Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu
05.02.2025 tarihinde Kişisel Verileri Koruma Kurumunun (“Kurum”) internet sitesinde yayımlanan “Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu” (“Duyuru”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu””) 9. maddesinde düzenlenen kişisel verilerin yurtdışına aktarılması sürecine ilişkin şartlar ele alınmış; uygulamada sıklıkla tercih edilen standart sözleşmelerin kullanımında yapılan hatalara dikkat çekilerek, bu sözleşmelerin hızlı ve hatasız şekilde uygulanmasına yönelik rehberlik sağlanmıştır.
Kişisel verilerin korunması hukuku gelişmekte olan bir alan olması sebebiyle, düzenlemelerin teknolojik gelişmelere uyum sağlayabilir olması gerekmektedir. Genel kuralların değişen faaliyet alanlarına hızlı şekilde uygulanabilir olması, bu kuralların daha geniş kapsamlı hale getirilmesi ile mümkün olabilmektedir. Dolayısıyla, KVK Kanunu hükümleri, daha ziyade çerçeve nitelikte olup uygulama, ağırlıklı olarak Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları ve Kurum’un yönlendirmeleri ile şekillenmektedir. Bu çerçevede Kurumun 02.01.2025 tarihinde yayımlamış olduğu “Kişisel Verilerin Yurtdışına Aktarılması Rehberi” (“Rehber”) ve Duyuru, henüz yerleşik bir uygulamaya geçiş yapamamış yurt dışı aktarımı hususunda önemli bir yönlendirme niteliği taşımaktadır.
1. Kişisel Verilerin Yurt Dışına Aktarılması ve Standart Sözleşme
Kişisel verilerin yurt dışına aktarılması süreci, usulü ve şartlar öngörülmüş olmasına rağmen, KVK Kanunu’nda açıkça tanımlanmamış olup bu eksiklik 10.07.2024 tarihinde 32598 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” (“Yönetmelik”) ile giderilmiştir. Yönetmelik’in 4(e) maddesi uyarınca KVK Kanunu kapsamında yurt dışı aktarımı, “kişisel verilerin bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” anlamına gelmektedir.
KVK Kanununun 9. maddesi uyarınca kişisel veriler, işlenmelerine dair şartların varlığı halinde öncelikli olarak Kurum tarafından verilmiş bir yeterlilik kararına dayalı olarak, ayrıca bir işleme ihtiyaç duyulmaksızın yurtdışına aktarılabilir. Bu kararın yokluğunda aynı maddede öngörülen uygun güvencelerin sağlanması halinde yurtdışına aktarılabilecektir. Verilecek bu kararın özellikle mütekabiliyet esasına dayanacağı ve verilerin korunmasının etkin bir şekilde sağlanması gerekliliğine sıkı şekilde dikkat edilmesi gerekliliği mutlaka göz önünde tutulmalıdır. Bununla beraber vurgulamak gerekir ki, Şubat 2025 itibarıyla herhangi bir ülke hakkında yeterlilik kararı çıkartılmamıştır.
Dolayısıyla güncel olarak yeterlilik kararının alternatifi olarak öngörülen güvencelere dayanılması gerekmektedir. Bu güvenceler KVK Kanunu’nun dördüncü fıkrasında aşağıdaki şekilde sayılmıştır:
“a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.”
İlgili maddelerin uygulamasına yönelik KVK Kanunu’nda daha detaylı bir açıklamaya yer verilmemiş olduğundan, özellikle Yönetmelik ve Rehber ile bu hususta daha detaylı düzenlemeler yapılmış ve işbu düzenlemeler örnekler vasıtasıyla açıklanmıştır. Altını çizmek gerekir ki, verilerin doğrudan yurt dışı ile paylaşımı ile birlikte kullanılan uygulama veya farklı platformlar üzerinden verilerin Türkiye Cumhuriyeti sınırları dışına çıkması, işlemin tarafları yurt dışında olmasa bile, bu çerçevede değerlendirilmektedir. Buna göre, yurtiçinde yapılan işler sırasında bulut sağlayıcılarının kullanılması veya yurt dışı merkezli e-posta sistemlerinin kullanılması, bu ülkelere aktarım anlamına geleceğinden ilgili işlemlerle ilgili gerekli uyumun sağlanması ve önlemlerin alınması, veri sorumlusunun yükümlülüğüdür.
2. Standart Sözleşme
Standart sözleşme, kanun koyucular tarafından yurt dışına veri aktarımı süreçlerinin tek tipleştirilmesi ve uygulamanın kolaylaştırılması amacıyla, özellikle Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (EU General Data Protection Regulation, “GDPR”) uyum süreci çerçevesinde getirilmiş ve Kurul tarafından taslakları yayımlanmış metinleri ifade eder (Yönetmelik md. 14). İşbu sözleşmelerin ekinde yer alan aktarıma ilişkin detaylı bilgilerin ve alınmış olan tedbirlerin ilgili veri sorumlusu veya veri işleyen tarafından doldurulması gerekmektedir. Bununla beraber, Kurum tarafından getirilmiş olan standart maddelerde değişiklik yapılması, izin verilmiş haller dışında mümkün değildir.
Somut olaya uygun standart sözleşmenin, taraflarca ilgili veri işleme ve aktarım süreçlerine uygun bir şekilde akdedilmesinden itibaren beş iş günü içinde Kuruma bildirilmesi gerekir. Bu bildirimin fiziki olarak veya elektronik ortamda KEP adresi vasıtasıyla yapılması mümkündür (Yönetmelik md. 14(5)). Rehber uyarınca sözleşmenin Kuruma bildirilmesinin ardından taraflarca ayrı bir işlem yapılması gerekmemektedir. Ancak sözleşme çerçevesinde gerçekleştirilen faaliyette bir değişikliğe gidilmesi veya herhangi bir sebeple sözleşmenin sona ermesi halinde Kuruma değişikliğin bildirilmesi zorunludur.
Özetle standart sözleşme vasıtasıyla KVK Kanunu’na uygunluk sağlanması yöntemi tercih edilecekse, Kurul tarafından hazırlanmış örnek metnin taraflarca doldurulup imzalanması ve Kuruma bildirilmesi, aktarımın mevzuata uygun yürütülmesi için yeterli olacaktır.
3. Değerlendirme
Duyuru, Kurum tarafından KVK Kanunu kapsamında standart sözleşmelerin geçerliliği, usul ve şekil şartları, bildirim yükümlülüğü ve uyulması gereken temel kurallar hakkında uygulamada sık karşılaşılan eksiklikleri düzeltme amacıyla hazırlanmıştır. Bu kapsamda standart sözleşmelerin KVK Kanunu kapsamında olduğu kadar aynı zamanda 6098 sayılı Türk Borçlar Kanunu’na (“TBK”) tabi olduğu bir kez daha hatırlatılmıştır. Sözleşmelerin konusu ve içeriği kişisel verilerin korunması ile ilgili olmakla beraber şekli ve usule ilişkin süreçlerin TBK uyarınca yürütülmesi gerekmektedir.
Metinde özellikle yetkisiz imza, bildirim aşamasındaki eksiklikler ve yabancı taraflarla akdedilen sözleşmelere vurgu yapılmıştır.
Buna göre, aktarımın tarafı tüzel kişilerin temsilcileri tarafından sözleşmenin imzalanması halinde mutlaka bu kişilerin temsil ve imzaya yetkilendirmiş olduğunun Kurum nezdinde de belgelenmesi gerekmektedir. Tarafların ve temsilcilerinin isimlerinin de bu belgelerle uyumlu olması gerekliliği izahtan varestedir.
Sözleşmenin diline ilişkin olarak, eğer standart sözleşme yabancı dilde düzenlenmişse, her iki tarafın da Türkçe metni imzalaması zorunludur. Çift sütunlu olarak hazırlanan sözleşmelerde dahi, Türkçe metnin yer aldığı sütunda hem veri aktaranın hem de veri alıcısının imzalarının bulunması gerekmektedir. Ayrıca, yabancı dilde hazırlanmış belgelerin noter onaylı Türkçe çevirileri de Kuruma sunulmalıdır. Bu durum, sözleşmenin resmi geçerliliğinin sağlanabilmesi ve ileride doğabilecek hukuki uyuşmazlıkların önüne geçilebilmesi açısından önem arz etmektedir.
Standart sözleşmelerin imzalanmasını takiben beş iş günü içinde fiziki olarak, kayıtlı elektronik posta (“KEP”) yoluyla veya Standart Sözleşme Bildirim Modülü üzerinden Kuruma bildirilmesi zorunludur. Bildirim süresinin aşılmaması açısından, tarafların imza tarihlerini açıkça belirtmeleri gerekmektedir. Sözleşmenin bildirim süresi içinde iletilip iletilmediğinin denetlenebilmesi için, imza tarihlerinin sözleşme metni üzerinde açık bir şekilde yazılması önem arz etmektedir.
Bunun yanı sıra, yabancı ülkelerde düzenlenen resmi belgelerin tasdik edilme sürecine ilişkin önemli hususlara da duyuruda yer verilmiştir. Türkiye’nin taraf olduğu Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi (Lahey Apostil Konvansiyonu) gereğince, taraf ülkelerde düzenlenen resmi belgeler için apostil şerhi yeterli kabul edilmektedir. Ancak, Türkiye’nin taraf olmadığı ülkelerden gelen belgelerde, ilgili belgelerin Türkiye’de geçerli sayılabilmesi için, ilgili ülke makamlarının tasdiki ve ülkemizin konsoloslukları veya diplomatik temsilcilikleri tarafından onaylanması gerekmektedir. Kuruma sunulacak her yabancı dildeki belgenin noter onaylı Türkçe çevirisinin de eklenmesi zorunludur.
KVK Kanunu kapsamında ilan edilen standart sözleşme metinleri, kişisel verilerin korunması açısından uygun güvence sağlayacak şekilde düzenlenmiş olduğundan, içeriğinde herhangi bir değişiklik yapılmaması hususu önem arz etmektedir. Kurum, yalnızca seçimlik veya alternatif maddelerde değişiklik yapılmasına izin vermektedir. Bunun dışında, metne herhangi bir ekleme, çıkarma veya revizyon yapılması halinde, sözleşmenin geçersiz sayılması hususu gündeme gelecektir. Bu durum, sözleşmelerin yalnızca kişisel veri aktarımı açısından değil, aynı zamanda hukuki geçerlilik bakımından da dikkatle ele alınması gerektiğini ortaya koymaktadır.
4. Sonuç
Kurumun yayımlamış olduğu Duyuru, yurtdışına kişisel veri aktarımı yapan veri sorumluları ve veri işleyenler için kapsamlı bir rehber niteliği taşımaktadır. Özellikle TBK’nın işaret edilmesi, yetkisiz imza durumlarının önlenmesi, Türkçe metnin imzalanması, noter onaylı çevirilerin eklenmesi, bildirim süresinin aşılmaması ve apostil/tasdik süreçlerinin eksiksiz yerine getirilmesi gibi hususlara dikkat çekilmesi açısından büyük önem arz etmektedir.
