Şahsî Bilgilerin Yurt Dışına Aktarılmasında Yeni Kurallar Belirleyen Yönetmelik Yayımlandı

Kişisel Verileri Koruma Kurumu (KVKK), Kişisel Verilerin Korunması Kanunu kapsamında verilerin yurt dışına aktarılmasını düzenleyen yeni yönetmeliği yayımladı. Yönetmelik, Resmî Gazete’nin bugünkü sayısında yer buldu ve yürürlüğe girdi.

Düzenleme, ferdî bilgilerin yurt dışına transferinde hangi koşulların gerekeceğini ayrıntılandırıyor. Gelin bu koşullara birlikte göz atalım.

Veriler, 3 farklı aşama sonucunda aktarılabilecek

Yeni yönetmeliğe göre şahsî bilgilerin yurt dışına transferinde sırayla 3 evreye bakılacak. Birincisi, “yeterlilik kararı”nın bulunup bulunmadığı olacak. Şahsî dataların yurt dışına transferi ile ilgili olarak bir ülkenin, ülke içerisindeki bir ya da daha fazla bölümün yahut bir uluslararası kuruluşun kâfi seviyede müdafaa sağladığına karar verildiğinde bilgi transferi gerçekleştirilebilecek. Yeterlilik kararı, en geç 4 yılda bir yeniden değerlendirilecek.

İkinci aşama ise yeterlilik kararı bulunmayan durumlarda devreye giren uygun teminatlardan birinin sağlanıp sağlanmadığına bakılması. Uygun teminatlar sağlanmadığında ise üçüncü aşama olan istisnai durumlara bakılacak. Yönetmelikte yer alan istisnai transfer hâllerinden birinin bulunduğu tespit edildiğinde şahsî bilgilerin yurt dışına transferi gerçekleşebilecek. Yönetmeliği içeriğimizin sonuna ekledik. Tüm koşullara o kısımdan ulaşabilirsiniz.

Yönetmeliğin tamamı şu şekilde:

BİRİNCİ BÖLÜM

Başlangıç Hükümleri

Amaç

MADDE 1- (1) Bu Yönetmeliğin hedefi, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun ferdî bilgilerin yurt dışına aktarılmasını düzenleyen 9 uncu unsurunun uygulanmasına ilişkin yordam ve temelleri belirlemektir.

Kapsam

MADDE 2- (1) Bu Yönetmelik kararları, 6698 sayılı Kanunun 9 uncu unsuru uyarınca gerçekleştirilecek yurt dışına şahsî data transferine taraf data sorumluları ve bilgi işleyenler hakkında uygulanır.

Dayanak

MADDE 3- (1) Bu Yönetmelik, 6698 sayılı Kanunun 9 uncu unsurunun on birinci fıkrası ile 22 nci hususunun birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4- (1) Bu Yönetmeliğin uygulanmasında;

a) Başkan: Kişisel Verileri Koruma Kurumu Liderini,

b) İlgili kişi: Ferdî verisi işlenen gerçek kişiyi,

c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Şahsî bilgi: Kimliği makul ya da belirlenebilir gerçek bireye ilişkin her türlü bilgiyi,

d) Ferdî dataların işlenmesi: Ferdî bilgilerin tamamen ya da kısmen otomatik olan yahut herhangi bir bilgi kayıt sisteminin modülü olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması yahut kullanılmasının engellenmesi bilgiler üzerinde gerçekleştirilen her türlü süreci,

e) Ferdî dataların yurt dışına aktarılması: Ferdî bilgilerin 6698 sayılı Kanun kapsamındaki bir data sorumlusu ya da bilgi işleyen tarafından yurt dışındaki bir bilgi sorumlusu ya da bilgi işleyene iletilmesi yahut öbür bir suretle erişilebilir hâle getirilmesini,

f) Heyet: Ferdî Bilgileri Müdafaa Kurulunu,

g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Data aktaran: Ferdî bilgileri yurt dışına aktaran bilgi sorumlusu ya da data işleyeni,

h) Bilgi alıcısı: Data aktarandan şahsî dataları alan yurt dışındaki bilgi sorumlusu ya da data işleyeni,

ı) Bilgi işleyen: Bilgi sorumlusunun verdiği yetkiye dayanarak onun ismine şahsî bilgileri işleyen gerçek ya da hukukî kişiyi,

i) Data sorumlusu: Ferdî dataların sürece maksatlarını ve vasıtalarını belirleyen, data kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ya da hukuksal kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar bakımından Kanun ve ilgili mevzuatında yer alan tanımlar temeldir.

İKİNCİ BÖLÜM

Genel Hükümler

Kişisel bilgilerin yurt dışına aktarılması

MADDE 5- (1) Şahsî bilgiler, data sorumlusu ve data işleyen tarafından lakin Kanunda ve bu Yönetmelikte öngörülen yol ve asıllara uygun olarak yurt dışına aktarılabilir. Ferdî dataların veri işleyen tarafından aktarılması hâlinde ayrıyeten data sorumlusunun talimatlarına da uyulması zaruridir.

(2) Birinci fıkra kararı, yurt dışına aktarılan ferdî dataların sonraki transferleri ve uluslararası kuruluşlara transferler bakımından da uygulanır.

(3) Ferdî dataların yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan kararlar gizlidir.

Kişisel dataların yurt dışına aktarılma usulleri

MADDE 6- (1) Şahsî datalar, Kanunun 5 inci ve 6 ncı unsurlarında belirtilen kurallardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda data sorumluları ve data işleyenler tarafından yurt dışına aktarılabilir:

a) Transferin yapılacağı ülke, ülke içerisindeki bölümler ya da uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.

b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin transferin yapılacağı ülkede de haklarını kullanma ve tesirli kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu unsurda belirtilen uygun teminatlardan birinin taraflarca sağlanması.

(2) Yeterlilik kararının bulunmaması ve 10 uncu hususta belirtilen uygun garantilerden birinin taraflarca sağlanamaması durumunda şahsî datalar, arızi olmak kaydıyla yalnızca 16 ncı hususta belirtilen istisnai hâllerden birinin varlığı hâlinde data sorumluları ve bilgi işleyenler tarafından yurt dışına aktarılabilir.

(3) Ferdî datalar, uluslararası kontrat kararları gizli kalmak üzere, Türkiye’nin ya da ilgili kişinin menfaatinin önemli bir şekilde zarar göreceği durumlarda, fakat ilgili kamu kurum ya da kuruluşunun görüşü alınarak Heyetin müsaadesiyle yurt dışına aktarılabilir.

Kişisel bilgilerin veri işleyen tarafından yurt dışına aktarılması

MADDE 7- (1) Şahsî dataların bilgi işleyen tarafından yurt dışına aktarılması hâlinde data işleyen; data sorumlusu tarafından belirlenmiş hedef ve kapsam çerçevesinde, bilgi sorumlusu ismine ve onun verdiği talimatlara uygun olarak hareket eder. Bilgi işleyen; ferdî bilgilerin hukuk dışı olarak işlenmesini önlemek, şahsî verilere hukuk dışı olarak erişilmesini önlemek ve şahsî bilgilerin korumasını sağlamak gayesiyle şahsî bilginin niteliğine göre uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemleri alır.

(2) Ferdî dataların bilgi işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen yöntem ve temellere uyulması ile teminatların sağlanması konusunda data sorumlusunun misyonunu ortadan kaldırmaz. Bilgi sorumlusu, birinci fıkrada belirtilen teknik ve idari önlemlerin bilgi işleyen tarafından alınmasını sağlamakla yükümlüdür.

(3) Data işleyenin, 14 üncü hususun beşinci fıkrası uyarınca standart mukaveleyi bildirmekle yükümlü olması hâlinde bilgi işleyen bilgi sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.

ÜÇÜNCÜ BÖLÜM

Yeterlilik Kararına Dayalı Aktarımlar

Yeterlilik kararı

MADDE 8- (1) Konsey, ferdî dataların yurt dışına transferi ile ilgili olarak bir ülkenin, ülke içerisindeki bir ya da daha fazla bölümün yahut bir uluslararası kuruluşun kâfi seviyede muhafaza sağladığına karar verebilir. Yeterlilik kararı verilirken öncelikle aşağıdaki konular dikkate alınır:

a) Şahsî bilgilerin aktarılacağı ülke, ülke içerisindeki bölümler ya da uluslararası kuruluşlar ile Türkiye arasında ferdî data transferine ilişkin karşılıklılık durumu.

b) Şahsî dataların aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile ferdî bilgilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Ferdî dataların aktarılacağı ülkede ya da uluslararası kuruluşun tâbi olduğu bağımsız ve aktif bir data muhafaza kurumunun varlığı ile idari ve adli müracaat yollarının bulunması.

ç) Şahsî dataların aktarılacağı ülkenin ya da uluslararası kuruluşun, şahsî bilgilerin korunmasıyla ilgili uluslararası mukavelelere taraf ya da uluslararası kuruluşlara üye olma durumu.

d) Ferdî bilgilerin aktarılacağı ülkenin ya da uluslararası kuruluşun, Türkiye’nin üye olduğu global ya da bölgesel kuruluşlara üye olma durumu.

e) Türkiye’nin taraf olduğu uluslararası mukaveleler.

(2) Şura, birinci fıkrada belirtilenler dışında ek konular belirlemeye yetkilidir.

(3) Heyet, yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü alır.

(4) Heyet tarafından verilen yeterlilik kararları Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.

Yeterlilik kararının gözden geçirilmesi

MADDE 9- (1) Yeterlilik kararı, en geç dört yılda bir yeniden kıymetlendirilir. İlgili yeterlilik kararında, yeniden değerlendirme devirleri açıkça belirlenir. Konsey, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir ya da daha fazla bölümün yahut uluslararası kuruluşun kâfi seviyede müdafaa sağlamadığını tespit etmesi hâlinde kararını ileriye tesirli olmak üzere değiştirebilir, askıya alabilir ya da kaldırabilir.

(2) Konsey, birinci fıkrada belirtilen yeniden değerlendirme dönemi ile bağlı olmaksızın gerekli gördüğü takdirde, yeterlilik kararını gözden geçirerek ileriye tesirli olmak üzere değiştirebilir, askıya alabilir ya da kaldırabilir.

(3) Konsey, birinci ya da ikinci fıkra uyarınca yeterlilik kararının değiştirilmesine, askıya alınmasına ya da kaldırılmasına neden olan durumun düzeltilmesi amacıyla ilgili ülke ya da uluslararası kuruluşun yetkili makamlarıyla görüşebilir.

(4) Yeterlilik kararının değiştirilmesine, askıya alınmasına ya da kaldırılmasına ilişkin olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde yayımlanır.

DÖRDÜNCÜ BÖLÜM

Uygun Garantilere Dayalı Aktarımlar

Uygun teminat sağlama yolları

MADDE 10- (1) Ferdî datalar, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı unsurlarında belirtilen koşullardan birinin varlığı, ilgili kişinin transferin yapılacağı ülkede de haklarını kullanma ve tesirli kanun yollarına başvurma imkânının bulunması kaydıyla, fakat aşağıda belirtilen uygun teminatlardan birinin transfer taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları ya da uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları ya da kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası mukavele niteliğinde olmayan mutabakatın varlığı ve Heyet tarafından transfere izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, ferdî dataların korunmasına ilişkin kararlar ihtiva eden ve Şura tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Şura tarafından ilan edilen, bilgi kategorileri, bilgi transferinin gayeleri, alıcı ve alıcı grupları, data alıcısı tarafından alınacak teknik ve idari önlemler, özel nitelikli şahsî bilgiler için alınan ek tedbirler gibi konuları ihtiva eden standart kontratın varlığı.

ç) Kâfi müdafaayı sağlayacak kararların yer aldığı yazılı bir taahhütnamenin varlığı ve Şura tarafından transfere izin verilmesi.

Uluslararası kontrat niteliğinde olmayan mutabakatla uygun garantinin sağlanması

MADDE 11- (1) Uluslararası mukavele niteliğinde olmayan mutabakatta yer verilecek ferdî bilgilerin korunmasına yönelik kararlar vasıtasıyla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları ya da uluslararası kuruluşlar arasında yapılacak ferdî bilgi transferleri bakımından uygun garanti sağlanabilir. Anlaşma, ferdî data transferinin tarafları arasında akdedilir.

(2) Muahedenin müzakere sürecinde Heyetin görüşüne başvurulur.

(3) Mutabakatta yer verilecek ferdî bilgilerin korunmasına yönelik kararlar bilhassa aşağıdaki konuları içerir:

a) Şahsî bilgi transferinin emeli, kapsamı, niteliği ve hukuksal sebebi.

b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.

c) Kanunun 4 üncü unsurunda belirtilen genel unsurlara ahenk sağlanacağına yönelik taahhüt.

ç) İlgili şahısların anlaşma ve anlaşma kapsamında yapılacak şahsî bilgi transferi hakkında aydınlatılmasına ilişkin metot ve temeller.

d) Ferdî bilgileri aktarılan ilgili şahısların Kanunun 11 inci unsurunda belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı gayesiyle yapılacak müracaata ilişkin adap ve temeller.

e) Uygun data güvenliği seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemlerin alınacağına yönelik taahhüt.

f) Özel nitelikli şahsî bilgilerin aktarılması hâlinde Şura tarafından belirlenen kâfi tedbirlerin alınacağına yönelik taahhüt.

g) Şahsî bilgilerin sonraki transferine yönelik kısıtlamalar.

ğ) Muahedede yer verilecek ferdî bilgilerin korunmasına yönelik kararların ihlali hâlinde ilgili kişinin başvurabileceği hak arama yolları.

h) Muahedede yer verilecek şahsî dataların korunmasına yönelik kararların uygulanmasına ilişkin kontrol sistemi.

ı) Bilgi alıcısının, muahedede yer verilecek şahsî bilgilerin korunmasına yönelik kararlara uygunluk sağlayamaması hâlinde data aktaranın bilgi transferini askıya alma ve muahedeyi feshetme hakkına sahip olacağına yönelik düzenleme.

i) Bilgi alıcısının muahedenin feshedilmesi ya da yürürlük müddetinin sona ermesi hâlinde, data aktaranın tercihine bağlı olarak, transfere bahis ferdî dataları yedekleri ile birlikte bilgi aktarana geri göndereceğine yahut ferdî bilgileri tamamen yok edeceğine yönelik taahhüt.

(4) Mutabakata dayanılarak ferdî bilgilerin yurt dışına aktarılabilmesi için bilgi aktaran tarafından Şuraya izin müracaatında bulunulur. Yapılacak müracaat kapsamında anlaşma metninin kesin hâli ve Heyet tarafından yapılacak değerlendirme için gerekli diğer bilgi ve evraklar Konseye sunulur. Şahsî bilgi transferine, Şura tarafından izin verilmesinden sonra başlanır.

Bağlayıcı şirket kurallarıyla uygun garantinin sağlanması

MADDE 12- (1) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu şahsî dataların korunmasına yönelik bağlayıcı şirket kuralları vasıtasıyla uygun garanti sağlanabilir. Bağlayıcı şirket kurallarına dayanılarak şahsî bilgilerin yurt dışına aktarılabilmesi için Şuraya onay müracaatında bulunulur.

(2) Yapılacak müracaat kapsamında bağlayıcı şirket kuralları metni ve Konsey tarafından yapılacak değerlendirme için gerekli diğer bilgi ve dokümanlar Heyete sunulur. Bağlayıcı şirket kurallarına ilişkin yapılacak müracaatta sunulan yabancı lisandaki her dokümanın noter onaylı çevirisi müracaata eklenir. Bağlayıcı şirket kuralları metninin yabancı lisanda de düzenlenmesi hâlinde Türkçe metin esas alınır.

(3) Konsey tarafından bağlayıcı şirket kuralları onaylanırken bilhassa aşağıdaki konular dikkate alınır:

a) Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından hukuken bağlayıcı ve uygulanabilir olması.

b) Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair taahhütte bulunulması.

c) Bağlayıcı şirket kurallarının taban olarak 13 üncü unsurda belirtilen konuları içermesi.

(4) Şahsî data transferine, bağlayıcı şirket kurallarının Heyet tarafından onaylanmasından sonra başlanır.

Bağlayıcı şirket kurallarında bulunması gereken hususlar

MADDE 13- (1) Bağlayıcı şirket kuralları minimum olarak aşağıdaki konuları içerir:

a) Ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri.

b) Ferdî bilgi kategorileri, sürece faaliyeti ve maksatları, ilgili kişi grubu ya da grupları ve transferin yapılacağı ülke ya da ülkeler başta olmak üzere bağlayıcı şirket kuralları kapsamında gerçekleştirilecek transferlere ilişkin konular.

c) Ortak ekonomik faaliyette bulunan teşebbüs grubunun hem iç bağında hem de diğer türel bağlarında bağlayıcı şirket kurallarının hukuken bağlayıcı olduğuna yönelik taahhüt.

ç) Kanunun 4 üncü unsurunda belirtilen genel unsurlara ahenk, ferdî bilgilerin işlenme kuralları, özel nitelikli şahsî bilgilerin işlenme koşulları, data güvenliğinin sağlanmasına yönelik teknik ve idari önlemler, özel nitelikli şahsî bilgilerin işlenmesinde alınacak kâfi tedbirler ve şahsî bilgilerin sonraki transferine yönelik kısıtlamalar data müdafaa tedbirleri.

d) Ferdî bilgileri aktarılan ilgili bireylerin Kanunun 11 inci hususunda belirtilen hakları ile Kanunun 14 üncü unsurunda öngörülen yordam ve asıllara uygun olarak Şuraya şikâyette bulunma hakkının kullandırılmasına yönelik taahhüt ve bu hakların kullanımına ilişkin yol ve asıllar.

e) Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye’de yerleşik bir data sorumlusu ve/veya data işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.

f) Kanunun 10 uncu unsuru uyarınca aydınlatma yükümlülüğü kapsamında ilgili şahıslara bilgi verilen hususlara ek olarak (ç), (d) ve (e) bentlerinde belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ilişkin konularda ilgili şahıslara ne şekilde bilgi verileceğine ilişkin açıklamalar.

g) Çalışanlara şahsî dataların korunması konusunda verilecek eğitime ilişkin açıklamalar.

ğ) İlgili kişi müracaatlarının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs grubunun bağlayıcı şirket kurallarına ahenginin takibinden sorumlu olan bireylerin ya da ünitelerin vazifeleri.

h) İlgili şahısların haklarının korunmasına yönelik düzeltici faaliyetlerin sağlanmasına ilişkin bilgi muhafaza kontrolleri ve sistemleri başta olmak üzere bağlayıcı şirket kurallarına ahengin teşebbüs grubu içinde denetlenmesi ve doğrulanmasına yönelik sistemleri ve bunların sonuçlarının (ğ) bendinde belirtilen kişi ya da üniteye ve ilgili teşebbüs grubu bünyesindeki hâkim şirketin yönetim şurasına ve talebi üzerine Konseye sunulacağına dair taahhüt.

ı) Bağlayıcı şirket kurallarına ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin Heyete bildirilmesine ilişkin sistemler.

i) (h) bendinde belirtilen kontrol ve doğrulama faaliyetinin sonuçlarının sunulması başta olmak üzere teşebbüs grubunun üyeleri tarafından bağlayıcı şirket kurallarına ahengin sağlanması gayesiyle Kurum ile iş birliği yükümlülüğü.

j) Bağlayıcı şirket kuralları kapsamında aktarılacak şahsî verilere ilişkin olarak, teşebbüs grubu üyelerinin transferin yapılacağı ülkede ya da ülkelerde bağlayıcı şirket kurallarının sağladığı garantilere aykırı herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söylediği söz edilen teminatlar üzerinde olumsuz bir tesir ortaya çıkartması olası bir mevzuat değişikliği yapılması hâlinde durumu Konseye bildirmeye yönelik sistemler.

k) Şahsî verilere daima ya da düzenli olarak erişimi bulunan çalışana yönelik uygun bilgi müdafaa eğitimlerinin verileceğine dair taahhüt.

(2) Konsey, birinci fıkrada belirtilenlere ek konular belirlemeye yetkilidir. Bağlayıcı şirket kuralları müracaatında kullanılacak dokümanlar Şura tarafından belirlenir.

Standart mukaveleyle uygun garantinin sağlanması

MADDE 14- (1) Data kategorileri, bilgi transferinin emelleri, alıcı ve alıcı grupları, data alıcısı tarafından alınacak teknik ve idari önlemler, özel nitelikli şahsî datalar için alınan ek tedbirler gibi konuları ihtiva eden standart mukavele vasıtasıyla uygun teminat sağlanabilir.

(2) Standart mukavele, Konsey tarafından belirlenerek ilan edilir.

(3) Standart kontrat metninin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zaruridir. Standart kontratın yabancı lisanda de akdedilmesi hâlinde Türkçe metin esas alınır.

(4) Standart mukavele, şahsî data transferinin tarafları arasında akdedilir. Standart kontratın, transferin taraflarınca ya da tarafları temsile ve imzaya yetkili bireylerce imzalanması zaruridir.

(5) Standart mukavele, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak ya da kayıtlı elektronik posta (KEP) adresi yahut Şura tarafından belirlenen diğer metotlarla Kuruma bildirilir. Transfer tarafları standart kontratta, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini belirleyebilir. Şayet bu hususta bir belirleme yapılmamışsa standart kontrat data aktaran tarafından Kuruma bildirilir.

(6) Yapılacak bildirime, standart mukaveleyi imzalayanların yetkili olduğuna dair tevsik edici dokümanlar ile yabancı lisandaki her dokümanın noter onaylı çevirisi eklenir.

(7) Şuraca ilan edilen standart mukavele metninde değişiklik yapılması ya da standart kontratta transfer taraflarından biri ya da her ikisinin geçerli imzasının bulunmaması hâlinde Kanunun 15 inci unsuru uyarınca Konsey tarafından inceleme yapılır.

(8) Standart kontrat taraflarında ya da standart kontrat içeriğinde taraflarca yer verilen bilgi ve açıklamalarda bir değişiklik olması ya da standart mukavelenin sona ermesi hâlinde beşinci fıkrada belirtilen tarza uygun olarak Kuruma bildirim yapılır.

Taahhütnameyle uygun teminatın sağlanması

MADDE 15- (1) Transfer tarafları arasında akdedilecek yazılı bir taahhütnamede yer verilecek ferdî bilgilerin korunmasına yönelik kararlar vasıtasıyla uygun teminat sağlanabilir.

(2) Taahhütnamede yer verilecek ferdî dataların korunmasına yönelik kararlar bilhassa aşağıdaki konuları içerir:

a) Şahsî bilgi transferinin gayesi, kapsamı, niteliği ve hukuksal sebebi.

b) Kanun ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.

c) Kanunun 4 üncü unsurunda belirtilen genel unsurlara ahenk sağlanacağına yönelik taahhüt.

ç) İlgili şahısların taahhütname ve taahhütname kapsamında yapılacak ferdî bilgi transferi hakkında aydınlatılmasına ilişkin yöntem ve temeller.

d) Ferdî bilgileri aktarılan ilgili bireylerin Kanunun 11 inci unsurunda belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı gayesiyle yapılacak müracaata ilişkin yöntem ve temeller.

e) Uygun bilgi güvenliği seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemlerin alınacağına yönelik taahhüt.

f) Özel nitelikli şahsî dataların aktarılması hâlinde Heyet tarafından belirlenen kâfi tedbirlerin alınacağına yönelik taahhüt.

g) Şahsî dataların sonraki transferine yönelik kısıtlamalar.

ğ) Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama teknikleri.

h) Bilgi alıcısının transfere husus ferdî dataların işlenmesi konusunda Şuranın karar ve görüşlerine uyacağına yönelik taahhüt.

ı) Data alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal düzenlemenin bulunmadığına ve buna yol açabilecek beklenen bir mevzuat değişikliğini data aktarana en kısa sürede bildireceğine dair taahhüt ile bu durumda data aktaranın bilgi transferini askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme.

i) Bilgi alıcısının taahhütnameye uygunluk sağlayamaması hâlinde data aktaranın data transferini askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına yönelik düzenleme.

j) Bilgi alıcısının taahhütnamenin feshedilmesi ya da yürürlük müddetinin sona ermesi hâlinde, data aktaranın tercihine bağlı olarak, transfere husus ferdî dataları yedekleri ile birlikte data aktarana geri göndereceğine yahut şahsî dataları tamamen yok edeceğine yönelik taahhüt.

k) Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık hâlinde Türk mahkemelerinin görevli ve yetkili olduğuna yönelik düzenleme ile bilgi alıcısının Türk mahkemelerinin yargı yetkisini tanımayı kabul ettiğine yönelik taahhüt.

(3) Taahhütnameye dayanılarak ferdî dataların yurt dışına aktarılabilmesi için data aktaran tarafından Şuraya izin müracaatında bulunulur. Yapılacak müracaat kapsamında taahhütname metni ve Şura tarafından yapılacak değerlendirme için gerekli diğer bilgi ve dokümanlar Heyete sunulur. Taahhütnamenin yabancı lisanda de akdedilmesi hâlinde Türkçe metin esas alınır. Ferdî bilgi transferine, Konsey tarafından izin verilmesinden sonra başlanır.

BEŞİNCİ BÖLÜM

İstisnai Aktarımlar

İstisnai transfer hâlleri

MADDE 16- (1) Şahsî bilgiler, yeterlilik kararının bulunmaması ve 10 uncu unsurda öngörülen uygun garantilerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla yalnızca ikinci fıkrada belirtilen istisnai transfer hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan, tek ya da birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan transferler arızi niteliktedir.

(2) İstisnai transfer hâlleri şunlardır:

a) İlgili kişinin, olası riskler hakkında bilgilendirilmesi kaydıyla, transfere açık istek vermesi.

b) Transferin, ilgili kişi ile data sorumlusu arasındaki bir kontratın ifası ya da ilgili kişinin talebi üzerine alınan mukavele öncesi önlemlerin uygulanması için mecburî olması.

c) Transferin, ilgili kişi faydasına data sorumlusu ve diğer bir gerçek ya da hükmî kişi arasında yapılacak bir kontratın kurulması ya da ifası için mecburî olması.

ç) Transferin üstün bir kamu faydası için zarurî olması.

d) Bir hakkın tesisi, kullanılması ya da korunması için şahsî bilgilerin aktarılmasının mecburî olması.

e) Fiili imkânsızlık nedeniyle isteğini açıklayamayacak durumda bulunan ya da isteğine tüzel geçerlilik tanınmayan kişinin kendisinin yahut bir diğerinin hayatı ya da vücut bütünlüğünün korunması için ferdî bilgilerin aktarılmasının zarurî olması.

f) Kamuya ya da legal menfaati bulunan bireylere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken koşulların sağlanması ve yasal menfaati olan kişinin talep etmesi kaydıyla transfer yapılması.

(3) İkinci fıkranın (f) bendi uyarınca yapılacak transferlerde aşağıdaki yöntem ve asıllara uyulur:

a) Transfer, sicillerde yer alan ferdî bilgilerin ya da şahsî bilgi kategorilerinin tamamını içerecek şekilde gerçekleştirilemez.

b) Legal menfaati bulunan şahısların erişimine açık sicillerden yapılacak transferler sırf bu bireylere ya da bu şahısların talebi üzerine gerçekleştirilebilir.

(4) İkinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

ALTINCI BÖLÜM

Çeşitli ve Son Hükümler

Tereddütlerin giderilmesi

MADDE 17- (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri gidermeye ve bu Yönetmelikte yer almayan bahislerde, ilgili mevzuat kararları çerçevesinde karar vermeye Konsey yetkilidir.

Yürürlük

MADDE 18- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 19- (1) Bu Yönetmelik kararlarını Kişisel Verileri Koruma Kurumu Başkanı yürütür.