Günümüzde kişisel verilerin korunması, dijitalleşmenin ve uluslararası ticaretin artmasıyla birlikte giderek daha önemli bir konu haline gelmiştir. Teknolojinin gelişmesiyle birlikte kişisel verilerin yurt dışına aktarımı yaygınlaşmış, bireylerin dijital dünyadaki mahremiyetini koruma gereksinimi her geçen gün daha da artmıştır. Türkiye’de bu alandaki en temel yasal düzenleme, 2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur (KVKK). Bu kanun, bireylerin temel hak ve özgürlüklerini korumayı ve kişisel verilerin hukuka uygun bir şekilde işlenmesini sağlamayı amaçlamaktadır. Kanunun yürürlüğe girmesinden bu yana, kişisel veri işleme süreçlerinde şeffaflık ve güvenlik standartlarının belirlenmesinde önemli bir rol oynamıştır. Özellikle kişisel verilerin yurt dışına aktarılması gibi kritik konularda güvenli veri transferine ilişkin standartlar sağlamlaştırılmıştır.
KVKK'nın yürürlüğe girmesinden sonra, kişisel verilerin korunmasına yönelik birçok ikincil düzenleme ve rehber yayımlanmıştır. Bu bağlamda, "8. Yargı Paketi" olarak bilinen 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12 Mart 2024 tarihli Resmi Gazete'de yayımlanmış ve KVKK'nın GDPR ile uyumlu hale getirilmesi için birtakım değişiklikler yapılmıştır.
Bu kapsamda, 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik", kişisel verilerin yurt dışına aktarılması konusunda usul ve esasları belirlemiş olup, veri sorumluları ve veri işleyenler açısından bağlayıcıdır. Bu yazıda, yönetmeliğin getirdiği yeni düzenleme araçlarından biri olan standart sözleşmeler ve küresel ölçekteki yeri ele alınacaktır.
KVKK Kapsamında Bazı Tanımlar
·Veri aktaran, kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyen kişi ya da kişileri ifade eder.
·Veri alıcısı, veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyen kişi ya da kişileri belirtir.
·Kişisel verilerin yurt dışına aktarılması, Kişisel Verilerin Korunması Kanunu kapsamında yer alan bir veri sorumlusu veya veri işleyen tarafından, kişisel verilerin yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir yöntemle erişilebilir hâle getirilmesi anlamına gelir. Bu kapsamda, kişisel verilerin doğrudan yurt dışına gönderilmesinin yanı sıra bir sisteme yüklenmesi ve bu sisteme yurt dışından erişilmesi de kişisel veri aktarımı olarak kabul edilir.
Standart Sözleşmeler
Standart Sözleşmeler, kişisel verilerin yeterli veri koruma seviyesine sahip olmayan ülkelere aktarımı sırasında kullanılan hukuki araçlardan biridir. Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin dördüncü fıkrasında, yeterlilik kararının bulunmaması durumunda, Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, anılan fıkrada belirtilen uygun güvencelerden birinin taraflarca sağlanması hâlinde kişisel verilerin yurt dışına aktarılabileceği hükme bağlanmıştır. Dördüncü fıkrada belirtilen c bendine göre, Kurul tarafından yayımlanan standart sözleşmenin imzalanması, ek bir izin gerektirmeden veri aktarımına olanak tanıyacaktır.
Bu sözleşmeler, kişisel verilerin yurtdışına aktarımı esnasında veri güvenliğini sağlamak amacıyla oluşturulmuş sabit hükümler içermektedir. Veri sorumlusu ile veri işleyen veya veri alıcısı arasındaki ilişkiyi düzenleyen bu sözleşmeler, yurt dışına veri aktarımı sırasında veri sahibi haklarının korunmasını sağlar.
Standart Sözleşmeler, kişisel verilerin veri sorumlusu ve veri işleyenlerce aktarılabileceği dört muhtemel senaryoya özgü sözleşme metinleri olarak yayınlanmıştır.
1) Standart Sözleşme (Veri Sorumlusundan Veri Sorumlusuna), Türkiye’de yerleşik veri aktaran ve yurt dışında bulunan veri alıcı veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
2) Standart Sözleşme (Veri Sorumlusundan Veri İşleyene), Türkiye’de yerleşik veri sorumlusunun yurt dışındaki bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
3) Standart Sözleşme (Veri İşleyenden Veri İşleyene), Türkiye’de yerleşik veri işleyenin yurtdışındaki başka bir veri işleyene kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
4) Standart Sözleşme (Veri İşleyenden Veri Sorumlusuna), Türkiye’deki bir veri işleyenin, yurtdışındaki veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir.
Standart Sözleşmeler sırasında dikkat edilmesi gereken birtakım unsurlar bulunmaktadır:
Standart Sözleşmeler sırasında dikkat edilmesi gereken birtakım unsurlar bulunmaktadır:
* Standart sözleşme metinleri, Kurul tarafından yayımlandığı haliyle kullanılmalı ve üzerinde herhangi bir değişiklik yapılmamalıdır
* Sözleşmenin asıl metni her zaman Türkçe olmalıdır.
* Sözleşme, kişisel verilerin aktarımına taraf olanlar arasında imzalanmalı ve sadece tarafların imza ve temsil yetkisine sahip kişilerince onaylanmalıdır.
* İmzaların tamamlanmasının ardından, sözleşme beş iş günü içerisinde fiziksel olarak, kayıtlı elektronik posta (KEP) yoluyla ya da Kurulun belirlediği diğer yöntemlerle Kurum’a bildirilmelidir.
* Taraflar, bildirim yükümlülüğünü kimin yerine getireceğine kendileri karar verebilirler; kararlaştırılmadığı durumlarda bildirim veri aktaran tarafından yapılmalıdır
* Kurum’a yapılacak bildirimde, imzalayan tarafların yetkilerini gösteren belgeler ve yabancı dildeki belgelerin noter tasdikli çevirileri de sunulmalıdır.
* Sözleşme metninde değişiklik yapılması ya da imza yetkililerinin yetkisiz olduğunun belirlenmesi durumunda, Kurul KVKK Madde 15’e göre inceleme başlatabilir.
* Taraflarda veya sözleşme içeriğinde yer alan bilgilerin değişmesi ya da sözleşmenin sona ermesi durumunda, bu değişiklik de beş iş günü içinde Kurum’a bildirilmelidir.
Dünyada Standart Sözleşmeler
Benzer şekilde Avrupa Birliği’ndeki Standart Sözleşme Hükümleri (SCC'ler) yer almaktadır. Avrupa Komisyonu, 4 Haziran 2021 tarihinde, veri sorumluları (data controllers) ve veri işleyenler (data processors) arasında kullanılmak üzere bir dizi standart sözleşme hükmü (Standard Contractual Clauses - SCC) kabul etmiştir. Bu hükümler, Avrupa Ekonomik Alanı (EEA) dışındaki ülkelere kişisel veri aktarımı için de kullanılacak şekilde düzenlenmiştir. Söz konusu SCC’ler, Avrupa Birliği'nin web sitesinde bilgi verici nitelikte yayımlanmış olup, AB içinde veri aktarım süreçlerinde önemli bir rol oynamaktadır.
Bu standart sözleşme hükümlerinin temel amacı, veri aktarım süreçlerinde hem düzenlemelerin standartlaştırılması hem de önceden onaylanarak kullanıma hazır hale getirilmesidir. Böylece bu hükümler, kullanımı kolay ve güvenilir bir araç olarak veri sorumluları ve işleyenler tarafından tercih edilmektedir. Türkiye'deki standart sözleşmelere benzer şekilde, AB’deki SCC'ler de, özellikle üçüncü ülkelerle yapılan veri transferlerinde, taraflarca değiştirilemez. Ancak, AB hukukuna göre, SCC'lere yalnızca onaylanmış ek maddeler veya düzenlemeler eklenebilir ya da çıkarılabilir. Bu onaylanma süreci, veri koruma otoriteleri tarafından gerçekleştirilir. Bu da Veri aktarım süreçlerinin güvenilirliğinin bir göstergesidir.
Sonuç olarak, Kişisel verilerin uluslararası aktarımı, dijitalleşmenin hızla ilerlediği dünyamızda güvenli veri transferini sağlamak adına kritik bir konudur. Türkiye’de KVKK çerçevesinde geliştirilen standart sözleşmeler, veri güvenliğini temin etmek ve kişisel verilerin yurtdışına aktarımı sırasında veri sahibi haklarının korunmasını sağlamak için önemli bir araç olarak ön plana çıkmaktadır. Avrupa Birliği’nde kullanılan Standart Sözleşme Hükümleri (SCC'ler) ile benzer nitelikteki bu düzenlemeler, küresel veri koruma standartları ile uyumlu olma hedefi taşımaktadır. Hem Türkiye’de hem de küresel ölçekte, standart sözleşmelerin veri sorumluları ve veri işleyenler arasında güvenilir ve düzenlenmiş bir veri aktarım sürecine olanak tanıması, mahremiyetin korunmasında önemli bir rol üstlenmektedir.
Kaynakça
Comentarios