Yurt Dışına Veri Aktarımı

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurt dışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.

Yeterli korumanın bulunması halinde ise; Kanunlarda açıkça öngörülmesi,fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve ya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması,bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde yurt dışına aktarılabilmektedir.

Yeterli korumanın bulunmaması halinde ise; Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin gerçekleşmesi, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması hallerinde yurt dışına aktarılabilmektedir.

9.2.1. Yeterli Koruma Bulunan Ülkelerin Belirlenmesinde Ve Kurulca Yurt Dışına Veri Aktarımına Verilecek İzinlerde Dikkate Alınacak Hususlar

• Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

• Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

• Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

• Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

• Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç hâlinde, ilgili kurum ve kuruluşların görüşünü de alarak karar verir.

10. Kanun Kapsamındaki Hak Ve Yükümlülükler

Kanunun 12.maddesi uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Teknik Tedbirler

· Yetki Matrisi

· Yetki Kontrol Erişim Logları

· Kullanıcı Hesap Yönetimi

· Ağ Güvenliği Uygulama Güvenliği

· Şifreleme Sızma Testi

· Saldırı Tespit ve Önleme Sistemleri

· Log Kayıtları

· Veri Maskeleme

· Veri Kaybı Önleme Yazılımları

· Yedekleme Güvenlik Duvarları

· Güncel Anti-Virüs Sistemleri

· Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi

İdari Tedbirler

· Kişisel Veri İşleme Envanteri Hazırlanması

· Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

· Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )

· Gizlilik Taahhütnameleri

· Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri

· İş Sözleşmesi

· Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

· Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

· Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

· Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

eri sorumlusu, kurum ve kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ve yaptırmak zorundadır. Veri sorumluları öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülükleri görevden ayrılmalarından sonra da devam eder. Öte yandan, veri sorumluları için düzenlenen sır saklama yükümlülüğü Kanunda ile veri işleyenler için de getirilmiştir.