Kişisel Verileri Koruma Kurumu (“Kurum“) internet sitesinde 17 Mayıs 2024 tarihinde yaptığı duyuru (“Duyuru”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“)’nun 9. maddesinin dördüncü fıkrası uyarınca kişisel verilerin yurt dışına aktarılması için uygun güvence sağlama yöntemleri olarak öngörülen standart sözleşme ve bağlayıcı şirket kurallarına (“BŞK”) ilişkin taslak dokümanları kamuoyunun görüşlerine sunma sürecini başlattığını bildirmiştir.
Bilindiği üzere, KVKK’nın “Kişisel verilerin yurt dışına aktarılması” başlıklı 9.maddesinin 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunla (“Kanun Değişikliği”) değişik ve 1/6/2024 tarihinde yürürlüğe girecek hâlinin 11. fıkrasında bu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği öngörülmüştür. Bu çerçevede, Kurum tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı” hazırlanarak 9 Mayıs 2024 tarihinde kamuoyunun görüşlerine sunulmuştur.
Bu defa Kurum tarafından yayınlanan Duyuru ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşmelerin ve bağlayıcı şirket kurallarının nasıl oluşturulması gerektiğine dair taslak dokümanların kamuoyunun görüşüne açılmıştır.
Standard Sözleşme taslakları kişisel verilerin veri sorumlusu ve veri işleyenlerce aktarılabileceği dört muhtemel senaryoya özgü sözleşme metinleri olarak yayınlanmıştır. Bunlar aşağıdaki gibidir:
- Standart Sözleşme – 1 (Veri Sorumlusundan Veri Sorumlusuna): İşbu sözleşme, Türkiye’de yerleşik veri aktaran ve yurt dışında bulunan veri alıcı veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
- Standart Sözleşme – 2 (Veri Sorumlusundan Veri İşleyene): İşbu sözleşme, Türkiye’de yerleşik veri sorumlusunun yurt dışındaki bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
- Standart Sözleşme – 3 (Veri İşleyenden Veri İşleyene): İşbu sözleşme, Türkiye’de yerleşik veri işleyenin yurtdışındaki başka bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
- Standart Sözleşme – 4 (Veri İşleyenden Veri Sorumlusuna): Türkiye’deki bir veri işleyenin, yurtdışındaki veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
Standard Sözleşmelerde değişiklik yapılmaması, üçüncü taraf yararlanıcı hakları, aktarım detayları; kişisel verilerin korunmasına yönelik güvenceler, talimatlar, bilgilendirme yükümlülüğü, veri güvenliği, özel nitelikli kişisel veriler, hak arama yöntemleri, sonraki aktarımlar, denetim, sorumluluk, belgeleme ve uyumluluk, hak arama yöntemleri gibi taraf yükümlülükleri, ulusal hukuk ve kamu makamları tarafından erişim hâlinde yükümlülükler, sözleşmeye uyulmaması halinde fesih ve sözleşmenin Kurum’a bildirilmesine ilişkin düzenlemeler yer almaktadır.
Ayrıca, veri sorumlusundan ve veri işleyenden veri işleyene yapılacak aktarımlarda, alt veri işleyen hususuyla ilgili olarak özel düzenleme yer almış; burada taraflara alt veri işleyenlerin atanması için her seferinde veri aktaranın belirli bir süre öncesinde yazılı iznini alma veya sözleşmenin imzalanması esnasında veri aktaranın önceden onayladığı listeye göre hareket etme ve bu listeye herhangi bir değişiklik olması halinde veri aktaranın önceden yazılı iznini alma şeklinde iki seçenek sunulmıştur.
Veri işleyenden veri sorumlusuna aktarımı düzenleyen standart sözleşmede, uygulanacak hukuku Türk hukuku olarak zorunlu kılan ve uyuşmazlıkların Türk mahkemelerinde çözümleneceğini öngören diğer standard sözleşmelerden farklı olarak taraflara uygulanacak hukuk ve uyuşmazlıkların çözümünde yetkili ülke mahkemelerini belirleme yetkisi tanınmıştır.
Bağlayıcı şirket kurallarına ilişkin olarak ise yine veri sorumlusu ve veri işleyenler özelinde ayrı ayrı hazırlanmış başvuru formu ve yardımcı kılavuz taslakları yayınlanmıştır.
Hem Veri Sorumluları için Bağlayıcı Şirket Kuralları (“VS BŞK”) hem de Veri İşleyenler için Bağlayıcı Şirket Kuralları (“Vİ BŞK”) için Kurum’a onay başvurusu yapılması halinde, her başvuru için ayrı form düzenlenmesi gerektiği düzenlenmiştir.
Başvuru formunda, öncelikle Vİ BŞK veya VS BŞK grubuna ait temel bilgileri ile Kurum’un iletişim kuracağı kişi veya birimin iletişim bilgileri talep edilmektedir.
Her iki başvuru formunda da BŞK kapsamında aktarılması öngörülen kişisel verilerin niteliği, veri kategorileri, kişisel veri işleme faaliyetinin amaçları, kişisel verilerin işlenmesinden etkilenen ilgili kişi kategorileri ile kişisel veri aktarımlarının amaçları ve kapsamı hakkında detaylı açıklamalar istenmektedir.
Hem VS BŞK hem de Vİ BŞK Başvuru Formu, sorumlu her bir BŞK Üyesinin, VS BŞK’nın veya Vİ BŞK’nın ihlalinden kaynaklanan zararların tazmini için yeterli mal varlığına sahip olduğunu veya kendisini söz konusu zararları tazmin edebilecek duruma getirecek uygun düzenlemeleri yaptığını doğrulayan bir taahhüt içermektedir.. Bu taahhüt VS BŞK’nın veya Vİ BŞK’nın güncellenmesine ilişkin her yıl yapılacak olan bildirimde yenilenmelidir.
VS BŞK’da, Türkiye’de yerleşik bir BŞK üyesi diğer üyelerin eylemlerinden sorumlu tutulurken, Vİ BŞK’da veri işleyenler öncelikle veri sorumlusuna karşı sorumlu tutulmaktadır.
Yine hem VS BŞK hem Vİ BŞK’ye ilişkin kılavuzda, ilgili BŞK’nin hukuken bağlayıcı olması ve BŞK’ya riayet edilmesi hususunda çalışanları da dâhil olmak üzere grubun tüm üyelerine açık bir yükümlülük getirmesi gerektiği belirtilmiştir.
Ayrıca gerek VS BŞK’de gerek Vİ BŞK’de söz konusu BŞK’nın çalışanlar bakımından bağlayıcılığının nasıl sağlandığına ilişkin politika, prosedür, gizlilik sözleşmesi ve sair enstrümanlardan alıntılarla desteklenen bir özet bilginin başvuru formunda sunulması gerektiğine yer verilmiştir.
Taslak dokümanlara ilişkin görüş ve değerlendirmeler 27 Mayıs 2024 tarihine kadar “aktarim@kvkk.gov.tr” elektronik posta adresine gönderilebilecektir.
Duyuru’ya ve taslak dokümanlara takip eden bağlantıdan ulaşabilirsiniz:
