Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Üzerine Değerlendirme

Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında yurt dışına veri aktarımına ilişkin uygulama alanını sistematik hale getirmek ve uygulamacılara yol göstermek amacıyla hazırlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (“Rehber”), 2 Ocak 2025 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlandı. Rehber, 2024 yılı itibarıyla yürürlüğe giren kanun değişiklikleri ve Yönetmelik çerçevesinde oluşan belirsizlikleri gidermek adına kapsamlı bir doküman olarak dikkat çekmektedir. Bu yazıda, Rehber’in öne çıkan detayları değerlendirilecektir.

1. Doğrudan Veri Toplama ve Aktarım Kavramının Ayrımı

Rehber, kişisel verilerin doğrudan veri sahibi tarafından yurtdışında bulunan bir veri sorumlusuna iletilmesi durumunun bir veri aktarımı olarak değerlendirilmeyeceğini açıkça ortaya koymuştur. Ancak, doğrudan toplanan bu verilerin başka bir yurtdışı veri sorumlusuna veya işleyene aktarılması halinde, bu işlemin Kanun kapsamında bir yurt dışı veri aktarımı sayılacağı belirtilmiştir.

2. Grup Şirketleri ve Standart Sözleşmeler

Rehber, çok uluslu şirketlerin veri işleme süreçleri ile ilgili sınırlı bir açıklama sunmaktadır. Türkiye’deki iştiraklerin, çalışan verilerini ana şirketin veri tabanına aktarmasıyla ilgili bir örnek verilmiş ve bu bağlamda:

• Türkiye’deki iştiraklerin veri sorumlusu,
• Ana şirketlerin ise veri işleyen olarak değerlendirileceği belirtilmiştir.

Ancak, ana şirketin bu verileri farklı amaçlarla işlemesi durumunda, veri sorumlusu olarak kabul edilebileceği de vurgulanmıştır. Bu durum, grup şirketleri arasındaki aktarım süreçlerinin karmaşıklığını artırmaktadır. Çok uluslu şirketlerin uygulamalarında kullanılan standart sözleşmelerin hem veri sorumlusundan veri işleyene hem de veri sorumlusundan veri sorumlusuna aktarım için hazırlanması gerektiği ifade edilmektedir. Rehber, bu sözleşmelerin hazırlanması sırasında hangi prosedürlerin izlenmesi gerektiği konusunda detaylı bilgi sunmuş ancak çok uluslu şirketlerin global sistemleri bağlamında pratik çözümler önerme konusunda beklentiyi tam olarak karşılayamamıştır.

3. Uygun Güvencelere Dayalı Aktarımlar ve Standart Sözleşmelerin Hazırlanması

Rehber, standart sözleşmelerin hazırlanması ve uygulanmasına ilişkin önemli detaylar sunmuştur. Özellikle:

• Sözleşme metinlerine ekleme veya çıkarma yapılmaması gerektiği,
• Veri türlerinin ve ilgili kişi gruplarının detaylı şekilde belirtilmesi gerektiği,
• Sözleşme eklerinin VERBİS kayıtlarıyla uyumlu olmasının zorunlu olduğu vurgulanmıştır.

Bununla birlikte, standart sözleşmelerin yürürlük tarihiyle ilgili uygulamada yaşanan sıkıntılar, Rehber’in bu noktadaki katı tutumu nedeniyle tamamen giderilememiştir. Özellikle, süresi içinde standart sözleşme imzalamayan veri sorumlularının karşılaşacağı yaptırımların boyutları, uygulayıcılar açısından risk teşkil etmeye devam etmektedir.

4. Arızi Aktarımlar

Rehber’de, arızi aktarımların son derece dar bir çerçevede ele alınması gerektiği vurgulanmıştır. Yeterlilik kararı veya uygun güvenceler bulunmadığı durumlarda başvurulabilecek bu yöntem, süreklilik arz etmeyen ve olağan iş akışının dışında gerçekleşen veri transferleri için uygulanabilir. Arızi aktarımın düzenli olmaması ve öngörülemeyen koşullar altında gerçekleşmesi gibi kriterlerin, aktarımın istisnai olup olmadığını belirlemede kümülatif şekilde değerlendirilmesi gerektiği belirtilmiştir. Ancak, uygulamada hangi senaryoların arızi aktarım kapsamında değerlendirileceği konusunda hâlâ netlik bulunmamaktadır.

5. Rehber ile GDPR Rehberi Arasındaki Benzerlik

Kişisel Verilerin Yurt Dışına Aktarılması Rehberi, genel olarak Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) rehber dokümanlarında yer alan prensiplerle uyumlu bir çerçeve sunmaktadır. Özellikle veri aktarım süreçlerinde yeterlilik kararı, uygun güvencelere dayalı aktarımlar gibi temel yaklaşımlar, her iki düzenlemede de benzer bir sistematikle ele alınmıştır. Rehber, GDPR rehberlerinde olduğu gibi veri aktarımına ilişkin riskleri değerlendirme, standart sözleşmelerin detaylı kurallarını belirleme ve bağlayıcı şirket kurallarının uygulanabilirliğini açıklama noktasında paralel bir yaklaşım sergilemektedir. Bununla birlikte, Rehber’in Türkiye’nin hukuki ve operasyonel ihtiyaçlarına özgü bazı farklılıklar içermesi, uyum süreçlerinde yerel bağlamın gözetildiğini göstermektedir.

6. Sonuç ve Değerlendirme

Kişisel Verilerin Yurt Dışına Aktarılması Rehberi, veri aktarımı süreçlerinde yol gösterici bir doküman olarak önem taşımaktadır. Özellikle, doğrudan veri elde etme, standart sözleşmelerin uygulanması ve arızi aktarımlar gibi konulara açıklık getirilmiştir. Bununla birlikte, grup şirketleri arasında veri transferi ve çok uluslu şirketlerin global veri işleme sistemlerine yönelik yönlendirmeler, uygulayıcılar için yeni sorular doğurmuştur. Rehber’in gelecekte güncellenmesi ve özellikle uygulama esaslarının örneklerle daha somut hale getirilmesi büyük önem taşımaktadır. Bu bağlamda, veri sorumlularının, Rehber’de belirtilen yükümlülükleri yerine getirerek süreçlerini şeffaf ve uyumlu hale getirmesi kritik bir gerekliliktir.