Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin yurtdışına aktarımı kapsamında hangi ülkelerin güvenli sayılacağına dair liste henüz yayınlanmamıştır. Bu sebeple, yurtdışına aktarım söz konusu olduğunda Kişisel Verilerin Korunması Kanunu’na aykırı bir aktarma faaliyeti olmaması adına Kurul tarafından yayınlanan taahhütnameler ile yurt dışına kişisel veri aktarımı için izin başvurusu gündeme gelmiştir.
Aktarımın tarafları arasındaki ilişki ve alıcı tarafın niteliğine göre Kurum’un resmi internet sitesinde yayımlanan “Veri Sorumlusundan Veri Sorumlusuna Aktarım” veya “Veri Sorumlusundan Veri İşleyene Aktarım” taahhütnamelerinden uygun olan kullanılmalıdır.
Kurul 7 Mayıs 2020 tarihinde yayımladığı duyurusunda, taahhütnamelerde dikkat edilecek unsurları “usule ilişkin, esasa ilişkin ve EK-1’de yer alan bilgilere ilişkin” olarak üçe ayırmıştır:
Usule İlişkin Dikkat Edilecek Unsurlar
ü Yurtdışına veri aktarımı izin başvurularında yetkili kişilerin ad-soyad bilgileri, adresi ve imzasının yanında imzaya yetkili olduğuna dair belgelerin bulunması gerekmektedir. Tüzel kişiler tarafından yapılacak başvuruda, tüzel kişiyi temsil edecek kişinin temsil ve ilzama yetkili olduğuna dair belgeleri eklemesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.
ü Taahhütname ve ekinin sonunda imza ve kaşe; her bir sayfasında ise imzacıların parafı bulunmalıdır.
ü İmzacıların yetkisini göstermesi bakımından, Taahhütname ekine Türkiye’de mukim şirketler bakımından imza sirkülerinin aslı veya onaylı örneği, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf olan ülkelerde mukim veri alıcısı bakımından ise imzalayanın imzaya yetkili olduğunu gösterir apostil şerhli belgenin aslı veya onaylı örneği eklenmelidir. Anılan Sözleşmeye taraf ülkelerin resmi makamlarınca hazırlanmış her belgede apostil şerhi bulunmalı, Sözleşmeye taraf olmayan ülkeler bakımından ise, belgelerin Türkiye’de hukuken geçerli olmasına ilişkin süreç işletilmelidir.
ü Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.
ü Taahhütname hazırlanırken, Kurum’un resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
ü Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır.
Esasa İlişkin Dikkat Edilecek Unsurlar
ü Aktarımın
tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve alıcı tarafın
niteliğine göre Taahhütname örneklerinden uygun olan kullanılmalıdır. Burada
alıcı tarafın veri sorumlusu veya veri işleyen olup olmadığı Kanun’da
belirtilen hükümler ve aradaki ilişki çerçevesinde belirlenmelidir.
Veri
Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişiyi ifade eder. Veri sorumlusu kimseden emir ve talimat
almayan, bilakis bir başka kişiye veri işletmesi halinde bu hususta emir ve
talimat veren, veri işleme süreçlerinin her anında serbestçe karar verme
yetkisine sahip olan gerçek veya tüzel kişilerdir.
Veri
İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
işleyen gerçek veya tüzel kişiyi ifade eder. Diğer bir deyişle veri işleyen, veri
sorumlusunun çıkarlarını gözeten, kendisine verilen belirli görevleri aldığı
talimatlar doğrultusunda yerine getirmekle yükümlü olan taraftır.
ü Veri sorumlusundan veri işleyene aktarımlarda, veri sorumlusunun ve veri işleyenin gerçekleştirmekte olduğu hizmetler ile veri aktarımına ilişkin faaliyetlerinin, net bir şekilde anlaşılabilmesi için anlaşılır detayda açıklama yapılması gerekmektedir.
ü İlgili kişiler arasındaki aktarımda söz konusu olan tarafların hukuki statülerine yönelik anlaşılır detayda açıklamalara yer verilmelidir. Ayrıca, aradaki ilişkinin mahiyetini gösteren herhangi bir belge bulunuyor ise ilgili dokümanlar da (taraflar arasındaki sözleşme vb.) taahhütnameye eklenmelidir.
ü Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır. Birbiriyle ilişkili başlıklar arasında bağ kurulmalıdır.
! Açık rıza şartına dayalı gerçekleştirilecek olan yurtdışı kişisel veri aktarımları Taahhütname konusu edilemeyecektir.
ü Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel
verilerin işlenme amacına ilişkin, Kanunun 4. maddesinde yer alan “Belirli,
açık ve meşru amaçlar için işlenme ve İşlendikleri amaçla bağlantılı, sınırlı
ve ölçülü olması” ilkeleri başta olmak üzere genel ilkelerin her birinin gözetilmesi gerekmektedir.
EK-1’de Yer Alan Bilgilere İlişkin Dikkat Edilecek Unsurlar
I. Veri konusu kişi grubu ve grupları
Veri konusu kişi ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel, …” gibi muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
II. Veri kategorileri
Veri kategorileri ifade
edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler
anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin,
“Veri konusu kişi grubu ve grupları” başlığı ile bağ kurulmak suretiyle, bu
başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça
belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
III. Veri aktarımının amaçları
İlgili bölümde kişisel
verilerin işlenme amacı sınırları, belirli ve açık bir şekilde anlaşılır
detayda açıklanmalıdır.
IV. Veri aktarımının hukuki
sebebi
Taahhütnameye konu kişisel
veri aktarım faaliyetinin Kanunun 5. maddesinin ikinci fıkrası ile 6. maddesinin
üçüncü fıkrasında belirtilen kişisel veri işleme şartlardan hangisine dayalı
olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek
unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya
konulması gerekmektedir.
Sağlık verilerinin ve diğer
özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmaksızın
yurtdışına aktarımında öncelikli olarak Kanun’un 6. maddesinin üçüncü
fıkrasında sınırlı olarak sayılan işleme şartlarından birinin mevcut olması
gerekmektedir. Bu çerçevede, söz konusu işleme şartlarının mevcut olmadığı
durumlarda, özel nitelikli kişisel verilerin yurtdışına aktarımı ancak ilgili
kişilerin hukuka uygun bir şekilde açık rızalarının alınması ile mümkün
olabilecektir ki, açık rıza şartına dayalı gerçekleştirilecek olan yurtdışı
kişisel veri aktarımları Taahhütname konusu edilmemektedir.
“İlgili kişinin temel hak
ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması” şartına dayanılarak
gerçekleştirilecek aktarımlarda, 25/03/2019 tarihli ve 2019/78 sayılı Kurul kararında
yer verilen denge testi uygulanmalı ve çıkan olumlu sonuç ortaya konulmalıdır.
Bu kapsamda, veri sorumluları tarafından; söz konusu veri işleme/aktarım
faaliyetinin ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyeceği
hususu, veri işleme/aktarımı dolayısıyla veri sorumlusu olarak ilgili kişinin
temel hak ve özgürlükleriyle yarışır düzeyde ne tür bir meşru menfaatin elde
edileceği, veri işlemeden/aktarımından elde edilecek meşru menfaatin tesisi
için söz konusu veri işlemenin/aktarımının neden zorunlu olduğunun her bir veri
konusu kişi grubu ve veri kategorisi bakımından somut faaliyet özelinde
anlaşılır detayda açıklanması gerekmektedir.
V. Alıcı ve alıcı grupları
“Alıcı ve alıcı grupları”,
veri alıcısı tarafından örneğin verilerin ifşası veya aktarılması suretiyle
gerçekleştirilecek sonraki devam eden aktarımlarda veri alıcısının bulunduğu
ülkede mukim olan veri sorumlusu veya veri işleyeni ifade etmektedir. Ayrıca
belirtmekte fayda görülmektedir ki, sonraki devam eden aktarıma taraf veri
sorumlularının veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri
gereğince aktarım gerektiren yetkili kurum ve kuruluşlar kapsamında olması
gerekmektedir.
Taahhütnameye taraf veri
alıcısından, alıcının mukim olduğu ülkede yerleşik başka yukarıda
belirtilenlerden farklı bir veri sorumlusuna ya da veri alıcısının mukim olduğu
ülkeden başka bir ülkede yerleşik veri sorumlusu veya veri işleyene,
Taahhütname kapsamında sonraki devam eden veri aktarımı gerçekleşemeyecektir.
Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname
imzalanması gerekmektedir. Böyle bir durumda, aktarımın amacı ve niteliğine
uygun düştüğü ölçüde, farklılıklar varsa bu farklılıklar da her bir veri
sorumlusu ya da veri işleyen bakımından açık ve net bir şekilde ortaya konulmak
suretiyle tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz
konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması
da mümkündür.
VI. Veri alıcısı tarafından
alınacak teknik ve idari tedbirler
İlgili bölüm düzenlenirken, Kurum’un resmi internet sitesinde bulunan Kişisel Veri Güvenliği Rehberi dikkate alınmalıdır. Teknik ve idari tedbirler ayrı başlıklar halinde yazılmalı ve bu tedbirlere yönelik hazırlanmış olan herhangi bir belge var ise de başvuruya eklenmelidir.
VII. Özel Nitelikli Kişisel veriler
için alınan ek önlemler
İlgili bölüm düzenlenirken,
31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin
İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kurul
kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında
alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirlere
yönelik hazırlanmış olan herhangi bir belge var ise başvuruya eklenmelidir.
VIII. Veri aktaranın Veri
Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
Kayıt yükümlülüğünün bulunup
bulunmadığı bilgisinin gerekçesi ile birlikte açıklanması ve kayıt
yükümlülüğünün bulunması halinde VERBİS bilgilerine bu başlık altında yer
verilmesi gerekmektedir.
IX. Ek faydalı bilgiler
Saklama süreleri ve ilgili
diğer bilgilere bu başlık altında yer verilecek olup kişisel verilerin işlenme
süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer
verilmek suretiyle belirtilmesi gerekmektedir.
Mevzuattan kaynaklı bir
sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne
dayandırıldığının belirtilmesi gerekmektedir.
Taahhütname ekinde yer alan
başlıklar dışında ayrıca belirtilmek istenen hususlar “Ek faydalı bilgiler”
başlığı altında açıklanmalıdır.
X. İrtibat kişisi iletişim
bilgileri
İrtibat kişisine ait bilgiler
bu başlık altında yer almalıdır.
Kişisel Verileri Koruma Kurulu’nun
ilgili yurt dışına transferlerde
uygulanacak taahhütnamelere yönelik duyurusuna bu
linkten ulaşabilirsiniz.