KVKK yine maddeler değişti ama bu sefer önemli: 9. Maddeyi inceleyelim

KVKK yine maddeler değişti ama bu sefer önemli: 9. Maddeyi inceleyelim

KVKK yine maddeler değişti ama bu sefer önemli: 9. Maddeyi inceleyelim

Bugünkü dersimizde, Kvkk'nın değişen 9. Maddesi olan "Yurt dışına veri aktarılma usulleri" 'ni anlatmaya çalışacağım. Şaka şaka ders olarak görmeyin lütfen, daha önce söylediğim gibi; bir avukat kadar asla tecrübeli değilim haddime de düşmez baştan onu söyleyeyim. Ama ne var ki "Danışmancık" gibi davranan arkadaşlar ve hizmet aldığını düşünen kuruluşlar için ise biraz daha anlaşılabilir şekilde ifade etmeye çalışacağım.

Bir önceki yazımda 6. Madde olan Özel Nitelikli Kişisel Verilerin saklanması ile ilgili detaylardan bahsetmiştim. Açıkçası KVKK tarafındaki 2 kritik konudan birisi ÖNKV idi, diğeri ise herkesin kafasında uzun süredir soru işareti bırakan 9. Maddesi "Yurt dışı veri aktarımı" süreçleri idi. Çünkü yurt dışı veri aktarımında belirsizlikler vardı ve "kısmen" de olsa bu sorun açılmaya başlanmış oldu. Daha öncesinde özellikle kamu kurumlarının "yurtdışına veri aktarımı yasağı"'nı pek çok bakanlığın deldiğini hepimiz biliyoruz. İsim vermeyeceğim çoğunluktaki bakanlıklarımız zaten "Global Bulut sağlayıcılar" tarafından hizmet alırken, bir kurumumuz ise IT altyapısının yaklaşık %90 üzerindeki bir yapıyı "Bulutlarda sevap point" heyecanı ile taşımış bulunuyor. Ama durum şirketlere geldiğinde kıyametler kopabiliyor. Bunlar en azından biraz da olsa düzenlenmeye başladı çok şükür. 

Lafı uzatmadan haydi detaylara geçelim, bakalım neler değişmiş?

Kişisel verilerin yurt dışına aktarılma usulleri

Kişisel veriler, KVK Kanunun 5.ci ve 6.cı maddelerinde belirtilen şartlardan birinin varlığı ve aşağıda belirtilen hallerden birinin gerçekleşmesi durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

  • Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması.
  • Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, Kişisel Verilerin Yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmeliğinin 10.cu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması.
  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu, kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve kurul tarafından aktarıma izin verilmesi

Yeterlilik kararının bulunmaması ve Kişisel Verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında, yönetmeliğinin 10.cu maddede belirtilen uygun güvencelerden birinin taraflarca sağlanamaması durumunda kişisel veriler, arızi olmak kaydıyla sadece Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmeliğinin 16.cı maddede belirtilen istisnai hâllerden birinin varlığı hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

İstisnai aktarım hâlleri şunlardır:

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması

Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmeliğinin (3) ikinci fıkranın (f) bendi uyarınca yapılacak aktarımlarda aşağıdaki usul ve esaslara uyulur:

  • Aktarım, sicillerde yer alan kişisel verilerin veya kişisel veri kategorilerinin tamamını içerecek şekilde gerçekleştirilemez.
  • Meşru menfaati bulunan kişilerin erişimine açık sicillerden yapılacak aktarımlar yalnızca bu kişilere veya bu kişilerin talebi üzerine gerçekleştirilebilir.

Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmeliğinin ikinci fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak kurulun izniyle yurt dışına aktarılabilir.

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması hâlinde veri işleyen; veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun olarak hareket eder. Veri işleyen; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.

Kişisel verilerin veri işleyen tarafından yurt dışına aktarılması, kanunda ve bu yönetmelikte öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Veri sorumlusu, birinci fıkrada belirtilen teknik ve idari tedbirlerin veri işleyen tarafından alınmasını sağlamakla yükümlüdür.

Veri işleyenin, kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmeliğinin 14.cü maddenin beşinci fıkrası uyarınca standart sözleşmeyi bildirmekle yükümlü olması hâlinde veri işleyen veri sorumlusunun talimatına gerek duymaksızın bildirim yükümlülüğünü yerine getirir.

 

Peki gelelim asıl sorunun cevabına. Microsoft Cloud, Amazon Cloud vs. vs. caiz midir?

Yanıt evet. :)

Microsoft Türkiye Genel Müdürü bir açıklama ile duyurmuştu bu güzel haberi nasıl yapılacağı hakkında pek bilgi vermemişti. Yaptığı açıklama: “10 Temmuz 2024 tarihinde Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan Standart Sözleşmelerin, kurumsal anlaşma paketimizin bir parçası haline getirilmesini sağladık.” şeklinde söylemişti. Ancak bazı konular hala muallakta. Hali hazırda Microsoft bulut ve mail hizmeti kullanan kullanıcılar için; Microsoft standart sözleşmeyi imzalayıp kullanıcıları ile paylaşacak mı, yoksa bizim mi talep etmemiz gerekiyor? İmzalanmasından sonra kurula 5 iş günü içinde gönderilmesi gerekiyor. Gönderme işlemini Microsoft mu yapacak kullanıcılar mı yapacak? Bu doğrultuda sizin şu an iki seçeneğiniz bulunuyor.

Seçenek 1: Microsoft’a standart sözleşmeyi gönderip imzalaması sağlamak ve kuruma 5 iş günü içinde göndermek (hadi size kıyak yaptım alın size sözleşme) :))). Standart Sözleşme


Seçenek 2: Bir süre daha bekleyip ceza riskini göze almak, Microsoft’a daha detaylı açıklama yapması için başvurmak.

 

Not: Ancak şunu gözden kaçırmamak lazım Standart sözleşme ile yurtdışına veri aktarım izni sadece kanunun 5 ve 6. Maddelerindeki veri işleme şartlarına tabi olan süreçleri kapsamaktadır. Bu süreçlere dahil olmayan durumlarda hala açık rıza almanız gerekmektedir.

Yani özetle; Bulut teknolojileri kullanan şirketler, standart sözleşmeyi, global firmalar ile karşılıklı imzalayarak kurula iletmesi durumunda sürecinize devam edebiliyorsunuz.

Tavsiye mi? Elbette bu süreçlerin düzenlenmesi için danışmanlık almak en doğrusu. Ama 2.000 TL 'ye verbis kaydı yapanlarla değil, şirketinizi ortada yalnız başına bırakmayacak kuruluşlar ile çalışmanız gerekiyor. 

Bu arada unutmadan şöyle sorular gelebilir? Peki Microsoft hizmetlerini kullanıyoruz, sözleşmeyi imzalatmak için nasıl ve nereye ulaşmamız gerekiyor? Cevabı özelden yazarsanız iletişimlerini paylaşabilirim :))

Umarım faydam olmuştur. 

Regülasyonlara uyumlu, düşük riskli keyifli denetimleriniz olsun efendim :)

Sevgiler, saygılar.

kvkk yurtdışı veri aktarım cloud bulut microsoft amazon google regülasyon danışmanlık tavsiye sözleşme kurul kanun kişiselveri kişisel data protection
ÖNCEKİ
SONRAKİ
TALEP FORMU
Burak
Akmeşe
Markanızı Düşünen Çözümler

Burak Akmeşe
Bana ulaşın.
Bana ulaşın.

Lütfen Site Dili Seçiniz

Türkçe English