Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnameler Hakkında Yeni Duyuru

Yayınlanma Tarihi: 13 Mayıs 2020



Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin yurtdışına aktarımı kapsamında hangi ülkelerin güvenli sayılacağına dair liste henüz yayınlanmamıştır. Bu sebeple, yurtdışına aktarım söz konusu olduğunda Kişisel Verilerin Korunması Kanunu’na aykırı bir aktarma faaliyeti olmaması adına Kurul tarafından yayınlanan taahhütnameler ile  yurt dışına kişisel veri aktarımı için izin başvurusu gündeme gelmiştir.

Aktarımın tarafları arasındaki ilişki ve alıcı tarafın niteliğine göre Kurum’un resmi internet sitesinde yayımlanan “Veri Sorumlusundan Veri Sorumlusuna Aktarım” veya “Veri Sorumlusundan Veri İşleyene Aktarım” taahhütnamelerinden uygun olan kullanılmalıdır.

Kurul 7 Mayıs 2020 tarihinde yayımladığı duyurusunda, taahhütnamelerde dikkat edilecek unsurları “usule ilişkin, esasa ilişkin ve EK-1’de yer alan bilgilere ilişkin” olarak üçe ayırmıştır:

Usule İlişkin Dikkat Edilecek Unsurlar

ü  Yurtdışına veri aktarımı izin başvurularında yetkili kişilerin ad-soyad bilgileri, adresi ve imzasının yanında imzaya yetkili olduğuna dair belgelerin bulunması gerekmektedir. Tüzel kişiler tarafından yapılacak başvuruda, tüzel kişiyi temsil edecek kişinin temsil ve ilzama yetkili olduğuna dair belgeleri eklemesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.

ü  Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafı bulunmalıdır.

ü  İmzacıların yetkisini göstermesi bakımından, Taahhütname ekine Türkiye’de mukim şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde mukim veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği eklenmelidir. Anılan Sözleşmeye taraf ülkelerin resmi makamlarınca hazırlanmış her belgede apostil şerhi bulunmalı, Sözleşmeye taraf olmayan ülkeler bakımından ise, belgelerin Türkiye’de hukuken geçerli olmasına ilişkin süreç işletilmelidir.

ü  Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.

ü  Taahhütname hazırlanırken, Kurum’un resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.

ü  Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır.

Esasa İlişkin Dikkat Edilecek Unsurlar

ü  Aktarımın tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve alıcı tarafın niteliğine göre Taahhütname örneklerinden uygun olan kullanılmalıdır. Burada alıcı tarafın veri sorumlusu veya veri işleyen olup olmadığı Kanun’da belirtilen hükümler ve aradaki ilişki çerçevesinde belirlenmelidir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu kimseden emir ve talimat almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme yetkisine sahip olan gerçek veya tüzel kişilerdir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Diğer bir deyişle veri işleyen, veri sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.

ü  Veri sorumlusundan veri işleyene aktarımlarda, veri sorumlusunun ve veri işleyenin gerçekleştirmekte olduğu hizmetler ile veri aktarımına ilişkin faaliyetlerinin, net bir şekilde anlaşılabilmesi için anlaşılır detayda açıklama yapılması gerekmektedir.

ü  İlgili kişiler arasındaki aktarımda söz konusu olan tarafların hukuki statülerine yönelik anlaşılır detayda açıklamalara yer verilmelidir. Ayrıca, aradaki ilişkinin mahiyetini gösteren herhangi bir belge bulunuyor ise ilgili dokümanlar da (taraflar arasındaki sözleşme vb.) taahhütnameye eklenmelidir.

ü  Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır. Birbiriyle ilişkili başlıklar arasında bağ kurulmalıdır.

!         Açık rıza şartına dayalı gerçekleştirilecek olan yurtdışı kişisel veri aktarımları Taahhütname konusu edilemeyecektir.

ü  Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel verilerin işlenme amacına ilişkin, Kanunun 4. maddesinde yer alan “Belirli, açık ve meşru amaçlar için işlenme ve İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkeleri başta olmak üzere genel ilkelerin her birinin  gözetilmesi gerekmektedir.

EK-1’de Yer Alan Bilgilere İlişkin Dikkat Edilecek Unsurlar

             I.  Veri konusu kişi grubu ve grupları

Veri konusu kişi ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel, …” gibi muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.

            II.  Veri kategorileri

Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.

Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurulmak suretiyle, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.

           III.  Veri aktarımının amaçları

İlgili bölümde kişisel verilerin işlenme amacı sınırları, belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.

          IV.  Veri aktarımının hukuki sebebi

Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunun 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.

Sağlık verilerinin ve diğer özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurtdışına aktarımında öncelikli olarak Kanun’un 6. maddesinin üçüncü fıkrasında sınırlı olarak sayılan işleme şartlarından birinin mevcut olması gerekmektedir. Bu çerçevede, söz konusu işleme şartlarının mevcut olmadığı durumlarda, özel nitelikli kişisel verilerin yurtdışına aktarımı ancak ilgili kişilerin hukuka uygun bir şekilde açık rızalarının alınması ile mümkün olabilecektir ki, açık rıza şartına dayalı gerçekleştirilecek olan yurtdışı kişisel veri aktarımları Taahhütname konusu edilmemektedir.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayanılarak gerçekleştirilecek aktarımlarda, 25/03/2019 tarihli ve 2019/78 sayılı Kurul kararında yer verilen denge testi uygulanmalı ve çıkan olumlu sonuç ortaya konulmalıdır. Bu kapsamda, veri sorumluları tarafından; söz konusu veri işleme/aktarım faaliyetinin ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyeceği hususu, veri işleme/aktarımı dolayısıyla veri sorumlusu olarak ilgili kişinin temel hak ve özgürlükleriyle yarışır düzeyde ne tür bir meşru menfaatin elde edileceği, veri işlemeden/aktarımından elde edilecek meşru menfaatin tesisi için söz konusu veri işlemenin/aktarımının neden zorunlu olduğunun her bir veri konusu kişi grubu ve veri kategorisi bakımından somut faaliyet özelinde anlaşılır detayda açıklanması gerekmektedir.

           V.  Alıcı ve alıcı grupları

“Alıcı ve alıcı grupları”, veri alıcısı tarafından örneğin verilerin ifşası veya aktarılması suretiyle gerçekleştirilecek sonraki devam eden aktarımlarda veri alıcısının bulunduğu ülkede mukim olan veri sorumlusu veya veri işleyeni ifade etmektedir. Ayrıca belirtmekte fayda görülmektedir ki, sonraki devam eden aktarıma taraf veri sorumlularının veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması gerekmektedir.

Taahhütnameye taraf veri alıcısından, alıcının mukim olduğu ülkede yerleşik başka yukarıda belirtilenlerden farklı bir veri sorumlusuna ya da veri alıcısının mukim olduğu ülkeden başka bir ülkede yerleşik veri sorumlusu veya veri işleyene, Taahhütname kapsamında sonraki devam eden veri aktarımı gerçekleşemeyecektir. Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname imzalanması gerekmektedir. Böyle bir durumda, aktarımın amacı ve niteliğine uygun düştüğü ölçüde, farklılıklar varsa bu farklılıklar da her bir veri sorumlusu ya da veri işleyen bakımından açık ve net bir şekilde ortaya konulmak suretiyle tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması da mümkündür.

          VI.  Veri alıcısı tarafından alınacak teknik ve idari tedbirler

İlgili bölüm düzenlenirken, Kurum’un resmi internet sitesinde bulunan Kişisel Veri Güvenliği Rehberi dikkate alınmalıdır. Teknik ve idari tedbirler ayrı başlıklar halinde yazılmalı ve bu tedbirlere yönelik hazırlanmış olan herhangi bir belge var ise de başvuruya eklenmelidir.

        VII.  Özel Nitelikli Kişisel veriler için alınan ek önlemler

İlgili bölüm düzenlenirken, 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kurul kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirlere yönelik hazırlanmış olan herhangi bir belge var ise başvuruya eklenmelidir.

       VIII.  Veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri

Kayıt yükümlülüğünün bulunup bulunmadığı bilgisinin gerekçesi ile birlikte açıklanması ve kayıt yükümlülüğünün bulunması halinde VERBİS bilgilerine bu başlık altında yer verilmesi gerekmektedir.

          IX.  Ek faydalı bilgiler

Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir.

Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.

Taahhütname ekinde yer alan başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler” başlığı altında açıklanmalıdır.

           X.  İrtibat kişisi iletişim bilgileri

İrtibat kişisine ait bilgiler bu başlık altında yer almalıdır.

Kişisel Verileri Koruma Kurulu’nun ilgili yurt dışına transferlerde uygulanacak taahhütnamelere yönelik duyurusuna bu linkten ulaşabilirsiniz.