KİŞİSEL
VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN USUL VE
ESASLAR
HAKKINDA YÖNETMELİK
BİRİNCİ
BÖLÜM
Başlangıç
Hükümleri
Amaç
MADDE
1- (1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli
ve 6698 sayılı Kişisel Verilerin Korunması Kanununun kişisel verilerin yurt
dışına aktarılmasını düzenleyen 9 uncu maddesinin uygulanmasına ilişkin usul ve
esasları belirlemektir.
Kapsam
MADDE
2- (1) Bu Yönetmelik hükümleri, 6698 sayılı Kanunun 9 uncu maddesi
uyarınca gerçekleştirilecek yurt dışına kişisel veri aktarımına taraf veri
sorumluları ve veri işleyenler hakkında uygulanır.
Dayanak
MADDE
3- (1) Bu Yönetmelik, 6698 sayılı Kanunun 9 uncu maddesinin on
birinci fıkrası ile 22 nci maddesinin
birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE
4- (1) Bu Yönetmeliğin uygulanmasında;
a)
Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
b) İlgili
kişi: Kişisel verisi işlenen gerçek kişiyi,
c)
Kanun: 24/3/2016 tarihli ve 6698 sayılı
Kişisel Verilerin Korunması Kanununu,
ç)
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her
türlü bilgiyi,
d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,
muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlemi,
e)
Kişisel verilerin yurt dışına aktarılması: Kişisel verilerin 6698 sayılı Kanun
kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir
veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle
erişilebilir hâle getirilmesini,
f) Kurul:
Kişisel Verileri Koruma Kurulunu,
g) Kurum:
Kişisel Verileri Koruma Kurumunu,
ğ) Veri
aktaran: Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri
işleyeni,
h) Veri
alıcısı: Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu
veya veri işleyeni,
ı) Veri
işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişiyi,
i) Veri
sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişiyi,
ifade eder.
(2) Bu
Yönetmelikte yer almayan tanımlar bakımından Kanun ve ilgili mevzuatında yer
alan tanımlar esastır.
İKİNCİ
BÖLÜM
Genel
Hükümler
Kişisel
verilerin yurt dışına aktarılması
MADDE
5- (1) Kişisel veriler, veri sorumlusu ve veri işleyen tarafından
ancak Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uygun olarak yurt
dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması
hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur.
(2)
Birinci fıkra hükmü, yurt dışına aktarılan kişisel verilerin sonraki
aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da uygulanır.
(3)
Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan
hükümler saklıdır.
Kişisel
verilerin yurt dışına aktarılma usulleri
MADDE
6- (1) Kişisel veriler, Kanunun 5 inci ve 6 ncı maddelerinde
belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin
gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt
dışına aktarılabilir:
a)
Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası
kuruluşlar hakkında yeterlilik kararı bulunması.
b)
Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı
ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının
bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin
taraflarca sağlanması.
(2)
Yeterlilik kararının bulunmaması ve 10 uncu maddede belirtilen uygun
güvencelerden birinin taraflarca sağlanamaması durumunda kişisel veriler, arızi
olmak kaydıyla sadece 16 ncı maddede
belirtilen istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri
işleyenler tarafından yurt dışına aktarılabilir.
(3)
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere,
Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği
durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun
izniyle yurt dışına aktarılabilir.
Kişisel
verilerin veri işleyen tarafından yurt dışına aktarılması
MADDE
7- (1) Kişisel verilerin veri işleyen tarafından yurt dışına
aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve
kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun
olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek
ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine
göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve
idari tedbirleri alır.
(2)
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve
bu Yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması
hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu,
birinci fıkrada belirtilen teknik ve idari tedbirlerin veri işleyen tarafından
alınmasını sağlamakla yükümlüdür.
(3) Veri
işleyenin, 14 üncü maddenin beşinci fıkrası uyarınca standart sözleşmeyi
bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına
gerek duymaksızın bildirim yükümlülüğünü yerine getirir.
ÜÇÜNCÜ
BÖLÜM
Yeterlilik
Kararına Dayalı Aktarımlar
Yeterlilik
kararı
MADDE
8- (1) Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili
olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir
uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir.
Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a)
Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya
uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin
karşılıklılık durumu.
b)
Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile
kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c)
Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu
bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru
yollarının bulunması.
ç)
Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel
verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası
kuruluşlara üye olma durumu.
d)
Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin
üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e)
Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(2)
Kurul, birinci fıkrada belirtilenler dışında ek hususlar belirlemeye
yetkilidir.
(3) Kurul,
yeterlilik kararıyla ilgili yapacağı değerlendirmede ihtiyaç duyması hâlinde
ilgili kurum ve kuruluşların görüşünü alır.
(4) Kurul
tarafından verilen yeterlilik kararları Resmî Gazete’de ve Kurumun internet
sitesinde yayımlanır.
Yeterlilik
kararının gözden geçirilmesi
MADDE
9- (1) Yeterlilik kararı, en geç dört yılda bir yeniden
değerlendirilir. İlgili yeterlilik kararında, yeniden değerlendirme dönemleri
açıkça belirlenir. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke
içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli
düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili
olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(2)
Kurul, birinci fıkrada belirtilen yeniden değerlendirme dönemi ile bağlı
olmaksızın gerekli gördüğü takdirde, yeterlilik kararını gözden geçirerek
ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3)
Kurul, birinci veya ikinci fıkra uyarınca yeterlilik kararının
değiştirilmesine, askıya alınmasına veya kaldırılmasına neden olan durumun
düzeltilmesi amacıyla ilgili ülke veya uluslararası kuruluşun yetkili
makamlarıyla görüşebilir.
(4)
Yeterlilik kararının değiştirilmesine, askıya alınmasına veya kaldırılmasına
ilişkin olarak verilen kararlar Resmî Gazete’de ve Kurumun internet sitesinde
yayımlanır.
DÖRDÜNCÜ
BÖLÜM
Uygun
Güvencelere Dayalı Aktarımlar
Uygun
güvence sağlama yolları
MADDE
10- (1) Kişisel veriler, yeterlilik kararının bulunmaması durumunda,
Kanunun 5 inci ve 6 ncı maddelerinde
belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı
ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının
bulunması kaydıyla, ancak aşağıda belirtilen uygun güvencelerden birinin
aktarım taraflarınca sağlanması hâlinde yurt dışına aktarılabilir:
a) Yurt
dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile
Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek
kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan
anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak
ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla
yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden
ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul
tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve
alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler,
özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva
eden standart sözleşmenin varlığı.
ç)
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin
varlığı ve Kurul tarafından aktarıma izin verilmesi.
Uluslararası
sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanması
MADDE
11- (1) Uluslararası sözleşme niteliğinde olmayan anlaşmada yer
verilecek kişisel verilerin korunmasına yönelik hükümler vasıtasıyla,
Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşları ve yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası
kuruluşlar arasında yapılacak kişisel veri aktarımları bakımından uygun güvence
sağlanabilir. Anlaşma, kişisel veri aktarımının tarafları arasında akdedilir.
(2)
Anlaşmanın müzakere sürecinde Kurulun görüşüne başvurulur.
(3)
Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümler
özellikle aşağıdaki hususları içerir:
a)
Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
b) Kanun
ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
c)
Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik
taahhüt.
ç) İlgili
kişilerin anlaşma ve anlaşma kapsamında yapılacak kişisel veri aktarımı
hakkında aydınlatılmasına ilişkin usul ve esaslar.
d) Kişisel
verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde belirtilen
haklarının kullandırılmasına yönelik taahhüt ve bu hakların kullanımı amacıyla
yapılacak başvuruya ilişkin usul ve esaslar.
e) Uygun
veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirlerin alınacağına yönelik taahhüt.
f) Özel
nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen
yeterli önlemlerin alınacağına yönelik taahhüt.
g)
Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ)
Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin ihlali
hâlinde ilgili kişinin başvurabileceği hak arama yöntemleri.
h)
Anlaşmada yer verilecek kişisel verilerin korunmasına yönelik hükümlerin
uygulanmasına ilişkin denetim mekanizması.
ı) Veri
alıcısının, anlaşmada yer verilecek kişisel verilerin korunmasına yönelik
hükümlere uygunluk sağlayamaması hâlinde veri aktaranın veri aktarımını askıya
alma ve anlaşmayı feshetme hakkına sahip olacağına yönelik düzenleme.
i) Veri
alıcısının anlaşmanın feshedilmesi veya yürürlük süresinin sona ermesi hâlinde,
veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri yedekleri
ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri tamamen
yok edeceğine yönelik taahhüt.
(4)
Anlaşmaya dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için veri
aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru
kapsamında anlaşma metninin nihai hâli ve Kurul tarafından yapılacak
değerlendirme için gerekli diğer bilgi ve belgeler Kurula sunulur. Kişisel veri
aktarımına, Kurul tarafından izin verilmesinden sonra başlanır.
Bağlayıcı
şirket kurallarıyla uygun güvencenin sağlanması
MADDE
12- (1) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki
şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik
bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilir. Bağlayıcı
şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi
için Kurula onay başvurusunda bulunulur.
(2)
Yapılacak başvuru kapsamında bağlayıcı şirket kuralları metni ve Kurul
tarafından yapılacak değerlendirme için gerekli diğer bilgi ve belgeler Kurula
sunulur. Bağlayıcı şirket kurallarına ilişkin yapılacak başvuruda sunulan
yabancı dildeki her belgenin noter onaylı çevirisi başvuruya eklenir. Bağlayıcı
şirket kuralları metninin yabancı dilde de düzenlenmesi hâlinde Türkçe metin
esas alınır.
(3) Kurul
tarafından bağlayıcı şirket kuralları onaylanırken özellikle aşağıdaki hususlar
dikkate alınır:
a)
Bağlayıcı şirket kurallarının çalışanları da dâhil olmak üzere ortak ekonomik
faaliyette bulunan teşebbüs grubu bünyesindeki ilgili her üye bakımından
hukuken bağlayıcı ve uygulanabilir olması.
b)
Bağlayıcı şirket kurallarında, ilgili kişi haklarının kullanılabileceğine dair
taahhütte bulunulması.
c)
Bağlayıcı şirket kurallarının asgari olarak 13 üncü maddede belirtilen
hususları içermesi.
(4)
Kişisel veri aktarımına, bağlayıcı şirket kurallarının Kurul tarafından
onaylanmasından sonra başlanır.
Bağlayıcı
şirket kurallarında bulunması gereken hususlar
MADDE
13- (1) Bağlayıcı şirket kuralları asgari olarak aşağıdaki hususları
içerir:
a) Ortak
ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı
ve irtibat bilgileri.
b)
Kişisel veri kategorileri, işleme faaliyeti ve amaçları, ilgili kişi grubu veya
grupları ve aktarımın yapılacağı ülke veya ülkeler başta olmak üzere bağlayıcı
şirket kuralları kapsamında gerçekleştirilecek aktarımlara ilişkin hususlar.
c) Ortak
ekonomik faaliyette bulunan teşebbüs grubunun hem iç ilişkisinde hem de diğer
hukuki ilişkilerinde bağlayıcı şirket kurallarının hukuken bağlayıcı olduğuna
yönelik taahhüt.
ç)
Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum, kişisel verilerin
işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, veri
güvenliğinin sağlanmasına yönelik teknik ve idari tedbirler, özel nitelikli
kişisel verilerin işlenmesinde alınacak yeterli önlemler ve kişisel verilerin
sonraki aktarımına yönelik kısıtlamalar gibi veri koruma önlemleri.
d)
Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde
belirtilen hakları ile Kanunun 14 üncü maddesinde öngörülen usul ve esaslara
uygun olarak Kurula şikâyette bulunma hakkının kullandırılmasına yönelik
taahhüt ve bu hakların kullanımına ilişkin usul ve esaslar.
e)
Türkiye’de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket
kurallarının ihlalinde Türkiye’de yerleşik bir veri sorumlusu ve/veya veri
işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt.
f)
Kanunun 10 uncu maddesi uyarınca aydınlatma yükümlülüğü kapsamında ilgili
kişilere bilgi verilen konulara ilave olarak (ç), (d) ve (e) bentlerinde
belirtilenler başta olmak üzere bağlayıcı şirket kurallarına ilişkin hususlarda
ilgili kişilere ne şekilde bilgi verileceğine ilişkin açıklamalar.
g)
Çalışanlara kişisel verilerin korunması konusunda verilecek eğitime ilişkin
açıklamalar.
ğ) İlgili
kişi başvurularının sonuçlandırılması faaliyetleri dâhil olmak üzere, teşebbüs
grubunun bağlayıcı şirket kurallarına uyumunun takibinden sorumlu olan
kişilerin veya birimlerin görevleri.
h) İlgili kişilerin haklarının korunmasına yönelik düzeltici
faaliyetlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemleri başta
olmak üzere bağlayıcı şirket kurallarına uyumun teşebbüs grubu içinde
denetlenmesi ve doğrulanmasına yönelik mekanizmaları ve bunların sonuçlarının
(ğ) bendinde belirtilen kişi veya birime ve ilgili teşebbüs grubu bünyesindeki
hâkim şirketin yönetim kuruluna ve talebi üzerine Kurula sunulacağına dair
taahhüt.
ı)
Bağlayıcı şirket kurallarına ilişkin değişikliklerin raporlanması ve
kaydedilmesi ile bu değişikliklerin Kurula bildirilmesine ilişkin mekanizmalar.
i) (h)
bendinde belirtilen denetim ve doğrulama faaliyetinin sonuçlarının sunulması
başta olmak üzere teşebbüs grubunun üyeleri tarafından bağlayıcı şirket
kurallarına uyumun sağlanması amacıyla Kurum ile iş birliği yükümlülüğü.
j) Bağlayıcı şirket kuralları kapsamında aktarılacak kişisel
verilere ilişkin olarak, teşebbüs grubu üyelerinin aktarımın yapılacağı ülkede
veya ülkelerde bağlayıcı şirket kurallarının sağladığı güvencelere aykırı
herhangi bir ulusal düzenleme olmadığına dair taahhüt ve söz konusu güvenceler
üzerinde olumsuz bir etki yaratması muhtemel bir mevzuat değişikliği yapılması
hâlinde durumu Kurula bildirmeye yönelik mekanizmalar.
k)
Kişisel verilere sürekli veya düzenli olarak erişimi bulunan personele yönelik
uygun veri koruma eğitimlerinin verileceğine dair taahhüt.
(2)
Kurul, birinci fıkrada belirtilenlere ilave hususlar belirlemeye yetkilidir.
Bağlayıcı şirket kuralları başvurusunda kullanılacak belgeler Kurul tarafından
belirlenir.
Standart
sözleşmeyle uygun güvencenin sağlanması
MADDE
14- (1) Veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı
grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel
nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden
standart sözleşme vasıtasıyla uygun güvence sağlanabilir.
(2)
Standart sözleşme, Kurul tarafından belirlenerek ilan edilir.
(3)
Standart sözleşme metninin, üzerinde herhangi bir değişiklik yapılmaksızın
kullanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi
hâlinde Türkçe metin esas alınır.
(4) Standart
sözleşme, kişisel veri aktarımının tarafları arasında akdedilir. Standart
sözleşmenin, aktarımın taraflarınca veya tarafları temsile ve imzaya yetkili
kişilerce imzalanması zorunludur.
(5)
Standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde
fiziki olarak veya kayıtlı elektronik posta (KEP) adresi ya da Kurul tarafından
belirlenen diğer yöntemlerle Kuruma bildirilir. Aktarım tarafları standart
sözleşmede, bildirim yükümlülüğünün kimin tarafından yerine getirileceğini
belirleyebilir. Eğer bu konuda bir belirleme yapılmamışsa standart sözleşme
veri aktaran tarafından Kuruma bildirilir.
(6)
Yapılacak bildirime, standart sözleşmeyi imzalayanların yetkili olduğuna dair
tevsik edici belgeler ile yabancı dildeki her belgenin noter onaylı çevirisi
eklenir.
(7)
Kurulca ilan edilen standart sözleşme metninde değişiklik yapılması veya
standart sözleşmede aktarım taraflarından biri veya her ikisinin geçerli
imzasının bulunmaması hâlinde Kanunun 15 inci maddesi uyarınca Kurul tarafından
inceleme yapılır.
(8)
Standart sözleşme taraflarında veya standart sözleşme içeriğinde taraflarca yer
verilen bilgi ve açıklamalarda bir değişiklik olması veya standart sözleşmenin
sona ermesi hâlinde beşinci fıkrada belirtilen usule uygun olarak Kuruma
bildirim yapılır.
Taahhütnameyle
uygun güvencenin sağlanması
MADDE
15- (1) Aktarım tarafları arasında akdedilecek yazılı bir
taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler
vasıtasıyla uygun güvence sağlanabilir.
(2)
Taahhütnamede yer verilecek kişisel verilerin korunmasına yönelik hükümler
özellikle aşağıdaki hususları içerir:
a)
Kişisel veri aktarımının amacı, kapsamı, niteliği ve hukuki sebebi.
b) Kanun
ve ilgili mevzuata uygun olarak temel kavramlara ilişkin tanımlar.
c)
Kanunun 4 üncü maddesinde belirtilen genel ilkelere uyum sağlanacağına yönelik
taahhüt.
ç) İlgili
kişilerin taahhütname ve taahhütname kapsamında yapılacak kişisel veri aktarımı
hakkında aydınlatılmasına ilişkin usul ve esaslar.
d)
Kişisel verileri aktarılan ilgili kişilerin Kanunun 11 inci maddesinde
belirtilen haklarının kullandırılmasına yönelik taahhüt ve bu hakların
kullanımı amacıyla yapılacak başvuruya ilişkin usul ve esaslar.
e) Uygun
veri güvenliği düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirlerin alınacağına yönelik taahhüt.
f) Özel
nitelikli kişisel verilerin aktarılması hâlinde Kurul tarafından belirlenen
yeterli önlemlerin alınacağına yönelik taahhüt.
g)
Kişisel verilerin sonraki aktarımına yönelik kısıtlamalar.
ğ)
Taahhütnamenin ihlali hâlinde ilgili kişinin başvurabileceği hak arama
yöntemleri.
h) Veri
alıcısının aktarıma konu kişisel verilerin işlenmesi hususunda Kurulun karar ve
görüşlerine uyacağına yönelik taahhüt.
ı) Veri
alıcısının taahhütnameye uygunluk sağlayamamasına neden olacak ulusal
düzenlemenin bulunmadığına ve buna yol açabilecek muhtemel bir mevzuat
değişikliğini veri aktarana en kısa sürede bildireceğine dair taahhüt ile bu
durumda veri aktaranın veri aktarımını askıya alma ve taahhütnameyi feshetme
hakkına sahip olacağına yönelik düzenleme.
i) Veri
alıcısının taahhütnameye uygunluk sağlayamaması hâlinde veri aktaranın veri
aktarımını askıya alma ve taahhütnameyi feshetme hakkına sahip olacağına
yönelik düzenleme.
j) Veri
alıcısının taahhütnamenin feshedilmesi veya yürürlük süresinin sona ermesi
hâlinde, veri aktaranın tercihine bağlı olarak, aktarıma konu kişisel verileri
yedekleri ile birlikte veri aktarana geri göndereceğine ya da kişisel verileri
tamamen yok edeceğine yönelik taahhüt.
k)
Taahhütnamenin Türk hukukuna tabi olduğuna ve bir uyuşmazlık hâlinde Türk
mahkemelerinin görevli ve yetkili olduğuna yönelik düzenleme ile veri
alıcısının Türk mahkemelerinin yargı yetkisini tanımayı kabul ettiğine yönelik
taahhüt.
(3)
Taahhütnameye dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için
veri aktaran tarafından Kurula izin başvurusunda bulunulur. Yapılacak başvuru
kapsamında taahhütname metni ve Kurul tarafından yapılacak değerlendirme için
gerekli diğer bilgi ve belgeler Kurula sunulur. Taahhütnamenin yabancı dilde de
akdedilmesi hâlinde Türkçe metin esas alınır. Kişisel veri aktarımına, Kurul
tarafından izin verilmesinden sonra başlanır.
BEŞİNCİ
BÖLÜM
İstisnai
Aktarımlar
İstisnai
aktarım hâlleri
MADDE
16- (1) Kişisel veriler, yeterlilik kararının bulunmaması ve 10 uncu
maddede öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda,
arızi olmak kaydıyla sadece ikinci fıkrada belirtilen istisnai aktarım
hâllerinden birinin varlığı hâlinde yurt dışına aktarılabilir. Düzenli olmayan,
tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet
akışı içinde bulunmayan aktarımlar arızi niteliktedir.
(2)
İstisnai aktarım hâlleri şunlardır:
a) İlgili
kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık
rıza vermesi.
b)
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya
ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması
için zorunlu olması.
c)
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel
kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu
olması.
ç)
Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir
hakkın tesisi, kullanılması veya korunması için kişisel verilerin
aktarılmasının zorunlu olması.
e) Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu
olması.
f) Kamuya
veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta
sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin
talep etmesi kaydıyla aktarım yapılması.
(3)
İkinci fıkranın (f) bendi uyarınca yapılacak aktarımlarda aşağıdaki usul ve
esaslara uyulur:
a)
Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri
kategorilerinin tamamını içerecek şekilde gerçekleştirilemez.
b) Meşru
menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca
bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.
(4)
İkinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu
hukukuna tâbi faaliyetlerine uygulanmaz.
ALTINCI
BÖLÜM
Çeşitli
ve Son Hükümler
Tereddütlerin
giderilmesi
MADDE
17- (1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri
gidermeye ve bu Yönetmelikte yer almayan konularda, ilgili mevzuat hükümleri
çerçevesinde karar vermeye Kurul yetkilidir.
Yürürlük
MADDE
18- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE
19- (1) Bu Yönetmelik hükümlerini Kişisel Verileri Koruma Kurumu
Başkanı yürütür.