KVKK, kişisel verilerin yurt dışına aktarımını kolaylaştırıyor!
KVKK yeterlilik kararı verebilecek
Verilerin yurt dışına aktarılabilmesi için yeterlilik kararı bulunması veya güvence şartlarından birinin sağlanması şartı aranıyor. Kişisel Verileri Koruma Kurumu; bir ülkenin, ülke içerisinde bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına yönelik olarak yeterlilik kararı verebilecek. Yeterlilik kararı bulunması durumunda kişisel veriler yurtdışına aktarılabilecek. Yeterlilik kararları en geç dört yılda bir yeniden değerlendirilecek.
Yeterlilik kararı yoksa bu şartlardan herhangi birinin bulunması yeterli
Yeterlilik kararının bulunmaması durumunda ise ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıdaki güvencelerden herhangi birinin sağlanması durumunda verilerin yurtdışına aktarılmasına izin verilecek:
- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Birkaç seferlik aktarımlara “istisnai aktarım izni” verilecek
Yeni düzenleme, yeterlilik kararının bulunmaması veya yukarıdaki güvencelerden en az birinin karşılanmaması durumunda; tek veya birkaç seferde gerçekleşen, süreklilik arz etmeyen aktarımlara izin veriliyor. Bunun için aşağıdaki şartlardan en az birinin karşılanması gerekiyor:
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- fKamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.