Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:
6698 sayılı Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması bakımından aynı şartları aramakla birlikte kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Buna göre, kişisel verilerin yurtdışına aktarılması için 6698 sayılı Kanunda belirlenmiş şartlar maddeler halinde aşağıda detaylandırılmıştır.
İlgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. Açık rıza alınması hakkında detaylı bilgi için tıklayınız.
Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;
a) Aktarılacak veri özel nitelikli kişisel veri değilse;
6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
b) Aktarılacak veri özel nitelikli kişisel veri ise;
6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
NOT: Yeterli korumanın bulunduğu ülkeler için tıklayınız.
halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri aşağıdaki yöntemlerle gerçekleştirilebilecektir:
İlgili kişinin açık rızasının bulunmadığı ve kişisel verinin aktarılacağı ülkenin yeterli korumaya sahip olmadığı durumda; kişisel verinin yurt dışına aktarılabilmesi için Kanunun 5 inci maddesinin 2 nci fıkrası ile 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kurul tarafından kabul edilerek ilan edilen “Taahhütnameler”dir.
Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir.
Veri Sorumlusundan Veri Sorumlusuna Aktarım
Veri Sorumlusundan Veri İşleyene Aktarım
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek bir diğer yöntem “Bağlayıcı Şirket Kuralları”dır.
Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu
Veri Sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman