Kişisel Verileri Koruma Kanunu’nda yapılan değişiklikle global firmalar müşteri verilerini yurtdışına taşıyabilecek
Resmi Gazete 12 Mart 2024 sayısında yayınlanan yeni KVKK değişiklikleri yurtdışında faaliyet gösteren firmaların müşteri verilerini yurt dışına aktarmalarına imkân veriyor. Bu değişiklikten sadece yeterlilik kararı bulunan firmalar yararlanacak.
Kişisel verilerin yurt dışına taşınmasını yasaklayan kanun değişikliği ile birlikte Türkiye’ye gelen doğrudan yabancı yatırımda düşüş yaşanmıştı. PayPal gibi büyük firmalar, Türkiye’den çekilmişti. Bu değişiklik, bu düşüşün eğrisini ters yöne doğru kırmayı hedefliyor. Benzer nedenlerden dolayı Türkiye’deki operasyonlarına son veren firmalar için geri dönüş mümkün görünüyor. Türkiye’de uzun bir süredir kullanılamayan PayPal, iPhone’da yer alan NFC tabanlı ödeme hizmeti Apple Pay gibi gelişmiş ödeme sistemleri ve X, Facebook, Instagram gibi yurtdışı tabanlı şirketleri ilgilendiren bu değişikliğe göre PayPal ve Apple Pay için tüm engeller ortadan kalkmış olabilir.
Kanun değişikliği ne diyor?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde Yapılan Değişiklikler Özeti
Yeterlilik Kararı:
Kişisel verilerin aktarılacağı ülke, sektör veya uluslararası kuruluş için Kurul tarafından yeterlilik kararı verilirse, veri sorumlusu ve veri işleyenler bu ülkeye veri aktarabilir.
Yeterlilik kararı 4 yılda bir gözden geçirilir ve gerekli görüldüğünde değiştirilebilir, askıya alınabilir veya kaldırılabilir.
Yeterlilik kararı verilirken dikkate alınacak kriterler şunlardır:
Karşılıklılık durumu
Kişisel verileri koruma mevzuatı ve uygulaması
Bağımsız ve etkin veri koruma kurumunun varlığı
Uluslararası sözleşmelere taraf olma durumu
Küresel veya bölgesel kuruluşlara üye olma durumu
Yeterlilik Kararının Bulunmaması Durumu:
Yeterlilik kararı yoksa, aşağıdaki uygun güvencelerden biri sağlanırsa veri aktarımı yapılabilir:
Uluslararası sözleşme niteliğinde olmayan anlaşma ve Kurul izni
Bağlayıcı şirket kuralları ve Kurul onayı
Kurul tarafından ilan edilen standart sözleşme
Yeterli korumayı sağlayacak yazılı taahhütname ve Kurul izni
Arızi Aktarım Haller:
Yeterlilik kararı ve uygun güvenceler yoksa, aşağıdaki hallerde arızi olarak veri aktarımı yapılabilir:
İlgili kişinin açık rızası
Sözleşmenin ifası veya öncesi tedbirler için zorunluluk
Kişi yararına sözleşmenin kurulması veya ifası için zorunluluk
Üstün kamu yararı
Bir hakkın korunması için zorunluluk
Acil durumlar
Kamuya açık sicilden aktarım
Bu haller kamu kurumlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
Sonraki Aktarım ve Uluslararası Kuruluşlar:
Yurt dışına aktarılan kişisel verilerin sonraki aktarımı ve uluslararası kuruluşlara aktarımı da bu kanun kapsamında değerlendirilir.
Diğer Hususlar:
Türkiye’nin veya ilgili kişinin menfaatinin ciddi zarar göreceği durumlarda Kurul izniyle veri aktarımı yapılabilir.
Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Kaynak: techinside