Haber Detayı

YURT DIŞINA VERİ AKTARIMINDA STANDART SÖZLEŞME UYGULAMASI

Bilindiği üzere, kişisel verilerin yurt dışına aktarımı, Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ("KVKK") 9. maddesinde yapılan değişiklikler ve bu değişikliklere bağlı ikincil düzenlemelerle birlikte daha düzenli ve denetlenebilir bir çerçeveye kavuşmuştur. "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" (“Yönetmelik”) ile yurt dışına veri aktarılması hususunda önemli düzenlemeler getirilmiştir. Son düzenlemeler ile birlikte, henüz Kurum tarafından yeterli koruma sağlayan ülkeler listesi açıklanmaması ve bağlayıcı şirket kuralları (“BŞK”), uluslararası sözleşme niteliğinde olmayan anlaşmalar ve taahhütname gibi uygun güvencelerin de standart sözleşmeye kıyasla çok daha komplike olması nedeniyle; kişisel verilerin yurt dışına aktarımında standart sözleşmeleri daha erişilebilir ve pratik bir çözüm haline getirmiştir. Bu sebeple makalemizde standart sözleşme ve uygulamasına yakın mercek tutacağız.

Kanun’un 9. maddesinin beşinci fıkrası uyarınca, standart sözleşmelerin imzalanmasını takiben beş iş günü içinde Kişisel Verilerin Korunması Kurumu’na (“Kurum”) bildirilmesi zorunludur. Ayrıca, Yönetmelik 14. maddesinin beşinci fıkrası, söz konusu bildirimlerin fiziki olarak, kayıtlı elektronik posta (“KEP”) adresi veya Kurul tarafından belirlenen diğer yöntemler ile yapılabileceğini düzenlemektedir.

10 Temmuz 2024 tarihli duyuru ile; çeşitli veri akış senaryolarına göre, Kurum standart sözleşme metinleri yayınlamıştır.  Yönetmelik madde 14/3 kapsamında; Kurum’un yayınlamış olduğu standart sözleşme taslak metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi halinde, Kurum’un öncelikli olarak esas aldığı Türkçe olarak düzenlenen sözleşmedir. 

Bu doğrultuda, Kişisel Verileri Koruma Kurulu’nun 17.10.2024 tarihli ve 2024/1793 sayılı kararı ile, veri sorumluları ve veri işleyenlerin bildirim yükümlülüklerini daha hızlı ve etkin şekilde yerine getirebilmeleri için hazırlanan “Standart Sözleşme Bildirim Modülü” kullanıma açılmış ve ilgililerin hizmetine sunulmuştur.

  1. Standart Sözleşmelerin Veri Akış Senaryoları

    KVKK kapsamında standart sözleşmeler, tarafların veri akışındaki rollerine ve veri aktarım türüne bağlı olarak farklı biçimlerde hazırlanır. Bu sözleşmeler, aşağıdaki veri akış senaryolarına göre düzenlenebilir:

  2. Veri Sorumlusundan Veri Sorumlusuna
  3. Veri sorumlusu, yurt dışındaki bir başka veri sorumlusuna kişisel veri aktarımı yaparken bu tür sözleşme kullanılır.

  4. Veri Sorumlusundan Veri İşleyene
  5. Veri sorumlusu, yurt dışındaki bir veri işleyene (örneğin, bir hizmet sağlayıcıya) veri aktarımı gerçekleştiriyorsa bu tür sözleşme düzenlenir.

  6. Veri İşleyenden Veri İşleyene
  7. Bir veri işleyen, yurt dışında yerleşik başka bir veri işleyene (örneğin, bir alt yükleniciye) veri aktarımı yaparken bu tür bir sözleşme hazırlanır.

  8. Veri İşleyenden Veri Sorumlusuna
  9. Veri işleyen taraf, yurt dışındaki bir veri sorumlusuna veri aktardığında bu tür bir sözleşme kullanılır.

    10 Temmuz 2024 tarihli duyuru ile; kişisel verilerin yurt dışına aktarımında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve temel hususları içeren kılavuzlar paylaşılmıştır. İlgili dokümanlar, Kurum’un resmi internet sitesindeki duyuru üzerinden erişime sunulmuştur. Bu gelişme, veri sorumluları ve işleyenlerin yurt dışına veri aktarım süreçlerinde yasal uygunluk sağlamalarını kolaylaştırmayı hedeflemektedir.

  10. Modül Nasıl Kullanılmalı?

Kurum’un 17.10.2024 tarihli ve 2024/1793 sayılı kararı ile, veri sorumluları ve veri işleyenlerin kişisel verilerin yurt dışına aktarımına ilişkin bildirim yükümlülükleriniçok daha hızlı, etkin ve güvenilir bir şekilde yerine getirebilmeleri amacıyla “Standart Sözleşme Bildirim Modülü” kullanıma sunulduğundan bahsedilmişti.

Bu kapsamda, yayınlanan Kılavuz, veri sorumluları ve veri işleyenlerin standart sözleşmeleri sisteme eklemeleri, bildirim yapmaları ve takip süreçlerini kolaylaştırmayı hedeflemektedir. Kılavuzda;

  1. Hesap Oluşturma ve Oturum Açma:
  2. Yetkili Kişi Ekleme:
    • Yetkili kişiler, sisteme eklenmelidir. Bu kişiler sözleşme eklemekle yetkilidir.
    • Yetkili kişilerin bilgileri ve yetki belgeleri doğru şekilde sisteme girilmelidir.
  3. Sözleşme Ekleme:
    • Sol menüden “Sözleşmeler” seçeneği ile yeni sözleşme eklenebilir.
    • Taraf bilgileri ve rolü, imzaların tamamlandığı tarih, sözleşme dosyası sisteme yüklenmelidir.
  4. Bildirim ve Gönderim:
  • Eklenen sözleşmeler, “Kuruma Gönder” seçeneği ile Kişisel Verileri Koruma Kurumu’na bildirilmelidir.
  • Bildirim tamamlandıktan sonra sözleşme incelemeye alınır.

Gibi modülün kullanımına ilişkin bilgiler sunulmuştur.

Bu yenilik, kişisel verilerin yurt dışına aktarımı süreçlerinde şeffaflığı artırırken, Kurum’un bildirimlerin takibini daha etkin şekilde gerçekleştirmesine olanak sağlamaktadır. İlgililer, detaylı bilgi için Kurum’un internet sitesinde yayımlanan Kılavuz’dan faydalanabilirler.