Kişisel Verilerin Yurt Dışına Aktarımı: Standart Sözleşme ve Bildirim Süreci
KVKK kapsamında kişisel verilerin yurt dışına aktarımı, standart sözleşme, bağlayıcı şirket kuralları, bildirim ve onay süreçlerine ilişkin bilgilendirme.
Özet
- Kişisel verilerin yurt dışına aktarımı, KVKK çerçevesinde belirli mekanizmalara bağlanmıştır.
- Yeterli korumaya sahip ülkelere aktarım, diğer ülkelere aktarımdan farklı koşullara tabidir.
- Standart sözleşme imzalanması ve Kurula bildirim mekanizması uygulanır.
- Bağlayıcı şirket kuralları (BCR) gibi araçlar grup şirketleri için kullanılabilir.
- Açık rıza, alternatif bir hukuki dayanak olabilir.
- Süreç dökümantasyonu ve denetim hazırlığı önemlidir.
Yurt Dışı Aktarım Nedir?
Yurt dışı aktarım, kişisel verilerin Türkiye dışındaki bir veri sorumlusuna veya veri işleyene aktarılmasıdır. Bulut hizmetleri, CRM sistemleri, e-posta servisleri gibi pek çok günlük uygulama yurt dışı aktarım niteliği taşıyabilir. Bir veri işleme faaliyetinin hukuka uygunluğu çoğu zaman aktarımdan önce gelir; bu nedenle aktarımı değerlendirmeden önce KVKK uyum süreci, aydınlatma metni ve VERBİS adımlarının tamamlanmış olması beklenir.
Aktarım Mekanizmaları
KVKK çerçevesinde aktarım için; yeterlilik kararı, uygun güvencelerin sağlanması (standart sözleşme, BCR, taahhütname) veya istisnai hallerin uygulanması gibi yöntemler söz konusu olabilir.
Standart Sözleşme
Kurul tarafından yayımlanan standart sözleşme şablonları kullanılarak veri aktarımı kayıt altına alınır. Sözleşme tarafların yükümlülüklerini ve veri güvenliği önlemlerini düzenler.
Bildirim Süreci
Standart sözleşme imzalandıktan sonra Kurula bildirim yapılması gerekebilir. Bildirim süresi ve usulü, mevzuat çerçevesinde belirlenir. Aktarımla bağlantılı bir uyuşmazlık idari para cezasına ya da yargıya taşınırsa, idari yaptırıma karşı açılacak davalarda yetkili mahkeme idari yargıdır; örneğin İzmir'de bu tür davalar idare mahkemelerinde görülür. İnternet üzerinden veri toplayan işletmelerde aktarım, çoğu zaman site üzerindeki e-ticaret siteleri için hazırlanan hukuki metinlerle birlikte değerlendirilir.
Süreç Nasıl İşler?
| Aşama | Açıklama | Dikkat Edilecek Nokta |
|---|---|---|
| Envanter | Aktarım haritası çıkarılır | Veri kategorileri |
| Hukuki dayanak | Aktarım gerekçesi belirlenir | Yeterli koruma/sözleşme |
| Sözleşme | Standart sözleşme imzalanır | Şablona uyum |
| Bildirim | Kurula bildirim | Süre |
| Denetim | Sürekli izleme ve güncelleme | Risk değerlendirmesi |
Gerekli Belgeler
- Veri envanteri
- Aydınlatma metni
- Açık rıza metinleri
- Standart sözleşme
- Aktarım haritası
En Sık Yapılan Hatalar
- Bulut hizmeti kullanırken yurt dışı aktarımı fark etmemek.
- Açık rızayı tek hukuki dayanak olarak kullanmak.
- Standart sözleşme imzalamadan aktarım yapmak.
- Bildirim sürelerini takip etmemek.
- Risk analizini eksik yapmak.
Hukuki ve Teknik Değerlendirmenin Birlikte Yürümesi
Yurt dışı veri aktarımı, hem hukuki hem teknik bir analiz gerektirir. Hukuki dayanağın seçimi, sözleşme metninin Kurul şablonuna uygunluğu ve bildirim takvimi birbirine bağlı adımlardır; aktarımın hukuka uygunluğu çoğu zaman bu adımların süreç başında birlikte planlanmasına dayanır.
Sık Sorulan Sorular
Bulut hizmeti yurt dışı aktarım sayılır mı? Sunucu konumuna göre değerlendirilir.
Açık rıza ile her şey aktarılabilir mi? Bazı veri kategorilerinde ek koruma şartları gerekebilir.
Standart sözleşmenin değiştirilmesi mümkün mü? Şablon dışına çıkmadan ekleme yapılabilir.
Cezalar yüksek mi? İdari para cezaları öngörülmüştür ve dönemsel olarak güncellenir.
BCR Türkiye'de uygulanıyor mu? Mevzuata uygun şekilde kullanılabilir.
Yeterli koruma kararı verilen ülke listesi var mı? Kurum tarafından zaman içinde yayımlanır.
Aktarım yoksa da bildirim gerekiyor mu? Aktarım olmuyorsa bildirim gerekmez.
Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. Somut durumunuz için bir avukata başvurmanızı öneririz.