Kişisel Verilerin Korunması Kanunu'nda (“Kanun”) yapılan değişiklikler 1 Haziran 2024 tarihi itibariyle yürürlüğe girdi. Kanun'daki değişikliklere ilişkin hazırladığımız detaylı bülten için tıklayınız.
Veri sorumlularının değişiklikler çerçevesinde almaları gereken başlıca aksiyonlar özetle aşağıdaki gibidir:
1. Yurtdışı Aktarımlarda Uygun Güvencelerin Sağlanması
Düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve veri sorumlusunun olağan faaliyet akışı içinde bulunmayan aktarımlar hariç tüm yurt dışı veri aktarımları için, veri sorumluları ve veri işleyenler 1 Eylül 2024 tarihine kadar aşağıda belirtilen uygun güvencelerden birini sağlamalıdır:
- Bağlayıcı Şirket Kuralları: Çok uluslu şirketler topluluğunun bir parçası olan veri sorumluları, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanacak bağlayıcı şirket kurallarına ilişkin kılavuzlara uygun olarak grup içi veri aktarımlarına ilişkin bağlayıcı şirket kuralları hazırlayabilir ve Kişisel Verileri Koruma Kurulu'nun (“Kurul”) onayına sunabilir. Kurul tarafından onaylanan bağlayıcı şirket kuralları çerçevesinde yurt dışında bulunan hakim şirket ve iştiraklerine veri aktarımı yapılabilecektir.
- Taahhütname: Veri aktaran ve veri alan taraflarca Kanun'un ve Kurum'un ikincil düzenlemelerine uygun olarak kişisel veriler bakımından yeterli koruma sağlayan yazılı bir taahhütname hazırlanabilir ve Kurul'un izni için başvuru yapılabilir. Kurul tarafından izin verilen bir taahhütnamenin varlığı halinde taahhütnameye taraf olan kişilere veri aktarımı yapılabilecektir.
- Standart Sözleşmeler: Yukarıda belirtilen onay ve izinlerin olmaması durumunda, Kurul tarafından ilan edilecek standart sözleşmelerin imzalanması da mümkündür. Kurul tarafından ilan edilecek standart sözleşmelerde değişiklik yapılmadan imzalanması ve imzalanacak standart sözleşmelerin (imzaya yetkili kişilerin yetkilerini gösteren belgeler ve bu belgelerin noter onaylı Türkçe tercümeleri ile) Kurum'a imza tarihinden itibaren 5 iş günü içerisinde bildirilmesi gerekecektir. Kurul tarafından standart sözleşmelerin taslakları yayınlanmış olup kullanılacak sözleşme örneklerinin son hallerinin de kısa süre içerisinde ilan edilmesi beklenmektedir. Standart sözleşmelerin uygulanabilmesi için son halinin yayınlanması gerekmektedir. Ancak, bu güvenceyi sağlayarak yurt dışı aktarımlarına devam etmek isteyen veri sorumlularının, standart sözleşmelerin son halleri yayınlanıncaya kadar ön hazırlık olarak, yurt dışı aktarımlarını haritalamaları son derece önemlidir. Bu sözleşmelere, kimlerin taraf olacağı, veri aktaran ve veri alanın aktarılan kişisel verilere ilişkin faaliyetleri, ilgili kişi grupları, aktarılan kişisel verilerin kapsamı, aktarımların hukuki nedenleri, aktarım sıklığı, işleme faaliyetinin niteliği, aktarım ve devamında gerçekleştirilecek işleme faaliyetlerinin amaçları, saklama süreleri, alıcı grupları ve veri aktaranın varsa Veri Sorumluları Sicili bilgilerine yer verilmesi gerekecektir.
Yurt dışı aktarılan kişisel verilere ilişkin sonraki aktarımlar bakımından da yukarıdaki güvencelerden en az biri sağlanmalıdır.
2. Aydınlatma Metinlerinin Güncellenmesi
Özel nitelikli kişisel verilerin işlenmesine ilişkin yeni düzenlemeler yapılmış ve yeni hukuki nedenler belirlenmiştir. Aydınlatma metinlerinde veri toplamanın hukuki nedenini belirtmek durumunda olan tüm veri sorumluları, özel nitelikli kişisel verileri elde etme amaçlarını gözeterek aydınlatma metinlerini güncellemelidir. Örneğin, iş sağlığı ve yükümlülükleri kapsamında işçilerinin sağlık verilerini elde eden ve işleyen işverenler, artık “istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olduğu” gerekçesiyle açık rızaya ihtiyaç duymayacaktır. Aydınlatma metinlerinde bu verilerin açık rızaya dayanarak işlendiğinin belirtilmesi, aydınlatma metinlerinin yanıltıcı olmasına neden olacaktır.
Benzer şekilde, yurt dışı aktarım güvencelerini sağlayan veri sorumlularının güvence kapsamındaki aktarımları bakımından da aydınlatma metinlerini güncellemeleri gerekecektir.
3. Yurt Dışında Bulunan Veri Sorumlularının Veri Sorumluları Siciline Kaydolması
Bilindiği üzere, Türkiye'de mukim gerçek kişilerin kişisel verilerini işleyen ve yurt dışında bulunan tüm veri sorumlularının Türkiye'de bir temsilci atayarak Veri Sorumluları Sicili'ne kaydolması gerekmektedir. Kanun'da bu hususta herhangi bir değişiklik yapılmasa da henüz kayıt sürecini tamamlamayan yabancı veri sorumlularının bu süreci en kısa süre içerisinde tamamlamasını öneririz. Aksi halde, yurt dışı aktarımları için Kurum'a bildirecek standart sözleşmeler kapsamında bu veri sorumluları açısından idari para cezası riski bulunmaktadır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.