ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2- (1) Bu Yönetmelik hükümleri, 6698 sayılı Kanunun 9 uncu maddesi uyarınca gerçekleştirilecek yurt dışına kişisel veri aktarımına taraf veri sorumluları ve veri işleyenler hakkında uygulanır.
Dayanak
MADDE 3- (1) Bu Yönetmelik, 6698 sayılı Kanunun 9 uncu maddesinin on birinci fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4- (1) Bu Yönetmeliğin uygulanmasında;
Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel verilerin yurt dışına aktarılması: Kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesini,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri aktaran: Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyeni,
Veri alıcısı: Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyeni,
ı) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar bakımından Kanun ve ilgili mevzuatında yer alan tanımlar esastır.
İKİNCİ BÖLÜM
Genel Hükümler
Kişisel verilerin yurt dışına aktarılması
MADDE 5- (1) Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur.
Birinci fıkra hükmü, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanır.
Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılma usulleri
MADDE 6- (1) Kişisel veriler, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.
Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması.
Yeterlilik kararının bulunmaması ve 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda ise 16 ncı maddede belirtilen istisnai hâllerden birinin varlığı.
(2) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması
MADDE 7- (1) Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, birinci fıkrada belirtilen teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür.
Veri işleyenin, 14 üncü maddenin beşinci fıkrası uyarınca standart sözleşmeyi bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.
ÜÇÜNCÜ BÖLÜM
Yeterlilik Kararına Dayalı Aktarımlar
Yeterlilik kararı
MADDE 8- (1) Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir. Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Kurul, birinci fıkrada belirtilenler dışında ek hususlar belirlemeye yetkilidir.
Kurul, yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü alır.
Kurul tarafından verilen yeterlilik kararları Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.
Yeterlilik kararının gözden geçirilmesi
MADDE 9- (1) Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilir. İlgili yeterlilik kararında, yeniden değerlendirme dönemleri açıkça belirlenir. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
Kurul, birinci fıkrada belirtilen yeniden değerlendirme dönemi ile bağlı olmaksızın gerekli gördüğü takdirde, yeterlilik kararını gözden geçirerek ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
Kurul, birinci veya ikinci fıkra uyarınca yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına neden olan durumun düzeltilmesi amacıyla ilgili ülke veya uluslararası kuruluşun yetkili makamlarıyla görüşebilir.
Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına ilişkin olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.
DÖRDÜNCÜ BÖLÜM
Uygun Güvencelere Dayalı Aktarımlar
Uygun güvence sağlama yolları
MADDE 10- (1) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanunun
5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında
yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması
MADDE 11- (1) Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir.
Anlaşmanın müzakere sürecinde Kurulun görüşüne başvurulur.
Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir:
Kişisel veri aktarımının amacı, kapsamı, niteliği, çerçevesi ve hukuki sebebi.
Kanun ve ilgili ikincil mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt.
ç) İlgili kişilerin anlaşma ve anlaşma kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar.
Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar.
Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt.
Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ) Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri.
Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin uygulanmasına ilişkin denetim mekanizması.
ı) Veri alıcısının, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlere uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme.
Veri alıcısının anlaşmanın feshedilmesi veya yürürlük süresinin sona ermesi hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt.
Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve
belgeler Kurula sunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
Bağlayıcı şirket kurallarıyla uygun güvencenin sağlanması
MADDE 12- (1) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için Kurula onay başvurusunda bulunulur.
Yapılacak başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenir. Bağlayıcı şirket kuralları metninin yabancı dilde de düzenlenmesi hâlinde Türkçe metin esas alınır.
Kurul tarafından bağlayıcı şirket kuralları onaylanırken özellikle aşağıdaki hususlar dikkate alınır:
Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.
Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.
Bağlayıcı şirket kurallarının asgari olarak 13 üncü maddede belirtilen hususları içermesi.
Kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından onaylanmasından sonra başlanır.
Bağlayıcı şirket kurallarında bulunması gereken hususlar
MADDE 13- (1) Bağlayıcı şirket kuralları asgari olarak aşağıdaki hususları içerir:
Ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri.
Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya grupları ve aktarımın yapılacağı ülke veya ülkeler başta olmak üzere bağlayıcı şirket kuralları kapsamında gerçekleştirilecek aktarımlara ilişkin hususlar.
Ortak ekonomik faaliyette bulunan teşebbüs grubunun hem iç ilişkisinde hem de diğer hukuki ilişkilerinde bağlayıcı şirket kurallarının hukuken bağlayıcı olduğuna yönelik taahhüt.
ç) Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum, kişisel verilerin işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, veri güvenliğinin sağlanmasına yönelik teknik ve idari tedbirler, özel nitelikli kişisel verilerin işlenmesinde alınacak yeterli önlemler ve kişisel verilerin sonraki aktarımına yönelik kısıtlamalar gibi veri koruma önlemleri.
Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen hakları ile Kanunun 14 üncü maddesinde öngörülen usul ve esaslara uygun olarak Kurula şikâyette bulunma hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ilişkin usul ve esaslar.
Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik bir veri sorumlusu ve/veya veri işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.
Kanunun 10 uncu maddesi uyarınca aydınlatma yükümlülüğü kapsamında ilgili kişilere bilgi verilen konulara ilave olarak (ç), (d) ve (e) bentlerinde belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ilişkin hususlarda ilgili kişilere ne şekilde bilgi verileceğine ilişkin açıklamalar.
Çalışanlara kişisel verilerin korunması konusunda verilecek eğitime ilişkin açıklamalar.
ğ) İlgili kişi başvurularının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs grubunun bağlayıcı şirket kurallarına uyumunun takibinden sorumlu olan kişilerin veya birimlerin görevleri.
İlgili kişilerin haklarının korunmasına yönelik düzeltici faaliyetlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemleri başta olmak üzere bağlayıcı şirket kurallarına uyumun teşebbüs grubu içinde denetlenmesi ve doğrulanmasına yönelik mekanizmaları ve bunların sonuçlarının (ğ) bendinde belirtilen kişi veya birime ve ilgili teşebbüs grubu bünyesindeki hâkim şirketin yönetim kuruluna ve talebi üzerine Kurula sunulacağına dair taahhüt.
ı) Bağlayıcı şirket kurallarına ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin Kurula bildirilmesine ilişkin mekanizmalar.
(h) bendinde belirtilen denetim ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs grubunun üyeleri tarafından bağlayıcı şirket kurallarına uyumun sağlanması amacıyla Kurum ile iş birliği yükümlülüğü.
Bağlayıcı şirket kuralları kapsamında aktarılacak kişisel verilere ilişkin olarak, teşebbüs grubu üyelerinin aktarımın yapılacağı ülkede veya ülkelerde bağlayıcı şirket kurallarının sağladığı güvencelere aykırı herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması hâlinde durumu Kurula bildirmeye yönelik mekanizmalar.
Kişisel verilere sürekli veya düzenli olarak erişimi bulunan personele yönelik uygun veri koruma eğitimlerinin verileceğine dair taahhüt.
(2) Kurul, birinci fıkrada belirtilenlere ilave hususlar belirlemeye yetkilidir. Bağlayıcı şirket kuralları başvurusunda kullanılacak belgeler Kurul tarafından belirlenir.
Standart sözleşmeyle uygun güvencenin sağlanması
MADDE 14- (1) Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşme vasıtasıyla uygun güvence sağlanabilir.
Standart sözleşme, Kurul tarafından belirlenerek ilan edilir.
Standart sözleşmenin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır.
Standart sözleşme, kişisel veri aktarımının tarafları arasında akdedilir. Standart sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur.
Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından belirlenen diğer yöntemlerle Kuruma bildirilir. Aktarım tarafları standart sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme veri aktaran tarafından Kuruma bildirilir.
Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi eklenir.
Kurulca ilan edilen standart sözleşmede değişiklik yapılması veya standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun 15 inci maddesi uyarınca Kurul tarafından inceleme yapılır.
Taahhütnameyle uygun güvencenin sağlanması
MADDE 15- (1) Aktarım tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla uygun güvence sağlanabilir.
Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir:
Kişisel veri aktarımının amacı, kapsamı, niteliği, çerçevesi ve hukuki sebebi.
Kanun ve ilgili ikincil mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt.
ç) İlgili kişilerin taahhütname ve taahhütname kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar.
Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar.
Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt.
Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ) Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri.
Veri alıcısının aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve görüşlerine uyacağına yönelik taahhüt.
ı) Veri alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek muhtemel bir mevzuat değişikliğini veri aktarana en kısa sürede bildireceğine dair taahhüt ile bu durumda veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme.
Veri alıcısının taahhütnameye uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme.
Veri alıcısının taahhütnamenin feshedilmesi veya yürürlük süresinin sona ermesi hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt.
Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık hâlinde Türk mahkemelerinin görevli ve yetkili olduğuna yönelik düzenleme ile veri alıcısının Türk mahkemelerinin yargı yetkisini tanımayı kabul ettiğine yönelik taahhüt.
Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Taahhütnamenin yabancı dilde de akdedilmesi hâlinde Türkçe metin esas alınır. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
BEŞİNCİ BÖLÜM
İstisnai Aktarımlar
İstisnai aktarım hâlleri
MADDE 16- (1) Kişisel veriler, yeterlilik kararının bulunmaması ve 10 uncu maddede öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece ikinci fıkrada belirtilen istisnai aktarım hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir.
İstisnai aktarım hâlleri şunlardır:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
İkinci fıkranın (f) bendi uyarınca yapılacak aktarımlarda aşağıdaki usul ve esaslara uyulur:
Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemez.
Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.
İkinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
ALTINCI BÖLÜM
Çeşitli ve Son Hükümler
Tereddütlerin giderilmesi
MADDE 17- (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri gidermeye ve bu Yönetmelikte yer almayan konularda, ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.
GEÇİCİ MADDE 1- (1) Kanunun 9 uncu maddesinin 2/3/2024 tarihli ve 7499 sayılı Kanunla değiştirilmeden önceki birinci fıkrası, Kanunun 9 uncu maddesinin 7499 sayılı Kanunla yürürlüğe giren değişik hâliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.
Yürürlük
MADDE 18- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 19- (1) Bu Yönetmelik hükümlerini Başkan yürütür.
