Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından hazırlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Daha önce Hukuk Sirkülerimizde açıklanan kanun değişikliği ile yürürlüğe giren yeni veri aktarım rejiminin uygulama detayları Yönetmelik ile açıklığa kavuşturulmuştur. Yönetmelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun 9. maddesi uyarınca kişisel verilerin yurt dışına aktarılmasına taraf veri sorumlularını ve/veya veri işleyenleri etkilemektedir.

Yeterlilik kararları, uygun güvenceler ve istisnai aktarım halleri olmak üzere üç aşamadan oluşan veri aktarım rejimi kapsamında Yönetmelik, standart sözleşmeler haricinde, uygun güvenceler yoluyla kişisel veri aktarımına başlanabilmesi için Kurum’un izninin zorunlu olduğunun altını çizmiştir. Yönetmelik ayrıca; anlaşmalar, bağlayıcı şirket kuralları, standart sözleşmeler ve yazılı taahhütname gibi uygun güvence sağlama yollarına ilişkin ayrıntıları düzenlemekte ve metinlerde yer verilecek zorunlu hükümler, taahhütler, önlemler vb. gibi asgari içerik gerekliliklerini belirlemektedir. Yeni veri transferi rejimine ilişkin çerçeveye ek olarak, Yönetmelik’te öne çıkan birtakım hususlar aşağıda bilgilerinize sunulmuştur:

• Anlaşmaların müzakere sürecinde Kurum’un görüşüne başvurulacaktır.
• Standart sözleşmelerin içeriği değiştirilemeyecektir.
• İstisnai aktarım halleri bakımından arızi olma şartının; düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan durumları kapsayacağı açıklığa kavuşturulmuştur.

Önemle belirtmek gerekir ki eski veri aktarım rejimi 1/9/2024 tarihinden itibaren yürürlükten kalkacak ve bu tarihten sonra yalnızca yeni aktarım rejimi geçerli olacaktır.