İKİNCİ BÖLÜM
Genel Hükümler
Kişisel verilerin yurt dışına aktarılması
MADDE 5- (1) Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur.
(2) Birinci fıkra hükmü, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanır.
(3) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kişisel verilerin yurt dışına aktarılma usulleri
MADDE 6- (1) Kişisel veriler, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.
b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması.
(2) Yeterlilik kararının bulunmaması ve 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda kişisel veriler, arızi olmak kaydıyla sadece 16 ncı maddede belirtilen istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
(3) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması
MADDE 7- (1) Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.
(2) Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, birinci fıkrada belirtilen teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür.
(3) Veri işleyenin, 14 üncü maddenin beşinci fıkrası uyarınca standart sözleşmeyi bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.