Anasayfa & Kişisel verilerin yurt dışına aktarılması

Kişisel verilerin yurt dışına aktarılması

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Giriş

Kişisel verilerin yurt dışına aktarımı, bireylerin özel hayatlarının gizliliği ile veri güvenliğinin korunması bakımından kritik öneme sahiptir. Bu kapsamda getirilen düzenlemeler, bir yandan ilgili kişilerin temel hak ve özgürlüklerini güvence altına almayı, diğer yandan da uluslararası veri akışlarının hukuka uygun ve öngörülebilir bir çerçevede yürütülmesini amaçlamaktadır.

2024 yılında 7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘‘KVKK’’ ve/veya ‘‘Kanun’’) 9. maddesinde yapılan değişiklikler ve akabinde 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (‘‘Yönetmelik’’) ile beraber, yurt dışına aktarım rejimi Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) uyum hedefi doğrultusunda yeniden yapılandırılmıştır. 01.09.2024 itibarıyla geçiş süreci tamamlanmış; açık rızaya dayalı, sürekli nitelikteki aktarımlar yerine yeterlilik kararı – uygun güvenceler – arızi/istisnai haller esasına dayalı üç kademeli bir sisteme geçilmiştir.

Kişisel Verilerin Yurt Dışına Aktarılabilme Koşulları

KVKK madde 9 ve anılan Yönetmelik uyarınca, kişisel verilerin yurt dışına aktarılabilmesi için önce Kanun’un 5 ve 6. maddelerinde yer alan işleme şartlarından en az birinin bulunması, ardından da aşağıdaki üç yoldan birinin karşılanması gerekmektedir:

Yeterlilik Kararının Bulunması

Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan biri sağlanmışsa, öncelikle veri aktarımı yapılacak ülke, bu ülkedeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının olup olmadığı kontrol edilmelidir. Yeterlilik kararı ülkenin tamamı yerine belirli sektörler için de verilebilecektir. Örneğin, otomotiv sektöründe faaliyet gösteren bir yabancı ülkeye yönelik yeterlilik kararı alınarak ticari iş birliklerinin kolaylaştırılması sağlanabilir. Böylece, söz konusu ülke/ sektör veya kuruluşa yapılacak veri aktarımları, ek bir güvence mekanizmasına ihtiyaç duyulmaksızın gerçekleştirilebilmektedir.

Uygun Güvencelerin Bulunması

Yeterlilik kararlarının bulunmadığı durumlarda, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan biri sağlandığı sürece, aktarılacak ülkede hakların korunması ve etkili kanun yollarının bulunması koşuluyla uygun güvencelerin (anlaşma, bağlayıcı şirket kuralları, standart sözleşmeler, yazılı taahhütname) bulunması koşulu ile yurt dışı aktarımı yapılması mümkündür:

Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları ile yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında imzalanan ve Kurul tarafından aktarım için uygun bulunan anlaşmalar,
Ortak ekonomik faaliyette bulunan teşebbüs gruplarında, Kurul tarafından onaylanmış bağlayıcı şirket kuralları,
Kişisel Verileri Koruma Kurulu (‘‘Kurul’’) tarafından ilan edilen içerikteki standart sözleşmeler,
Yeterli korumayı sağlayacak hükümlere yer veren ve Kurul’un izniyle geçerlilik kazanan yazılı taahhütnameler

İstisnai (Arızi) Aktarım Hallerinin Bulunması

Yeterlilik kararı ve uygun güvencelerden herhangi birinin bulunmadığı durumlarda, arızi olarak (tek seferlik veya süreklilik arz etmeyen) yapılacak aktarımlar için Kanun’un 9. Maddesi 6. Bendinde yer alan istisnai hallerden birinin varlığı halinde veri aktarımı yapılabilir.

7499 sayılı Kanun, kamu kurum ve kuruluşlarının faaliyetlerinde bazı istisnalara da yer vermiştir. Ayrıca, diğer kanunlardaki hükümler ve Türkiye’nin taraf olduğu uluslararası sözleşmeler de veri aktarımında göz önünde bulundurulmalıdır.

KVKK madde 5 ve 6 Kapsamında Kişisel Verilerin İşlenme Şartları

Kişisel verilerin yurt dışına aktarılması konusunda sadece Kanun’un 9. Maddesine değil; kişisel verilerin işlenme şartları ve özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen madde 5 ve 6’ya da bakılması gerekmektedir. İlgili maddelerde belirtilen şartlardan birinin bulunması durumunda ve diğer şartların (yeterlilik kararı, uygun güvence) sağlanması şartıyla kişisel veriler yurt dışına aktarılabilir. Bu noktada, yurt dışına aktarımın gündeme gelmesi halinde öncelikli olarak Kanun’un 5 ve 6’ncı maddelerini incelemekte yarar vardır.

Sonuç ve Değerlendirme

Kişisel verilerin yurt dışına aktarımı, hem bireysel hak ve özgürlüklerin korunması hem de uluslararası ticaret, dijital hizmetler ve teknoloji odaklı iş modellerinin sürdürülebilirliği açısından stratejik nitelikte bir konudur. 2024 yılındaki değişikliklerle birlikte Ocak, 2025’de yayınlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberiyle de, Türkiye’de yurt dışına veri aktarımına ilişkin rejim; yeterlilik kararları, uygun güvenceler ve arızi/istisnai haller ekseninde daha öngörülebilir, risk temelli ve GDPR ile uyumlu bir yapıya kavuşturulmuştur.

Saygılarımızla,

Atabay Hukuk Bürosu

Son Yazı & Gelişmelerimiz

25 Ara. 2025

Arsa Payı Karşılığı İnşaat Sözleşmelerinde Nama İfaya İzin Davası

ARSA PAYI KARŞILIĞI İNŞAAT SÖZLEŞMELERİNDE NAMA İFAYA İZİN DAVASI Giriş Arsa payı karşılığı inşaat sözleşmelerinde arsa sahipleri, sahip oldukları arsa paylarının belirli bir kısmını yükleniciye...

25 Ara. 2025

Muris Muvazaası Nedeniyle Tapu İptal ve Tescil Davası

MURİS MUVAZAASI NEDENİYLE TAPU İPTAL VE TESCİL DAVASI Giriş Miras hukukunda sıkça karşılaşılan uyuşmazlıklardan biri, miras bırakanın vefatından sonra ortaya çıkan, halk arasında "mirastan mal...

25 Ara. 2025

Haksız Rekabet Halleri İle İşletmelerin Korunmasına Yönelik Haklar

HAKSIZ REKABET HALLERİ İLE İŞLETMELERİN KORUNMASINA YÖNELİK HAKLAR Giriş Modern ticari yapının sağlıklı biçimde işleyebilmesi serbest ve adil bir rekabet ortamının varlığına bağlıdır. Günümüz piyasa...

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, işbu Aydınlatma Metni ilgili kişilerin Atabay Hukuk tarafından veri sorumlusu sıfatıyla işlenen kişisel verileri hakkında aydınlatılması amacıyla hazırlanmıştır. Atabay Hukuk kişisel verilerinize saygı duymaktadır ve kişisel verilerinizin güvenliğini sağlamak için mevcut mevzuat ve evrensel değerler çerçevesinde gereken tüm hassasiyeti azami ölçüde göstermektedir.

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, kişisel verilerinizi, belirttiğiniz görüş ve talepler doğrultusunda sizinle iletişim kurulması, taleplerinizin yerine getirilmesi, sözleşme kurulması veya ifası, ispat yükümlülüğünün yerine getirilmesi veya hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla güncel mevzuat çerçevesinde kanuni sınırlar ölçüsünde işlemektedir. Kişisel verileriniz anonimleştirilmek kaydı ile iç raporlama ve istatistik çalışmalar kapsamında işlenebilmektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad soyadınız ve e-posta adresinizden oluşan kişisel veriniz ve bulunması halinde, “Konu” ve “Mesaj” kısımlarında belirttiğiniz diğer kişisel verileriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli teknik hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir. Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme

Yukarıda sıralanan haklarınıza ilişkin taleplerinizi [email protected] veya [email protected] aracılığı ile iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

İş Başvurusu

Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni

İşlenen Kişisel Verileriniz ve İşlenme Amaçları

Atabay Hukuk, www.atabayhukuk.com.tr internet sitesinde yer alan iş başvuru formunu doldurmanız halinde, iş başvurunuz kapsamında, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kimlik, iletişim ve özlük kategorilerine ait kişisel verilerinizi işlemektedir. Tarafımıza ilettiğiniz özgeçmişinizde Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler olarak adlandırılan, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verilerinizin ve biyometrik ve genetik verilerinizin paylaşılmamasını rica ederiz. Özgeçmişinizde özel nitelikli kişisel verilerinize yer vermeniz halinde işbu verilerinizin işlenmesi için açık rıza gösterdiğiniz kabul edilecektir. Atabay Hukuk özgeçmişinizde yer alması halinde özel nitelikli kişisel verilerinizi işlemeyecektir ve bu verileri imha edecektir. Atabay Hukuk, belirtilen kişisel verilerinizi, iş başvurunuzun değerlendirilmesi ve işe alınacak çalışan adayının belirlenmesi amacıyla sınırlı olarak işlemektedir.

Kişisel Verilerinizin Toplanma Yöntemi ve İşlenmesinin Hukuki Sebebi

Yukarıda belirtilen kişisel verileriniz www.atabayhukuk.com.tr internet sitesi aracılığıyla tarafınızdan sağlanmaktadır. Atabay Hukuk, belirtilen kişisel verilerinizi, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartları kapsamında, iş sözleşmesinin kurulması, iş başvuru sürecinin yürütülmesi ve temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Atabay Hukuk’un meşru menfaatleri için işlemenin zorunlu olması hukuki sebebine dayanılarak işlenmektedir.

Kişisel Verilerinizin Aktarılması

Atabay Hukuk tarafından, ad-soyadınız, e-posta adresiniz, telefon numaranız ve özgeçmişinizden oluşan kişisel veriniz, Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları kapsamında, işleme amaçlarının gerçekleştirilebilmesi için gerekli hizmetlerin sağlanması amacıyla hizmet aldığımız üçüncü taraf şirkete aktarılabilecektir.

Bunun yanında, kanunlar uyarınca bir kamu idaresinin, kişi, kurum ya da kuruluşun kişisel verilerinizi talep etmeye yetkili olması halinde kişisel verileriniz, kişisel verilerin korunması mevzuatına uygun olarak yetkili kişi, kurum veya kuruluşa aktarılabilecektir. Yargı mercilerinden gelen talepler de yine mevzuata uygun olarak karşılanacaktır. Türk hukuku kapsamındaki söz konusu yükümlülükler doğduğunda, bahse konu veri işleme faaliyetinin yasal dayanağı, hukuki yükümlülüğe uyum veya sair surette, herhangi bir hakkın tesisi, kullanılması veya korunmasıdır.

Kişisel Verilerinizin Korunmasına İlişkin Haklarınız

İlgili kişi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
İlgili mevzuat uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme