Kişisel verilerin yurt dışına aktarım şartları, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında düzenlenmektedir. Bu şartlardan birisi de yine Kanun’da yer alan işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları tarafından yeterli koruma için yazılı taahhütte bulunulması ve Kişisel Verilerin Korunması Kurumu (“Kurum”) tarafından bu taahhütnameye onay verilmesidir. Kurum faaliyet göstermeye başladığından beri ilk olmak üzere, 9 Şubat 2021 ve 4 Mart 2021 tarihlerinde iki adet taahhütnamenin onayını açıklamıştır. Ayrıca, taahhütnamelere ilişkin olarak “Kişisel Verilerin Yurt Dışına Aktarılmasında Hazırlanan Taahhütnamelerde Dikkat Edilmesi Gereken Hususlar” başlıklı konuya 07 Mart 2020 tarihinde Kurum’un sitesinde yer alan kamuoyu duyurusunda yer verilmiş ve Kurum tarafından gerçekleştirilen 24 Mart 2021 tarihli Çarşamba Semineri’nde ele alınmıştır. Bu değerlendirmeler kapsamında, taahhüt mektubu başvurularında usule ve esasa ilişkin dikkat edilmesi gereken hususlar belirlenmiştir.
A) Usule ilişkin dikkat edilmesi gereken hususlar şunlardır:
1) Gerçek veri sorumlusu tarafından başvuru dosyasına, başvuruya yetkili kişinin adı, soyadı, adresi, imzası ve imza yetkisini gösteren belge dahil edilmelidir. Tüzel kişiler adına yapılan başvuruların ise, başvurucunun yetkisini tasdik eden belgelerle temsil ve ilzam yetkisine sahip kişilerce yapılması gerekmektedir. Başvuru vekil tarafından yapılırsa, vekâletnamenin aslı veya onaylı kopyası dahil edilmelidir.
2) Taahhütname ve EK-1’in sonunda imza ve kaşe; diğer sayfaların her birinde ise imzalayanların parafları bulunmalıdır.
3) İmza sahiplerinin yetkisini göstermesi bakımından Türkiye’de yerleşik şirketler için, imza sirkülerinin aslı veya onaylı sureti eklenmiş olmalıdır. Veri aktarımı yapılan ülkenin 1961 Lahey Sözleşmesine taraf olması durumunda, imza yetkisini belirten ve apostil şerhi içeren belgenin aslı veya onaylı kopyası dahil edilmelidir. Anılan Sözleşmeye taraf olan ülkelerin resmi makamları tarafından hazırlanan her belge apostil şerhi içermelidir.
4) Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.
5) Taahhütname hazırlanırken, Kurum’un resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır.
Başvuruların KVKK tarafından usule ilişkin incelemesinden sonra esasa ilişkin incelemeye geçilir.
B) Esasa ilişkin dikkat edilmesi gereken hususlar şunlardır:
1) Aktarımın tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve buna göre Kurum sitesinde yayımlanan Taahhütname örneklerinden uygun olan kullanılmalıdır.
2) Aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde Taahhütname ile gönderilmesi gerekmektedir.
3) Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır.
4) Birbiriyle ilişkili başlıklar arasında yeterli açıklamalar yapılarak bağ kurulmalıdır.
5) Açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilmemelidir.
6) Kanunda sayılan genel ilkelere veri işleme faaliyetinin tüm süreçlerinde uyulması gerekmektedir.
C) EK-1’de yer alan başlıklar altında yer verilen açıklamalarda dikkat edilmesi gereken hususlar şunlardır:
1) Veri konusu kişi grubu ve grupları
“Veri konusu kişi ve kişi grupları” belirtilirken muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
2) Veri kategorileri
“Veri kategorileri” belirlenirken, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine riayet edilmelidir. Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurularak, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
3) Veri aktarımının amaçları
Veri aktarımının amaçları, “Veri Kategorileri” başlığında belirtilen veri kategorileri ile bağ kurularak açıklanmalıdır. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi prensibi altında, kişisel verilerin işlenme amacı sınırları belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.
4) Veri aktarımının hukuki sebebi
Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunda belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.
5) Alıcı ve alıcı grupları
Kanuna göre, yurt dışındaki alıcı gruptan sonraki devam eden aktarıma (“onward transfer”) izin verilmemektedir. Ancak, alıcı grubun hukuki yükümlülükleri gereğince yetkili kamu kurum ve kuruluşlarına onward transfer mümkün olmakla beraber, eğer bu yetkili kurum ve kuruluşlar belirlenebiliyorsa, bunların açıkça ortaya konulması gerekmektedir.
6) Veri alıcısı tarafından alınacak teknik ve idari tedbirler
İlgili bölüm düzenlenirken, “Teknik ve İdari Tedbirler Hakkında Rehber”in dikkate alınması, taahhüt edilen teknik ve idari tedbirlerin ayrı başlıklar halinde açıklanarak, bu tedbirlere ilişkin tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
7) Özel Nitelikli Kişisel veriler için alınan ek önlemler
İlgili bölüm düzenlenirken, Kişisel Verileri Koruma Kurulunun 31 Ocak 2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirleri tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
8) Veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
Kayıt yükümlülüğünün bulunmaması halinde bu husus gerekçesi ile birlikte, kayıt yükümlülüğünün bulunması halinde ise VERBİS bilgileri bu kısımda açıklanmalıdır.
9) Ek faydalı bilgiler
Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup; kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir. Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.
10) İrtibat kişisi iletişim bilgileri
11) “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “Veri Sorumlusu” ve “Veri İşleyen” başlıkları
Bu başlıklar altında yapılacak açıklamalarda veri sorumlusu ve veri işleyenin faaliyet alanlarının açıklanması ile veri sorumlusunun veri aktarımına, veri işleyenin ise aktarım sonrasında gerçekleştireceği işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konulması gerekmektedir.
12) “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “İşleme faaliyetleri” başlığı
Aktarılan kişisel verilerin ne tür bir işleme faaliyetine tabi tutulacağı anlaşılır detayda ve netlikte ortaya konulmalıdır.