Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı Hakkında Bilgi Notu

Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) resmi internet sitesinde “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı Hakkında Kamuoyu Duyurusu” 09.05.2024 tarihinde paylaşılmıştır.

Bu kapsamda; Kurum tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı (“Yönetmelik Taslağı”), Yönetmelik Taslağı Gerekçesi ve Kamuoyu Görüş Formu yayımlanmıştır.

Yönetmelik Taslağı’na yönelik görüşlerinizi Kamuoyu Görüş Formu aracılığıyla 20.05.2024 tarihine kadar [email protected] e-posta adresine gönderebilirsiniz.

Yönetmelik Taslağı’nda dikkat çeken hususlar aşağıdaki gibidir:

- “Veri aktaran”, “Veri alıcısı” ve “Kanun” tanımları yapılmıştır.

- Standart Sözleşme yayımlanmamıştır.

- Madde 10 kapsamında; uygun güvenceler için yurt dışına veri aktarım mekanizmaları sayılmıştır.

- Madde 11 kapsamında; yurt dışına kişisel veri aktarım mekanizmalarından olan uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanmasına ilişkin detaylar açıklanmıştır.

- Madde 12 ve 13 kapsamında; Bağlayıcı Şirket Kuralları (“BŞK”) için “ortak ekonomik faaliyette bulunan teşebbüs grubu” ifadesi tercih edilmiştir. Ayrıca; BŞK içerisinde sunulacak yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesi talep edilmiştir. Hem yabancı dil hem Türkçe olarak hazırlanacak BŞK’de ise Türkçe olanın esas alınacağı belirtilmiştir.

- Madde 14 kapsamında; standart sözleşmenin fiziki, KEP adresi veya Kurul tarafından belirlenecek yöntemlerle Kurum’a gönderilmesi öngörülmüştür. Ayrıca; standart sözleşmeyi Kurum’a bildirecek tarafın sözleşme serbestisi çerçevesinde belirlenebileceği ancak herhangi bir belirlenme hali yoksa veri aktaran tarafından gönderilmesi gerektiği belirtilmiştir.

- Madde 17 kapsamında; kişisel verilerin veri işleyen tarafından yurt dışına aktarılması halinde uyulması gereken yükümlülükler belirtilmiştir. Bunlar;

·   Veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde; veri sorumlusu adına ve talimatlarına uygun olarak hareket etmek,

·   Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

·   Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

·   Kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine uygun güvenlik düzeyini temin amacıyla gerekli her türlü teknik ve idari tedbirleri almak.

- Aktarım veri işleyen tarafından gerçekleşse dahi veri sorumlusunun, Yönetmelik usul ve esaslarına uymak ile uygun güvencelerin sağlanması hususundaki sorumluluğunun devam edeceği belirtilmiştir.

- Madde 16 kapsamında; arızi haller için çeşitli sınırlamalar öngörülmüştür.

- “Tereddütlerin Giderilmesi” başlıklı madde 17 kapsamında; Yönetmelik’te yer almayan veya tereddüt oluşacak konular hakkında Kurul’un karar vermeye yetkili olduğu belirtilmiştir.

- Yönetmeliğin, yayım tarihi itibarıyla yürürlüğe gireceği öngörülmüştür.

Kurum Duyurusu’na buradan, Yönetmelik Taslağı’na buradan, Gerekçesi’ne buradan, Görüş Formu’na buradan ulaşabilirsiniz.