Kişisel Verileri Koruma Kurumu (KVKK) tarafından, verilerin yurt dışına aktarımını düzenleyen yeni yönetmelik Resmi Gazete’de yayımladı. Bu yönetmelik, verilerin yurt dışına aktarılması için gerekli olan şartları ayrıntılı bir şekilde belirliyor. İşte detaylar…
KVKK: Kişisel verilerin yurt dışına aktarılmasıyla ilgili yeni kuralları içeren yönetmelik
Yeni yönetmelik, kişisel verilerin yurt dışına aktarımında üç aşamalı bir süreç öngörüyor. İlk aşama, “yeterlilik kararı”nın bulunup bulunmadığını kontrol etmek. Bir ülke, sektörel düzeyde ya da uluslararası bir kuruluşun yeterli koruma sağladığına karar verildiğinde, veri aktarımı yapılabilecek. Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilecek.
İkinci aşama, yeterlilik kararı bulunmayan durumlar için geçerli. Bu durumda, uygun güvencelerin sağlanıp sağlanmadığı kontrol edilecek. Uygun güvenceler sağlanmadığında, üçüncü aşama olan istisnai durumlar devreye girecek. Yönetmelikte yer alan istisnai aktarım hâllerinden birinin mevcut olduğu tespit edildiğinde, kişisel verilerin yurt dışına aktarımı mümkün olacak.
Yönetmelik, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin yurt dışına aktarılmasını düzenleyen 9. maddesinin uygulanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlandı. Yönetmelik hükümleri, veri sorumluları ve veri işleyenler hakkında uygulanacak.
Yönetmeliğe göre, kişisel veriler ancak kanunda ve bu yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilecek. Ayrıca, kişisel verilerin veri işleyen tarafından aktarılması durumunda veri sorumlusunun talimatlarına uyulması zorunlu olacak. Yönetmelik, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar için de geçerli.
KVKK tarafından Resmi Gazete’de yayımlanan yönetmelikteki tüm şartlara sonraki sayfalardan ulaşabilirsiniz.