Küreselleşme ve dijitalleşme, veri paylaşımını kaçınılmaz hale getirirken, farklı ülkelerdeki düzenlemeler kişisel verilerin sınır ötesi aktarımını karmaşık bir süreç haline getirmektedir. Türkiye’de kişisel verilerin yurtdışına aktarımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında düzenlenmekte olup, 7499 sayılı Kanun ile önemli değişiklikler getirilmiştir.
KVKK ve 7499 Sayılı Kanun Kapsamında Güncellenen Düzenlemeler
01.06.2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile kişisel verilerin yurtdışına aktarımında aşamalı bir rejim benimsenmiştir. Bu kapsamda;
- Yeterlilik Kararı: Kurul, belirli ülkeler, sektörler veya uluslararası kuruluşlar hakkında yeterli korumanın bulunduğuna dair karar alabilir. Yeterlilik kararı her dört yılda bir gözden geçirilecek ve gerektiğinde askıya alınabilecektir.
- Uygun Güvenceler: Yeterlilik kararı bulunmayan durumlarda, veri sorumluları ve işleyenler bağlayıcı şirket kuralları, standart sözleşmeler veya Kurul’un onayladığı taahhütnameler gibi yöntemlerle veri aktarımı gerçekleştirebilir.
- İstisnai Haller: Ne yeterlilik kararı ne de uygun güvenceler sağlanamıyorsa, açık rıza, sözleşme gerekliliği veya kamu yararı gibi istisnai durumlarda veri aktarımı mümkündür.
Uyum Stratejileri ve Hukuki Yükümlülükler
Şirketlerin, kişisel verilerin yurtdışına aktarımıyla ilgili olarak mevzuata uyumu sağlamak adına aşağıdaki adımları atmaları gerekmektedir:
- Veri Envanteri Çıkarılması: Yurtdışına aktarılan verilerin niteliği, alıcıları ve aktarım amaçları net bir şekilde belirlenmelidir.
- Teknik ve İdari Tedbirler: Şifreleme, yetkilendirme, denetim mekanizmaları gibi güvenlik önlemleri uygulanmalıdır.
- Sözleşmeler ve Politika Güncellemeleri: Standart sözleşmeler veya bağlayıcı şirket kuralları oluşturulmalı ve düzenli olarak gözden geçirilmelidir.
- Kurul Onayları ve Bildirimler: Gerekli taahhütnameler hazırlanmalı ve Kurul onay süreçleri takip edilmelidir.
Cezai Yaptırımlar ve Riskler
KVKK’ya aykırı olarak gerçekleştirilen uluslararası veri transferleri, 2025 yılı itibariyle 71.965 TL’den 1.439.300 TL’ye kadar idari para cezalarına tabi olabilecektir. Bunun yanı sıra, hukuka aykırı veri transferleri nedeniyle ilgili kişilerin tazminat talep etme hakkı bulunmaktadır.
Sonuç olarak, kişisel verilerin uluslararası aktarımı konusunda şirketlerin mevzuata tam uyum sağlamaları, veri güvenliği önlemlerini eksiksiz uygulamaları ve hukuki yükümlülüklerini düzenli olarak gözden geçirmeleri gerekmektedir.
