Kişisel Verileri Koruma Kurumu, Yurtdışına Veri Aktarımına İzin Veren İlk Kararını 9 Şubat 2021 Tarihinde Yayımladı

Kişisel Verileri Koruma Kurumu, Yurtdışına Veri Aktarımına İzin Veren İlk Kararını 9 Şubat 2021 Tarihinde Yayımladı

Yazdır

Türkiye Kişisel Verileri Koruma Kurumu (“Kurum”), TEB Arval Araç Filo Kiralama A.Ş.'nin kişisel verilerin yurt dışına aktarılmasına yönelik taahhütnamesinin kabulüne ilişkin kamuoyuna duyuru yayımladı. 9 Şubat 2021 tarihli duyuru ile Kurum, taahhütnameyi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 9/2 kapsamında değerlendirdiklerini ve söz konusu veri aktarımına izin verdiklerini beyan etti. Bu karar, yurtdışına veri aktarımı için Kurum tarafından verilen ilk izin olmuştur ve veri sorumluları tarafından verilmesi gereken taahhütnameler için emsal niteliği taşımaktadır.

Kurumun resmî web sayfasında yayınlanan direktiflere göre, yurtdışına veri aktarımı için verilmesi gereken taahhütname aşağıdakileri içermelidir:

  • Aktarım izin başvurularında, veri sorumlusunu temsil ve ilzama yetkili (başvurmaya yetkili kişinin) kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgeler
  • Veri alıcısının imza yetkisini kanıtlayan belgeler (5 Ekim 1961 tarihli "Lahey Apostil Sözleşmesi" yasallaştırma prosedürü takip edilecektir)
  •  Taahhütnamenin ve Ek-1’in sonunda imza ve kaşe ile her bir sayfasında ise imzacıların parafları
  • Yabancı dildeki belgelerin noter onaylı çevirileri
  • Kurumun resmi internet sitesinde yayımlanan Veri Sorumlusundan Veri Sorumlusuna Aktarım Taahhütnamesi Kopyası Otoritenin resmî web sayfasında yayınlanan taahhüdün kopyası (taraflar daha fazla madde ekler ise bunların ayrıca "Ek Hükümler" başlığı altında yer alması gerekmektedir)
  • Tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalar ve aradaki ilişkiyi gösteren belgeler (sözleşme vb.)
  • Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrası ile 6’ncı maddesinin üçüncü fıkrasında belirtilen kişisel veri işleme şartlarından hangisine dayalı olarak gerçekleştirildiği hususunu, aktarıma konu veri konusu kişi grubu, aktarım amacı ve kişisel veri kategorileri ile bunlar arasındaki bağlantıya yönelik anlaşılır ve detaylı açıklaması
  • Veri güvenliğinin sağlanması için alınan teknik ve idari önlemler hakkında açıklama (Kurumun Kişisel Veri Güvenliği Teknik ve İdari Önlemler Kılavuzu'na uygun olmalıdır)
  • Verilerin saklanması süresi ve verilerin işlenmesi için gereken azami meşru süre

Kurumun konu ile ilgili olarak yayınladığı kılavuza göre Taahhütname’ye hazırlanacak eklerde KVKK ile birebir terminoloji kullanılmalı ve cümleler gelecek zaman kipi ile oluşturulmalıdır.

Kılavuz ayrıca veri ilgilisi grubunun net bir şekilde belirtilmesi gerektiğini ve veri ilgilisi grubundan bahsedilirken "olası, potansiyel, gelecek, benzer, gibi" netlikten uzak ifadelerdin kullanılmaması gerektiğini belirtmiştir.

Son olarak, rızaya bağlı olarak veri aktarımlarının Taahhütnamelere konu olamayacağı da Kurum tarafından ifade edilmiştir.