KVKK’da Yurtdışına Veri Aktarımı Kapsamında Uygulama Rehberi Yayımlandı

Kişisel Verileri Koruma Kurumu (KVKK), 2 Ocak 2025 tarihinde resmi internet sitesinde “Kişisel Verilerin Yurtdışına Aktarılması Rehberi’ni yayımladı. Bu rehber, veri aktarım süreçlerinde şirketler için yeni yükümlülükler ve dikkat edilmesi gereken noktalardan bahsetmektedir. Şirketlerin, bu rehber doğrultusunda veri aktarımı süreçlerini gözden geçirmesi büyük önem taşımaktadır. Şirketlerin, operasyonel süreçlerine ve ihtiyaçlarına uygun, kendileri için özel olarak tasarlanmış sözleşmeler kullanması gerekmektedir. Bu hem yasal uyumluluğu sağlamak hem de olası riskleri en aza indirmek açısından oldukça önemlidir. 

Hukuki Açıdan Rehberde Nelerden Bahsediliyor? 

Kanunda açıkça kişisel verilerin yurtdışına aktarılması tanımına yer verilmemişti. Ancak 7499 sayılı Kanun ile değiştirilen Kanunun 9. maddesinin uygulanmasına ilişkin usul ve esasları belirleyen Yönetmeliğin 4. maddesinin (e) bendinde kişisel verilerin yurtdışına aktarılması; “kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurtdışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” şeklinde ifade edilmektedir. Bu kapsamda, “kişisel verilerin yurtdışına aktarılması” faaliyeti üç kritere ayrılarak tanımlanabilmektedir. 

1. Veri sorumlusu ya da veri işleyen (veri aktaran) söz konusu kişisel veri işleme faaliyeti için Kanuna tabi olmalıdır. 
2. Veri aktaran tarafından işlenen kişisel veriler, iletilmeli veya başka bir suretle erişilebilir hale getirilmelidir. 
3. Veri aktarılan veri sorumlusu ya da veri işleyen, Kanuna tabi olup olmadığına bakılmaksızın üçüncü bir ülkede olmalıdır. 

Örnek olarak bir hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, uzaktan erişim için etkili bir talebin onaylanması/kabul edilmesi, bir sabit sürücünün yerleştirilmesi veya bir dosyaya şifre gönderilmesi verilebilecektir. Üçüncü bir ülkeden uzaktan erişimin (yalnızca kişisel verilerin bir ekranda görüntülenmesi yoluyla gerçekleşse bile, örneğin destek durumlarında, sorun giderme veya yönetim amacıyla) ve/veya bir hizmet sağlayıcı tarafından sunulan yurtdışında bulunan bir bulutta depolama da bu üç kriterin karşılanması koşuluyla bir aktarım olarak kabul edilecektir. 

Rehber İçerisindeki Bilgiler Işığında Süreç Hakkında Dikkat Edilmesi Gerekenler: 

1. Veri aktarımı öncesi planlama ve hazırlık yapılmalı, 
2. Verinin aktarılacağı ülke, sektör veya kuruluş için yeterlilik kararı kontrol edilmeli, 
3. Bağlayıcı şirket kuralları, standart sözleşmeler veya taahhütnameler kullanarak güvence sağlanmalı, 
4. Veri işleme şartlarına ilişkin hukuki sebepler değerlendirilmelidir, 
5. Aydınlatmalar yapılmalı ve gerekli durumlarda açık rıza alınmalı, 
6. Aktarımın amacı, kapsamı ve süreçleri detaylıca belgelendirmeli, 
7. Bağlayıcı şirket kuralları veya taahhütname gibi yöntemler uygulanacak ise “Kurul” onayı alınmalı, “Standart Sözleşmeler” 5 günlük süre içinde Kurul’a ibraz edilmelidir, 
8. KVKK kapsamında daha önceki yıllarda yayımlanan rehberlerle belirlenen “Teknik ve İdari Tedbirler” dikkate alınarak gerekli tüm hazırlıklar yapılmalı (Şifreleme, veri maskeleme gibi güvenlik önlemleri uygulanmalı), 
9. Veriler yalnızca aktarım amacıyla sınırlı olarak kullanılmalı ve aktarım süreci boyunca tarafların uyumu düzenli olarak takip edilmelidir, 
10. İşleme amacı sona erdiğinde, veriler imha edilmeli veya geri alınmalıdır, 
11. İhlal durumunda ilgili mercilere hızlıca bildirim yapılmalıdır, 
12. Veri sahiplerinin taleplerine hızlı ve etkili şekilde yanıt verilmelidir, 
13. Süreç boyunca alınan aksiyonlar detaylı şekilde kaydedilmelidir, 
14. Teknolojik ve yasal gelişmelere göre veri aktarım mekanizmaları sürekli gözden geçirilmelidir. 

Rehbere buradan ulaşabilirsiniz.