1 Haziran 2024’te yürürlüğe giren KVKK’daki değişiklikler, verilerin yurtdışına aktarılmasının yasal dayanağının elden geçirilmesini öngörmektedir. Kişisel verilerin yurtdışına aktarılması her zaman dikkatle ele alınmalıdır.
10 Temmuz 2024 tarihinde Türkiye Veri Koruma Kurumu (KVKK) tarafından çıkarılan ve aynı gün yürürlüğe giren Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, özellikle uygun güvencelere dayalı olanlar olmak üzere, sınır ötesi veri aktarımları açısından KVKK’nın 9. maddesinin uygulanmasına ilişkin usul ve esasları açıklığa kavuşturmayı amaçlamaktadır. Bu yönetmelik, kişisel verilerin yurtdışına aktarılması sürecinde önemli rol oynar.
Kişisel verilerin yurtdışına aktarılması
KVKK’daki değişikliklere göre, sınır ötesi veri aktarımları artık aşağıdaki durumlardan birinde mümkün olacaktır: (i) KVKK’nın yeterliliğe karar vermesi; (ii) uygun güvencelerden birinin mevcut olması; veya (iii) diğer istisnai durumlarda. Yönetmelik uyarınca, kişisel veriler yalnızca KVKK ve Yönetmelikte belirtilen usul ve esaslara uygun olarak veri sorumlusu ve veri işleyicisi tarafından Türkiye dışına aktarılabilir. Kişisel verilerin yurtdışına aktarılması için bu unsurlar gereklidir.
Yeterlilik kararı. KVKK uluslararası kuruluş veya sektörle ilgili alınan yeterlilik kararının varlığında kişisel verilerin yurtdışına aktarılabileceğini öngörmektedir. Yönetmelik, KVKK’da belirtilen bir yeterlilik kararının benimsenmesi için gerekli hususları yinelemektedir. Kişisel verilerin yurtdışına aktarılması böylece mümkün hale gelir.
KVKK olarak Yönetmelik, KVKK’nın gerektiğinde ilgili kurum ve kuruluşların görüşünü alabileceğini belirtiyor. Ayrıca KVKK tarafından verilen yeterlilik kararlarının Resmi Gazete’de ve KVKK’nın internet sitesinde yayınlanacağını öngörmektedir. Yönetmelik ayrıca, KVKK’nın bir yeterlilik kararının alınması için gereken ek kriterleri belirlemeye yetkili olduğunu öngörmektedir. DPA bugüne kadar herhangi bir yeterlilik kararı yayınlamamış veya herhangi bir ek kriter belirlememiştir.
Yeterlilik kararı en az dört yılda bir yeniden değerlendirilecektir. Yönetmelik, yeniden değerlendirme dönemlerinin yeterlilik kararında açıkça tanımlanacağını belirtmektedir. Ayrıca, DPA, yeniden değerlendirme sonucunda veya yeniden değerlendirme döneminden bağımsız olarak, ilgili ülkenin, o ülke içindeki bir veya daha fazla sektörün veya bir uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit ederse, kararı değiştirme, askıya alma veya iptal etme hakkına sahiptir. Bu tür kararlar Resmi Gazete’de ve DPA’nın web sitesinde de yayınlanacaktır. Kişisel verilerin yurtdışına aktarılması süreçleri bu şekilde denetlenir.
Uygun güvenceler. Rızaya ilişkin istisnalardan birinin geçerli olduğu durumlarda, DPL, listelenen uygun güvencelerden birinin uygulanması halinde, veri sahibinin haklarını kullanma ve aktarımın yapılacağı ülkede etkili yasal yollara başvurma fırsatına sahip olması koşuluyla kişisel verilerin Türkiye dışına aktarılabileceğini öngörmektedir.