Yurtdışına Aktarım

Yurtdışına Aktarım

Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin varlığı gerekir:

  • İlgili kişinin açık rızasının bulunması,
  • Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması,
  • Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, aktarılacak kişisel verinin niteliğine göre 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrası veya 6 ncı maddesinin 3 üncü fıkrasında belirtilen işleme şartlarının mevcut olması, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

6698 sayılı Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması bakımından aynı şartları aramakla birlikte kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörmüştür. Buna göre, kişisel verilerin yurtdışına aktarılması için 6698 sayılı Kanunda belirlenmiş şartlar maddeler halinde aşağıda detaylandırılmıştır.

1- İlgili kişinin açık rızasının bulunması

İlgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. Açık rıza alınması hakkında detaylı bilgi için tıklayınız

2- Yeterli korumanın bulunması

Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;

a) Aktarılacak veri özel nitelikli kişisel veri değilse;

6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

b) Aktarılacak veri özel nitelikli kişisel veri ise;

6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde, 
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde

yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.

NOT: Yeterli korumanın bulunduğu ülkeler için tıklayınız.

3- Yeterli korumanın bulunmaması halinde

Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;

halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri aşağıdaki yöntemlerle gerçekleştirilebilecektir:

İlgili kişinin açık rızasının bulunmadığı ve kişisel verinin aktarılacağı ülkenin yeterli korumaya sahip olmadığı durumda; kişisel verinin yurt dışına aktarılabilmesi için Kanunun 5 inci maddesinin 2 nci fıkrası ile 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kurul tarafından kabul edilerek ilan edilen “Taahhütnameler”dir.

Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenmiştir.

Veri Sorumlusundan Veri Sorumlusuna Aktarım
Veri Sorumlusundan Veri İşleyene Aktarım

Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek bir diğer yöntem “Bağlayıcı Şirket Kuralları”dır.

Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu
Veri Sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Doküman