Kişisel Verilerin Korunması Kanunu (KVKK), 2 Mart 2024 tarihinde yapılan bir değişiklikle yurt dışına kişisel veri aktarımı konusunda önemli değişiklikler getirmiştir. 1 Eylül 2024 tarihinde yürürlüğe girecek olan bu değişiklikler, bağlayıcı şirket kuralları ve standart sözleşmeler gibi yeni uluslararası veri aktarım yöntemlerini, açık rıza ve yeterlilik kararları gibi mevcut yöntemlerin yanına eklemektedir. 10 Temmuz 2024 tarihinde yayımlanan yeni düzenlemenin temel unsurları aşağıda özetlenmiştir:
Kurul Tarafından Yeterlilik Kararı: Verilerin yurt dışına aktarılması, Kurul’un hedef ülke, bu ülkedeki belirli sektörler veya uluslararası kuruluşlar için bir yeterlilik kararı vermesi durumunda mümkündür. Ancak, yeterli koruma sağlayan ülkeler veya sektörler listesi henüz Kurul tarafından yayımlanmamıştır.
Aktarım Tarafları Tarafından Uygun Güvence Sağlanması: Yeterlilik kararının bulunmadığı durumlarda, uygun güvenceler sağlandığı takdirde veri aktarımı yapılabilir:
- Uluslararası Olmayan Anlaşma: Kamu kurum ve kuruluşları arasındaki aktarımlar, Yönetmelik'te belirtilen asgari içeriği taşıyan bir anlaşmayı içermelidir ve Kurul'un onayı gerekmektedir.
- Bağlayıcı Şirket Kuralları (BCRs): Bir şirket grubu içindeki aktarımlar için kullanılan BCR'ler, hukuki olarak bağlayıcı, uygulanabilir olmalı ve veri koruma taahhüdü içermelidir. BCR'lerin Kurul tarafından onaylanması gerekmektedir.
- Standart Sözleşme Maddeleri (SCCs): Kurul tarafından onaylanan bir standart sözleşmeye dayalı veri aktarımı mümkündür. Standart sözleşmede yapılan değişiklikler Kurul'a bildirilmelidir.
- Taahhütname ile Uygun Güvence Sağlanması: Aktarım tarafları, Yönetmelik’in gerekliliklerini karşılayan bir yazılı taahhütname ile uygun güvenceler sağlayabilir ve Kurul'dan onay alması gereklidir.
İstisnai Aktarım: Yeterlilik kararı veya uygun güvencelerin bulunmadığı durumlarda, veri yalnızca istisnai ve arızi hallerde yurt dışına aktarılabilir, örneğin:
- Veri sahibinin açık rızası,
- Sözleşme ifası için zorunluluk,
- Üstün kamu yararı,
- Bir hakkın veya fiziksel bütünlüğün korunması
1 Eylül 2024'ten sonra, açık rıza yalnızca istisnai aktarımlar için kullanılabilir, bu da veri sorumluları ve işleyicilerin veri aktarım yöntemlerini gözden geçirmeleri ve buna göre güncellemeleri gerektiği anlamına gelmektedir.