DÖRDÜNCÜ BÖLÜM
Uygun Güvencelere Dayalı Aktarımlar
Uygun güvence sağlama yolları
MADDE 10- (1) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması
MADDE 11- (1) Uluslararası sözleşme niteliğinde olmayan anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir.
(2) Anlaşmanın müzakere sürecinde Kurulun görüşüne başvurulur.
(3) Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler özellikle aşağıdaki hususları içerir:
a) Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
c) Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik taahhüt.
ç) İlgili kişilerin anlaşma ve anlaşma kapsamında yapılacak kişisel veri aktarımı hakkında aydınlatılmasına ilişkin usul ve esaslar.
d) Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar.
e) Uygun veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınacağına yönelik taahhüt.
f) Özel nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen yeterli önlemlerin alınacağına yönelik taahhüt.
g) Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ) Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin ihlali hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri.
h) Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin uygulanmasına ilişkin denetim mekanizması.
ı) Veri alıcısının, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlere uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme.
i) Veri alıcısının anlaşmanın feshedilmesi veya yürürlük süresinin sona ermesi hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen yok edeceğine yönelik taahhüt.
(4) Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Kişisel veri aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
Bağlayıcı şirket kurallarıyla uygun güvencenin sağlanması
