Kişisel Verileri Koruma Kurumu (KVKK), bilgilerin yurt dışına aktarılmasını düzenleyen yeni yönetmeliği Resmî Gazete’de yayımlandı. Yönetmelik, dataların transferi için gerekli kaideleri detaylandırıyor.

Kişisel Verileri Koruma Kurumu (KVKK), Kişisel Verilerin Korunması Kanunu kapsamında verilerin yurt dışına aktarılmasını düzenleyen yeni yönetmeliği yayımladı. Yönetmelik, Resmî Gazete’nin bugünkü sayısında yer buldu ve yürürlüğe girdi.

Düzenleme, ferdî bilgilerin yurt dışına transferinde hangi koşulların gerekeceğini ayrıntılandırıyor. Gelin bu kurallara birlikte göz atalım.

Veriler, 3 farklı kademe sonucunda aktarılabilecek

Yeni yönetmeliğe nazaran ferdî dataların yurt dışına transferinde sırayla 3 evreye bakılacak. Birincisi, “yeterlilik kararı”nın bulunup bulunmadığı olacak. Şahsî dataların yurt dışına transferi ile ilgili olarak bir ülkenin, ülke içerisindeki bir yahut daha fazla dalın ya da bir memleketler arası kuruluşun kâfi seviyede muhafaza sağladığına karar verildiğinde data transferi gerçekleştirilebilecek. Yeterlilik kararı, en geç 4 yılda bir tekrar pahalandırılacak.

İkinci etap ise yeterlilik kararı bulunmayan durumlarda devreye giren uygun garantilerden birinin sağlanıp sağlanmadığına bakılması. Uygun teminatlar sağlanmadığında ise üçüncü evre olan istisnai durumlara bakılacak. Yönetmelikte yer alan istisnai transfer hâllerinden birinin bulunduğu tespit edildiğinde şahsî bilgilerin yurt dışına transferi gerçekleşebilecek. Yönetmeliği içeriğimizin sonuna ekledik. Tüm koşullara o kısımdan ulaşabilirsiniz.

Yönetmeliğin tamamı şu biçimde:

BİRİNCİ BÖLÜM

Başlangıç Hükümleri

Amaç

MADDE 1- (1) Bu Yönetmeliğin hedefi, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun şahsî dataların yurt dışına aktarılmasını düzenleyen 9 uncu unsurunun uygulanmasına ait tarz ve temelleri belirlemektir.

Kapsam

MADDE 2- (1) Bu Yönetmelik kararları, 6698 sayılı Kanunun 9 uncu unsuru uyarınca gerçekleştirilecek yurt dışına şahsî data transferine taraf bilgi sorumluları ve bilgi işleyenler hakkında uygulanır.

Dayanak

MADDE 3- (1) Bu Yönetmelik, 6698 sayılı Kanunun 9 uncu hususunun on birinci fıkrası ile 22 nci unsurunun birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4- (1) Bu Yönetmeliğin uygulanmasında;

a) Lider: Kişisel Verileri Koruma Kurumu Liderini,

b) İlgili kişi: Ferdî verisi işlenen gerçek kişiyi,

c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Ferdî bilgi: Kimliği makul yahut belirlenebilir gerçek şahsa ait her türlü bilgiyi,

d) Şahsî dataların işlenmesi: Ferdî bilgilerin büsbütün yahut kısmen otomatik olan ya da rastgele bir data kayıt sisteminin modülü olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, koruma edilmesi, değiştirilmesi, yine düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi üzere datalar üzerinde gerçekleştirilen her türlü süreci,

e) Ferdî bilgilerin yurt dışına aktarılması: Şahsî dataların 6698 sayılı Kanun kapsamındaki bir data sorumlusu yahut data işleyen tarafından yurt dışındaki bir bilgi sorumlusu yahut bilgi işleyene iletilmesi ya da öbür bir suretle erişilebilir hâle getirilmesini,

f) Şura: Şahsî Bilgileri Müdafaa Şurasını,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Bilgi aktaran: Ferdî bilgileri yurt dışına aktaran bilgi sorumlusu yahut bilgi işleyeni,

h) Bilgi alıcısı: Data aktarandan şahsî bilgileri alan yurt dışındaki data sorumlusu yahut bilgi işleyeni,

ı) Data işleyen: Bilgi sorumlusunun verdiği yetkiye dayanarak onun ismine ferdî dataları işleyen gerçek yahut hükmî kişiyi,

i) Data sorumlusu: Ferdî dataların sürece hedeflerini ve vasıtalarını belirleyen, data kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek yahut hükmî kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar bakımından Kanun ve ilgili mevzuatında yer alan tanımlar temeldir.

İKİNCİ BÖLÜM

Genel Hükümler

Kişisel bilgilerin yurt dışına aktarılması

MADDE 5- (1) Şahsî datalar, data sorumlusu ve data işleyen tarafından lakin Kanunda ve bu Yönetmelikte öngörülen adap ve temellere uygun olarak yurt dışına aktarılabilir. Şahsî dataların bilgi işleyen tarafından aktarılması hâlinde ayrıyeten data sorumlusunun talimatlarına da uyulması mecburidir.

(2) Birinci fıkra kararı, yurt dışına aktarılan ferdî dataların sonraki transferleri ve memleketler arası kuruluşlara transferler bakımından da uygulanır.

(3) Şahsî dataların yurt dışına aktarılmasına ait başka kanunlarda yer alan kararlar gizlidir.

Kişisel dataların yurt dışına aktarılma usulleri

MADDE 6- (1) Şahsî datalar, Kanunun 5 inci ve 6 ncı unsurlarında belirtilen koşullardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda data sorumluları ve data işleyenler tarafından yurt dışına aktarılabilir:

a) Transferin yapılacağı ülke, ülke içerisindeki bölümler yahut milletlerarası kuruluşlar hakkında yeterlilik kararı bulunması.

b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin transferin yapılacağı ülkede de haklarını kullanma ve tesirli kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu hususta belirtilen uygun teminatlardan birinin taraflarca sağlanması.

(2) Yeterlilik kararının bulunmaması ve 10 uncu hususta belirtilen uygun teminatlardan birinin taraflarca sağlanamaması durumunda şahsî datalar, arızi olmak kaydıyla yalnızca 16 ncı hususta belirtilen istisnai hâllerden birinin varlığı hâlinde bilgi sorumluları ve data işleyenler tarafından yurt dışına aktarılabilir.

(3) Şahsî datalar, milletlerarası mukavele kararları gizli kalmak üzere, Türkiye’nin yahut ilgili kişinin menfaatinin önemli bir biçimde ziyan göreceği durumlarda, fakat ilgili kamu kurum yahut kuruluşunun görüşü alınarak Şuranın müsaadesiyle yurt dışına aktarılabilir.

Kişisel bilgilerin veri işleyen tarafından yurt dışına aktarılması

MADDE 7- (1) Ferdî dataların bilgi işleyen tarafından yurt dışına aktarılması hâlinde data işleyen; bilgi sorumlusu tarafından belirlenmiş emel ve kapsam çerçevesinde, data sorumlusu ismine ve onun verdiği talimatlara uygun olarak hareket eder. Data işleyen; şahsî dataların hukuka muhalif olarak işlenmesini önlemek, ferdî bilgilere hukuka muhalif olarak erişilmesini önlemek ve ferdî dataların korumasını sağlamak gayesiyle ferdî bilginin niteliğine nazaran uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri alır.

(2) Şahsî bilgilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen yöntem ve asıllara uyulması ile garantilerin sağlanması konusunda data sorumlusunun sorumluluğunu ortadan kaldırmaz. Bilgi sorumlusu, birinci fıkrada belirtilen teknik ve idari önlemlerin data işleyen tarafından alınmasını sağlamakla yükümlüdür.

(3) Data işleyenin, 14 üncü unsurun beşinci fıkrası uyarınca standart mukaveleyi bildirmekle yükümlü olması hâlinde data işleyen bilgi sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.

ÜÇÜNCÜ BÖLÜM

Yeterlilik Kararına Dayalı Aktarımlar

Yeterlilik kararı

MADDE 8- (1) Şura, ferdî dataların yurt dışına transferi ile ilgili olarak bir ülkenin, ülke içerisindeki bir yahut daha fazla dalın ya da bir milletlerarası kuruluşun kâfi seviyede muhafaza sağladığına karar verebilir. Yeterlilik kararı verilirken öncelikle aşağıdaki konular dikkate alınır:

a) Ferdî dataların aktarılacağı ülke, ülke içerisindeki dallar yahut milletlerarası kuruluşlar ile Türkiye ortasında şahsî data transferine ait karşılıklılık durumu.

b) Ferdî bilgilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile ferdî bilgilerin aktarılacağı milletlerarası kuruluşun tâbi olduğu kurallar.

c) Şahsî bilgilerin aktarılacağı ülkede yahut memleketler arası kuruluşun tâbi olduğu bağımsız ve faal bir data muhafaza kurumunun varlığı ile idari ve isimli müracaat yollarının bulunması.

ç) Şahsî bilgilerin aktarılacağı ülkenin yahut memleketler arası kuruluşun, ferdî bilgilerin korunmasıyla ilgili milletlerarası kontratlara taraf yahut memleketler arası kuruluşlara üye olma durumu.

d) Şahsî bilgilerin aktarılacağı ülkenin yahut milletlerarası kuruluşun, Türkiye’nin üye olduğu global yahut bölgesel kuruluşlara üye olma durumu.

e) Türkiye’nin taraf olduğu milletlerarası kontratlar.

(2) Şura, birinci fıkrada belirtilenler dışında ek konular belirlemeye yetkilidir.

(3) Heyet, yeterlilik kararıyla ilgili yapacağı değerlendirmede gereksinim duyması hâlinde ilgili kurum ve kuruluşların görüşünü alır.

(4) Heyet tarafından verilen yeterlilik kararları Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.

Yeterlilik kararının gözden geçirilmesi

MADDE 9- (1) Yeterlilik kararı, en geç dört yılda bir tekrar kıymetlendirilir. İlgili yeterlilik kararında, yine kıymetlendirme devirleri açıkça belirlenir. Konsey, yine kıymetlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir yahut daha fazla dalın ya da milletlerarası kuruluşun kâfi seviyede muhafaza sağlamadığını tespit etmesi hâlinde kararını ileriye tesirli olmak üzere değiştirebilir, askıya alabilir yahut kaldırabilir.

(2) Konsey, birinci fıkrada belirtilen yine kıymetlendirme periyodu ile bağlı olmaksızın gerekli gördüğü takdirde, yeterlilik kararını gözden geçirerek ileriye tesirli olmak üzere değiştirebilir, askıya alabilir yahut kaldırabilir.

(3) Şura, birinci yahut ikinci fıkra uyarınca yeterlilik kararının değiştirilmesine, askıya alınmasına yahut kaldırılmasına neden olan durumun düzeltilmesi hedefiyle ilgili ülke yahut memleketler arası kuruluşun yetkili makamlarıyla görüşebilir.

(4) Yeterlilik kararının değiştirilmesine, askıya alınmasına yahut kaldırılmasına ait olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.

DÖRDÜNCÜ BÖLÜM

Uygun Garantilere Dayalı Aktarımlar

Uygun garanti sağlama yolları

MADDE 10- (1) Ferdî bilgiler, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı unsurlarında belirtilen kurallardan birinin varlığı, ilgili kişinin transferin yapılacağı ülkede de haklarını kullanma ve tesirli kanun yollarına başvurma imkânının bulunması kaydıyla, fakat aşağıda belirtilen uygun teminatlardan birinin transfer taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları yahut memleketler arası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları ortasında yapılan memleketler arası kontrat niteliğinde olmayan muahedenin varlığı ve Heyet tarafından transfere müsaade verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs kümesi bünyesindeki şirketlerin uymakla yükümlü oldukları, şahsî dataların korunmasına ait kararlar ihtiva eden ve Heyet tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Şura tarafından ilan edilen, data kategorileri, data transferinin maksatları, alıcı ve alıcı kümeleri, data alıcısı tarafından alınacak teknik ve idari önlemler, özel nitelikli ferdî datalar için alınan ek tedbirler üzere konuları ihtiva eden standart mukavelenin varlığı.

ç) Kâfi müdafaayı sağlayacak kararların yer aldığı yazılı bir taahhütnamenin varlığı ve Konsey tarafından transfere müsaade verilmesi.

Uluslararası kontrat niteliğinde olmayan mutabakatla uygun garantinin sağlanması

MADDE 11- (1) Memleketler arası kontrat niteliğinde olmayan muahedede yer verilecek şahsî dataların korunmasına yönelik kararlar vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları yahut milletlerarası kuruluşlar ortasında yapılacak ferdî bilgi transferleri bakımından uygun teminat sağlanabilir. Muahede, şahsî data transferinin tarafları ortasında akdedilir.

(2) Muahedenin müzakere sürecinde Şuranın görüşüne başvurulur.

(3) Mutabakatta yer verilecek ferdî bilgilerin korunmasına yönelik kararlar bilhassa aşağıdaki konuları içerir:

a) Ferdî bilgi transferinin gayesi, kapsamı, niteliği ve türel sebebi.

b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ait tanımlar.

c) Kanunun 4 üncü hususunda belirtilen genel prensiplere ahenk sağlanacağına yönelik taahhüt.

ç) İlgili bireylerin mutabakat ve mutabakat kapsamında yapılacak ferdî data transferi hakkında aydınlatılmasına ait yordam ve asıllar.

d) Şahsî bilgileri aktarılan ilgili bireylerin Kanunun 11 inci unsurunda belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı hedefiyle yapılacak müracaata ait metot ve asıllar.

e) Uygun bilgi güvenliği seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemlerin alınacağına yönelik taahhüt.

f) Özel nitelikli şahsî dataların aktarılması hâlinde Şura tarafından belirlenen kâfi tedbirlerin alınacağına yönelik taahhüt.

g) Ferdî dataların sonraki transferine yönelik kısıtlamalar.

ğ) Mutabakatta yer verilecek ferdî bilgilerin korunmasına yönelik kararların ihlali hâlinde ilgili kişinin başvurabileceği hak arama sistemleri.

h) Muahedede yer verilecek ferdî bilgilerin korunmasına yönelik kararların uygulanmasına ait kontrol sistemi.

ı) Data alıcısının, mutabakatta yer verilecek ferdî bilgilerin korunmasına yönelik kararlara uygunluk sağlayamaması hâlinde data aktaranın data transferini askıya alma ve muahedeyi feshetme hakkına sahip olacağına yönelik düzenleme.

i) Data alıcısının mutabakatın feshedilmesi yahut yürürlük mühletinin sona ermesi hâlinde, data aktaranın tercihine bağlı olarak, transfere husus şahsî bilgileri yedekleri ile birlikte data aktarana geri göndereceğine ya da şahsî dataları büsbütün yok edeceğine yönelik taahhüt.

(4) Muahedeye dayanılarak şahsî dataların yurt dışına aktarılabilmesi için bilgi aktaran tarafından Heyete müsaade müracaatında bulunulur. Yapılacak müracaat kapsamında mutabakat metninin en son hâli ve Şura tarafından yapılacak kıymetlendirme için gerekli başka bilgi ve dokümanlar Konseye sunulur. Şahsî data transferine, Heyet tarafından müsaade verilmesinden sonra başlanır.

Bağlayıcı şirket kurallarıyla uygun garantinin sağlanması

MADDE 12- (1) Ortak ekonomik faaliyette bulunan teşebbüs kümesi bünyesindeki şirketlerin uymakla yükümlü olduğu şahsî bilgilerin korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun garanti sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak şahsî bilgilerin yurt dışına aktarılabilmesi için Heyete onay müracaatında bulunulur.

(2) Yapılacak müracaat kapsamında bağlayıcı şirket kuralları metni ve Heyet tarafından yapılacak kıymetlendirme için gerekli öbür bilgi ve evraklar Konseye sunulur. Bağlayıcı şirket kurallarına ait yapılacak müracaatta sunulan yabancı lisandaki her evrakın noter onaylı çevirisi müracaata eklenir. Bağlayıcı şirket kuralları metninin yabancı lisanda de düzenlenmesi hâlinde Türkçe metin temel alınır.

(3) Şura tarafından bağlayıcı şirket kuralları onaylanırken bilhassa aşağıdaki konular dikkate alınır:

a) Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs kümesi bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.

b) Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.

c) Bağlayıcı şirket kurallarının taban olarak 13 üncü hususta belirtilen konuları içermesi.

(4) Ferdî bilgi transferine, bağlayıcı şirket kurallarının Heyet tarafından onaylanmasından sonra başlanır.

Bağlayıcı şirket kurallarında bulunması gereken hususlar

MADDE 13- (1) Bağlayıcı şirket kuralları minimum olarak aşağıdaki konuları içerir:

a) Ortak ekonomik faaliyette bulunan teşebbüs kümesinin her üyesinin tertip yapısı ve irtibat bilgileri.

b) Ferdî data kategorileri, sürece faaliyeti ve gayeleri, ilgili kişi kümesi yahut kümeleri ve transferin yapılacağı ülke yahut ülkeler başta olmak üzere bağlayıcı şirket kuralları kapsamında gerçekleştirilecek transferlere ait konular.

c) Ortak ekonomik faaliyette bulunan teşebbüs kümesinin hem iç alakasında hem de öteki türel bağlarında bağlayıcı şirket kurallarının hukuken bağlayıcı olduğuna yönelik taahhüt.

ç) Kanunun 4 üncü hususunda belirtilen genel unsurlara ahenk, şahsî bilgilerin işlenme kuralları, özel nitelikli ferdî bilgilerin işlenme kuralları, data güvenliğinin sağlanmasına yönelik teknik ve idari önlemler, özel nitelikli ferdî dataların işlenmesinde alınacak kâfi tedbirler ve şahsî bilgilerin sonraki transferine yönelik kısıtlamalar üzere data muhafaza tedbirleri.

d) Şahsî bilgileri aktarılan ilgili bireylerin Kanunun 11 inci unsurunda belirtilen hakları ile Kanunun 14 üncü hususunda öngörülen tarz ve temellere uygun olarak Şuraya şikâyette bulunma hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ait metot ve temeller.

e) Türkiye’de yerleşik olmayan rastgele bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik bir bilgi sorumlusu ve/veya data işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.

f) Kanunun 10 uncu unsuru uyarınca aydınlatma yükümlülüğü kapsamında ilgili şahıslara bilgi verilen hususlara ek olarak (ç), (d) ve (e) bentlerinde belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ait konularda ilgili şahıslara ne halde bilgi verileceğine ait açıklamalar.

g) Çalışanlara şahsî bilgilerin korunması konusunda verilecek eğitime ait açıklamalar.

ğ) İlgili kişi müracaatlarının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs kümesinin bağlayıcı şirket kurallarına ahenginin takibinden sorumlu olan şahısların yahut ünitelerin vazifeleri.

h) İlgili şahısların haklarının korunmasına yönelik düzeltici faaliyetlerin sağlanmasına ait data muhafaza kontrolleri ve formülleri başta olmak üzere bağlayıcı şirket kurallarına ahengin teşebbüs kümesi içinde denetlenmesi ve doğrulanmasına yönelik sistemleri ve bunların sonuçlarının (ğ) bendinde belirtilen kişi yahut üniteye ve ilgili teşebbüs kümesi bünyesindeki hâkim şirketin idare heyetine ve talebi üzerine Konseye sunulacağına dair taahhüt.

ı) Bağlayıcı şirket kurallarına ait değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin Konseye bildirilmesine ait düzenekler.

i) (h) bendinde belirtilen kontrol ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs kümesinin üyeleri tarafından bağlayıcı şirket kurallarına ahengin sağlanması emeliyle Kurum ile iş birliği yükümlülüğü.

j) Bağlayıcı şirket kuralları kapsamında aktarılacak ferdî datalara ait olarak, teşebbüs kümesi üyelerinin transferin yapılacağı ülkede yahut ülkelerde bağlayıcı şirket kurallarının sağladığı teminatlara alışılmamış rastgele bir ulusal düzenleme olmadığına dair taahhüt ve kelam konusu garantiler üzerinde olumsuz bir tesir yaratması mümkün bir mevzuat değişikliği yapılması hâlinde durumu Konseye bildirmeye yönelik düzenekler.

k) Ferdî datalara daima yahut tertipli olarak erişimi bulunan işçiye yönelik uygun bilgi muhafaza eğitimlerinin verileceğine dair taahhüt.

(2) Heyet, birinci fıkrada belirtilenlere ek konular belirlemeye yetkilidir. Bağlayıcı şirket kuralları müracaatında kullanılacak dokümanlar Şura tarafından belirlenir.

Standart mukaveleyle uygun teminatın sağlanması

MADDE 14- (1) Bilgi kategorileri, bilgi transferinin emelleri, alıcı ve alıcı kümeleri, data alıcısı tarafından alınacak teknik ve idari önlemler, özel nitelikli şahsî bilgiler için alınan ek tedbirler üzere konuları ihtiva eden standart mukavele vasıtasıyla uygun teminat sağlanabilir.

(2) Standart mukavele, Şura tarafından belirlenerek ilan edilir.

(3) Standart kontrat metninin, üzerinde rastgele bir değişiklik yapılmaksızın kullanılması mecburidir. Standart kontratın yabancı lisanda de akdedilmesi hâlinde Türkçe metin temel alınır.

(4) Standart kontrat, şahsî data transferinin tarafları ortasında akdedilir. Standart kontratın, transferin taraflarınca yahut tarafları temsile ve imzaya yetkili şahıslarca imzalanması mecburidir.

(5) Standart kontrat, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak yahut kayıtlı elektronik posta (KEP) adresi ya da Şura tarafından belirlenen başka metotlarla Kuruma bildirilir. Transfer tarafları standart kontratta, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Şayet bu hususta bir belirleme yapılmamışsa standart mukavele bilgi aktaran tarafından Kuruma bildirilir.

(6) Yapılacak bildirime, standart mukaveleyi imzalayanların yetkili olduğuna dair tevsik edici dokümanlar ile yabancı lisandaki her dokümanın noter onaylı çevirisi eklenir.

(7) Şuraca ilan edilen standart mukavele metninde değişiklik yapılması yahut standart kontratta transfer taraflarından biri yahut her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun 15 inci hususu uyarınca Heyet tarafından inceleme yapılır.

(8) Standart mukavele taraflarında yahut standart kontrat içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması yahut standart kontratın sona ermesi hâlinde beşinci fıkrada belirtilen yönteme uygun olarak Kuruma bildirim yapılır.

Taahhütnameyle uygun garantinin sağlanması

MADDE 15- (1) Transfer tarafları ortasında akdedilecek yazılı bir taahhütnamede yer verilecek ferdî bilgilerin korunmasına yönelik kararlar vasıtasıyla uygun garanti sağlanabilir.

(2) Taahhütnamede yer verilecek şahsî dataların korunmasına yönelik kararlar bilhassa aşağıdaki konuları içerir:

a) Şahsî bilgi transferinin maksadı, kapsamı, niteliği ve hukuksal sebebi.

b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ait tanımlar.

c) Kanunun 4 üncü hususunda belirtilen genel unsurlara ahenk sağlanacağına yönelik taahhüt.

ç) İlgili bireylerin taahhütname ve taahhütname kapsamında yapılacak ferdî bilgi transferi hakkında aydınlatılmasına ait metot ve temeller.

d) Şahsî bilgileri aktarılan ilgili bireylerin Kanunun 11 inci unsurunda belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı hedefiyle yapılacak müracaata ait tarz ve temeller.

e) Uygun data güvenliği seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemlerin alınacağına yönelik taahhüt.

f) Özel nitelikli ferdî dataların aktarılması hâlinde Konsey tarafından belirlenen kâfi tedbirlerin alınacağına yönelik taahhüt.

g) Ferdî dataların sonraki transferine yönelik kısıtlamalar.

ğ) Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama metotları.

h) Bilgi alıcısının transfere bahis ferdî dataların işlenmesi konusunda Şuranın karar ve görüşlerine uyacağına yönelik taahhüt.

ı) Bilgi alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek olası bir mevzuat değişikliğini bilgi aktarana en kısa müddette bildireceğine dair taahhüt ile bu durumda bilgi aktaranın bilgi transferini askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme.

i) Bilgi alıcısının taahhütnameye uygunluk sağlayamaması hâlinde data aktaranın bilgi transferini askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme.

j) Data alıcısının taahhütnamenin feshedilmesi yahut yürürlük mühletinin sona ermesi hâlinde, data aktaranın tercihine bağlı olarak, transfere husus şahsî bilgileri yedekleri ile birlikte bilgi aktarana geri göndereceğine ya da şahsî bilgileri büsbütün yok edeceğine yönelik taahhüt.

k) Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık hâlinde Türk mahkemelerinin misyonlu ve yetkili olduğuna yönelik düzenleme ile data alıcısının Türk mahkemelerinin yargı yetkisini tanımayı kabul ettiğine yönelik taahhüt.

(3) Taahhütnameye dayanılarak ferdî bilgilerin yurt dışına aktarılabilmesi için bilgi aktaran tarafından Heyete müsaade müracaatında bulunulur. Yapılacak müracaat kapsamında taahhütname metni ve Heyet tarafından yapılacak kıymetlendirme için gerekli öteki bilgi ve dokümanlar Heyete sunulur. Taahhütnamenin yabancı lisanda de akdedilmesi hâlinde Türkçe metin temel alınır. Ferdî data transferine, Konsey tarafından müsaade verilmesinden sonra başlanır.

BEŞİNCİ BÖLÜM

İstisnai Aktarımlar

İstisnai transfer hâlleri

MADDE 16- (1) Şahsî bilgiler, yeterlilik kararının bulunmaması ve 10 uncu hususta öngörülen uygun garantilerden rastgele birinin sağlanamaması durumunda, arızi olmak kaydıyla yalnızca ikinci fıkrada belirtilen istisnai transfer hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Sistemli olmayan, tek yahut birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan transferler arızi niteliktedir.

(2) İstisnai transfer hâlleri şunlardır:

a) İlgili kişinin, beklenen riskler hakkında bilgilendirilmesi kaydıyla, transfere açık istek vermesi.

b) Transferin, ilgili kişi ile data sorumlusu ortasındaki bir kontratın ifası yahut ilgili kişinin talebi üzerine alınan mukavele öncesi önlemlerin uygulanması için zarurî olması.

c) Transferin, ilgili kişi faydasına bilgi sorumlusu ve öteki bir gerçek yahut hukukî kişi ortasında yapılacak bir kontratın kurulması yahut ifası için zarurî olması.

ç) Transferin üstün bir kamu faydası için zarurî olması.

d) Bir hakkın tesisi, kullanılması yahut korunması için ferdî bilgilerin aktarılmasının zarurî olması.

e) Fiili imkânsızlık nedeniyle isteğini açıklayamayacak durumda bulunan yahut isteğine türel geçerlilik tanınmayan kişinin kendisinin ya da bir oburunun hayatı yahut vücut bütünlüğünün korunması için şahsî bilgilerin aktarılmasının zarurî olması.

f) Kamuya yahut legal menfaati bulunan bireylere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken kuralların sağlanması ve yasal menfaati olan kişinin talep etmesi kaydıyla transfer yapılması.

(3) İkinci fıkranın (f) bendi uyarınca yapılacak transferlerde aşağıdaki yordam ve asıllara uyulur:

a) Transfer, sicillerde yer alan ferdî bilgilerin yahut ferdî data kategorilerinin tamamını içerecek biçimde gerçekleştirilemez.

b) Legal menfaati bulunan şahısların erişimine açık sicillerden yapılacak transferler sadece bu bireylere yahut bu şahısların talebi üzerine gerçekleştirilebilir.

(4) İkinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

ALTINCI BÖLÜM

Çeşitli ve Son Hükümler

Tereddütlerin giderilmesi

MADDE 17- (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri gidermeye ve bu Yönetmelikte yer almayan hususlarda, ilgili mevzuat kararları çerçevesinde karar vermeye Şura yetkilidir.

Yürürlük

MADDE 18- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 19- (1) Bu Yönetmelik kararlarını Kişisel Verileri Koruma Kurumu Lideri yürütür.

What is your reaction?

0
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly

Cevap bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir