Kişisel verilerin yurt dışına aktarılmasına ilişkin esaslar belirlendi. Detaylar Resmi Gazete’nin bugünkü sayısında verildi.
10 Temmuz 2024 Tarihli ve 32598 Sayılı Resmî Gazete’de konu hakkında şu açıklamalar yapıldı: “Kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak kanunda ve yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilir. Kişisel verilerin veri işleyen tarafından aktarılması hâlinde ayrıca veri sorumlusunun talimatlarına da uyulması zorunludur. Kişisel veriler, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hâllerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması. b) Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması.
(2) Yeterlilik kararının bulunmaması ve 10 uncu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda kişisel veriler, arızi olmak kaydıyla sadece 16. maddede belirtilen istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.
Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, Kanunda ve bu Yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, birinci fıkrada belirtilen teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür. Veri işleyenin, 14 üncü maddenin beşinci fıkrası uyarınca standart sözleşmeyi bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.”
Yönetmelik kapsamında, “Kurul, kişisel verilerin yurt dışına aktarımı ile ilgili olarak bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilir.” açıklaması yapılıyor ve burada bir yeterlilik kararının verilmesi gerektiği belirtiliyor. Bu yeterlilik kararının dört yılda bir yeniden değerlendirileceği açıklanıyor: “Yeterlilik kararı, en geç dört yılda bir yeniden değerlendirilir. İlgili yeterlilik kararında, yeniden değerlendirme dönemleri açıkça belirlenir. Kurul, yeniden değerlendirme sonucunda ilgili ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da uluslararası kuruluşun yeterli düzeyde koruma sağlamadığını tespit etmesi hâlinde kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.”