Kişisel Verilerin Yurt Dışına Aktarımı İçin Merakla Beklenen Rehber Yayımlandı: İşte Dikkat Çeken Hususlar

Geride bıraktığımız 2024 yılında, kişisel verilerin korunmasına yönelik mevzuat, GVKT’ye uyum sağlamak amacıyla gözden geçirilmiş ve özellikle yurt dışı veri aktarımına ilişkin düzenlemelerde reform niteliğinde görülebilecek köklü değişiklikler gerçekleştirilmiştir. Bu süreçte, Kurum, veri sorumluları ve veri işleyenler için, standart sözleşmeler, ayrıca bağlayıcı şirket kuralları başvuru formlarına ilişkin taslakları yayımlamış ve yeni düzenlemeleri ayrıntılı bir şekilde düzenleyen Yönetmelik’i yürürlüğe koymuştur. Bunlar uygulamada yeni düzenlemeye ilişkin ortaya çıkan belirsizliklerin giderilmesine yönelik Kurum’un attığı ilk önemli adımlardır. 

Veri sorumluları ve veri işleyenler, 1 Eylül 2024 tarihine kadar yeni yurt dışı veri aktarım rejimine uyum sağlamak için yoğun çaba sarf etmiştir. Ancak, yeni Kanun ve Yönetmelik hükümleri yeknesak bir şekilde yorumlanmamış, bu durum uygulamada çeşitli belirsizliklere ve görüş ayrılıklarına yol açmıştır. Bu gelişmeler, uygulamacıların açıklığa duyduğu ihtiyacı ve mevzuatın daha net bir şekilde açıklanması gerekliliğini ortaya koymaktadır.

İşte, 2025 yılının ilk günlerinde, Kurum tarafından uzun süredir beklenen yurt dışı veri aktarımına ilişkin Rehber, belirsizlikleri gidermek ve özellikle standart sözleşmelerin hazırlanmasında yeknesaklık sağlamak amacıyla 2 Ocak’ta yayınlanmıştır.

2. Kanun’un Uygulama Alanı

2.1. Mülkilik ve Etki İlkesi: Kapsam ve Çelişkiler

Rehber’in yayımlanmasına kadar, Kişisel Verileri Koruma Kurulu (Kurul), Kanun’un uygulama alanını hangi hukuki temele dayanarak belirlediğini kamuoyu ile paylaşmamıştı. Kanun’un uygulama alanının, Kabahatler Kanunu’nun atfıyla, Türk Ceza Kanunu’nun yer bakımından uygulama alanı kuralları ile belirlendiği değerlendirilmekteydi. Kurul’un, bu yaklaşımı esas aldığı bazı yayımlanmamış kararları da mevcuttu. 

Kurum, Kanun’un yer bakımından uygulanmasına ilişkin yaklaşımını Rehber’de ilk kez açıklamıştır. Buna göre, 5237 sayılı Türk Ceza Kanunu’nun 8. maddesi kapsamında, fiilin kısmen veya tamamen Türkiye’de işlenmesi ya da neticenin Türkiye’de gerçekleşmesi durumunda suç Türkiye’de işlenmiş sayılmaktadır. Aynı şekilde, kabahatler de bu koşullar altında Türkiye’de gerçekleşmiş sayılacaktır (mülkilik ilkesi). Mülkilik ilkesi bakımından, davranış ve neticenin aynı ül- kede gerçekleşmesi gerekmez. Davranışın gerçekleştiği yer ile neticenin gerçekleştiği yer farklı olsa da bunlardan herhangi biri Türkiye’de gerçekleşmişse, Kanun uygulama alanı bulacaktır. Rehber’e göre Türkiye’de yerleşik kişilerin verilerinin yabancı veri sorumluları tarafından işlenmesi durumunda, fiil Tür- kiye’de işlenmiş ya da netice Türkiye’de gerçekleşmişse, bu veri sorumlularının Kanun’a tabi olması gerekecektir. 

Kurum, Rehber’de bir yandan mülkilik ilkesinin ge-   niş bir şekilde yorumlanması gerektiğine dair görüşünü belirtirken, daha önce Kurul kararlarında ve Kurum rehberlerinde yer verilmeyen etki ilkesine de de- ğinmiştir. Rehber’de etki ilkesinin tanımı doğrudan   yapılmamış olmakla birlikte, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’na atıfta bulunularak, veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde gerçekleşmesi ve ihlalin sonuçlarının Türkiye’de yerleşik kişileri etkilemesi, bu kişilerin Türkiye’de sunulan ürün ve hizmetlerden faydalanmaları durumunda, söz konusu veri sorumlusunun aynı usullerle Kurul’a bildirimde bulunmasına karar verildiği ifade edilmiştir. Rehber’de bu kararda etki ilkesinin temel alındığı, mülkilik ilkesinin ise dikkate alın- madığı vurgulanmıştır.

Kanaatimize göre, bu ifadeler arasında bir çelişki bulunmaktadır. Eğer bir netice Türkiye’de yerleşik ilgili kişileri etkiliyorsa, bu durum neticenin Türkiye’de gerçekleşmesi olarak geniş bir şekilde yorumlanabilir. Dolayısıyla da Kanun’un uygulanması gerektiği kabul edilebilir. Bu durumda, etki ilkesine başvurulmasına gerek olmayacaktır. O halde, etki ilkesine başvurulmasının sebebi, Kurum’un neticenin Türkiye’de yerleşik kişileri etkilemesini, neticenin Türkiye’de gerçekleşmesi olarak değerlendirmemesi ve neticenin Türkiye’de gerçekleşmediği durumlarda bile Kanun’un etki ilkesi üzerinden uygulanacağını düşünmesinden kaynaklanıyor olabilir. Daha önce Kurum tarafından ifade edilmemiş olan “etki ilkesinin” kavramının uygulanma koşulları ve etkinin ne zaman doğacağı açık bir şekilde tanımlanmamıştır. Yeni bir kavram olması nedeniyle, bu ilke çeşitli tartışmalara zemin hazırlayabilecektir. Ayrıca, Kurum’un GVKT m. 3’te yer alan hedefleme ilkesine değinmemesi, GVKT’yi esas almayacağı yönünde bir tercih olarak yorumlanabilir. Bununla birlikte, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul Kararı’ndaki ifadeler, hedefleme ilkesinde öngörülen kriterlere benzer unsurlar barındırmaktadır. Bize göre, uygulanma koşulları açık olmayan bir “etki ilkesinin” benimsenmesi yerine, mülkilik ilkesinin geniş yorumlanması daha sağlam ve hukuken tercih edilebilir bir yaklaşım olacaktır. Sonuç olarak, Rehber’deki açıklamalar, Kurum’un Kanun’u mümkün olduğunca geniş bir coğrafi alanda uygulanabilir kılma yönünde bir yaklaşım benimsediğini açıkça ortaya koymaktadır.

2.2. Veri Aktarımına Geniş Bakış

Rehber’de, veri aktarımı kavramına ilişkin çeşitli örneklerle bu terimin kapsamı netleştirilmiştir. Örneğin, bir hesap oluşturulması, mevcut bir hesaba erişim hakkı verilmesi, uzaktan erişim için etkili bir talebin onaylanması ya da kabul edilmesi, bir sabit sürücünün yerleştirilmesi veya bir dosyaya şifre gönderilmesi gibi faaliyetler, kişisel verilerin aktarımına örnek olarak verilmiştir. Rehber’de yer alan özellikle dikkat çekici bir örnek ise, sorun giderme veya yönetim amacıyla sunulan destek hizmetleridir. Eğer bu tür hizmetler kapsamında yurtdışından bir veri görüntülemesi gerçekleşirse, yurt dışına aktarımın diğer koşullarının da gerçekleşmesi şartıyla bu görüntülemenin bir yurt dışına veri aktarımı olarak kabul edileceği ifade edilmiştir. Bahsedilen diğer koşullar ise, veriyi aktaranın Kanun’a tabi olması ve veriyi alıcısının, Kanun’a tabi olup olmamasına bakılmaksızın, üçüncü bir ülkede yerleşik olmasıdır. Rehber’deki bu açıklamalar, yurtdışına aktarım kavramını uygulama açısından faydalı olacak şekilde detaylandırmıştır. 

3. Doğrudan Toplama ve Aktarım: Nasıl Ayırt Edilir?

Rehber’de, kişisel verilerin doğrudan ilgili kişiden elde edildiği durumların, kişisel verilerin yurt dışına aktarımı olarak değerlendirilemeyeceği net bir şekilde ifade edilmiştir. İlgili kişiden doğrudan elde edilen ve bu süreçte ilgili kişi ile verileri elde eden taraf arasında herhangi bir üçüncü kişinin bulunmadığı doğrudan toplama faaliyetlerinin, kişisel verilerin yurt dışına aktarımı kapsamında olmadığı açıkça ortaya konmuştur. Bu yaklaşım, doğrudan toplama işlemlerinin, yurtdışına veri aktarımı ile aynı hukuki değerlendirmeye tabi tutulamayacağını vurgulamaktadır.

Kurum tarafından yapılan bu değerlendirme, Yönetmelik’te yer alan “Kişisel verilerin yurt dışına aktarılması” tanımı ile de uyumludur. Bu tanım, kişisel veri- lerin, Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından, yurt dışında bulunan bir veri sorumlusu veya veri işleyene aktarılması durumunda yurt dışına aktarım olarak değerlendirileceğini ifade etmektedir. Bu bağlamda, bir faaliyetin kişisel ve- rilerin yurt dışına aktarımı olarak nitelendirilebilmesi için, veri aktaran ve veri alıcısı arasındaki ilişkinin varlığı temel bir gereklilik olarak ortaya konmuştur. 

Uygulamada sıkça ifade edilen bir diğer husus, kişisel verilerin doğrudan elde edilmesinin yurt dışına aktarım olarak nitelendirilmemesine rağmen, bu süre- ci takip eden aktarımların yurt dışına aktarım teşkil edip etmeyeceğiydi. Rehber’de verilen örnekler, takip eden aktarımların yurt dışına aktarım teşkil edeceği yaklaşımını desteklemektedir. Buna göre, ilgili kişiden doğrudan elde edilen kişisel veriler, Türkiye dışında bulunan bir veri alıcısına aktarılırsa, Kanun’un yurt dışına aktarım hükümleri devreye girecektir.

Kurum’un bu açıklamaları, özellikle WhatsApp kararında ortaya çıkan belirsizliklerin giderilmesine önemli ölçüde katkı sağlamaktadır. Bu karardaki bazı ifa- deler, yurt dışında bulunan bir veri sorumlusunun Türkiye’deki ilgili kişiden doğrudan kişisel veri toplama faaliyetinin dahi yurt dışına kişisel veri aktarımı olarak değerlendirilebileceği yönünde yorumlanmaya elverişliydi.

 Ancak, Kurum’un Rehber’deki açıklamaları uygulamada doğabilecek karışıklıkları önlemek adına önemli bir açıklık sağlamaktadır. 

Rehber’e göre, Kanun’a tabi bir üçüncü ülkedeki veri sorumlusunun Türkiye dışındaki başka bir ülkeye veri aktarması durumunda, Kanun’un yurt dışına veri aktarımına ilişkin hükümleri uygulanacaktır. Rehber’de verilen bir örneğe göre, veri işleyenin veri sorumlusuyla aynı ülkede olup olmamasının bu değer- lendirmeyi etkilemeyeceği, Türkiye dışında bir veri işleyenin bulunmasının yeterli olacağı belirtilmiştir. Bu örnekte Türkiye’de yaşayan bir kişinin internetten çanta satın alırken adı, soyadı ve e-posta adresini bir forma girmesi, eğer internet sitesi Türkiye’de mukim olmayan ancak Türkiye pazarını hedefleyen bir üçün- cü ülke şirketi tarafından işletiliyorsa, bu şirketin verileri doğrudan toplaması olarak değerlendirilmektedir. Bununla birlikte, eğer veri sorumlusu, siparişlerin işlenmesi için Türkiye dışında bir veri işleyenden yararlanıyorsa, bu durum kişisel verilerin yurtdışına akta- rımı olarak kabul edilecektir (Rehber Bölüm 4(A) Örnek-2).

4. Ortak Veri Tabanı: Grup Şirketleri ve Veri Saklama Süreçleri

Uygulamada, özellikle grup şirketleri içinde alt şirketin ana şirketle veri paylaşımının nasıl değerlendirileceği tartışılmaktaydı. Rehber'e göre, bir alt şirketin çalışanlarının verilerini merkezi bir insan kaynakları veri tabanında saklamak için üçüncü bir ülkedeki ana şirkete iletmesi durumunda, alt şirket işveren ve veri sorumlusu rolünde, ana şirket ise veri işleyen rolündedir (Rehber Bölüm 4(A) Örnek-7).

Her ne kadar örnek beklenen açıklıkta olmasa da bu örnek hizmet sağlayıcılardan hizmet almak için bir sözleşme imzalayan ana şirketin bu hizmeti alt hesaplarla alt grup şirketlerince kullanabilir hale getirmesi halinde; alt şirketin veri sorumlusu, ana şirketin veri işleyen, hizmet veren şirketlerin de alt veri işleyen olarak konumlandırmasına dayanak teşkil edebilecektir.

 5. Uluslararası Sözleşme ve  Diğer Kanunlardaki Yurt Dışına  Veri Aktarımı Hükümlerinin Önceliği

Rehber, yurt dışına veri aktarımı ile ilgili uluslararası sözleşmelerde veya diğer kanunlarda bir hüküm bulunması halinde kişisel verilerin bu hükümler uyarınca aktarılabileceğini belirtmektedir. Bu durumda, uygun güvenceler, istisnai aktarım durumları veya yeterlilik kararı öncesinde, yurt dışına veri aktarımının ilk aşamasında usulüne göre yürürlüğe konulmuş uluslararası sözleşmenin ya da diğer kanunlarda bir hüküm bulunup bulunmadığının değerlendirilmesi gerektiği ifade edilmektedir.

Kurum Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’nde, bu konuyla ilgili daha önce bir açıklama yapmıştı. Bu kapsamda, Bankacılık Kanunu'nda yer alan "Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan" hükümlerin Kanun’a nazaran öncelikli olarak uygulanacağını belirtilmişti. 

Bizce, Rehber’de de vurgulanan bu yaklaşım, özel kanunları yurt dışına kişisel veri aktarımı içeren regüle edilmiş sektörler açısından kolaylaştırıcı olacaktır. Hatta Rehber’de yer verilen örnek, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un -mevcut durumda yürürlükten kalmış olsa da- bazı maddeleridir. Ek olarak, ortada regüle bir sektörü düzen- leyen özel bir kanun hükmü olmasa dahi herhangi     bir kanunda yurt dışına kişisel veri aktarımı içeren bir düzenleme varsa öncelikle bunun uygulanması, Kanun’un 9. maddesindeki diğer hallerin dikkate alınmaması gerektiği söylenebilir. Diğer bir ifadeyle, başka kanunlarda özel olarak kişisel verilerin yurt dışına aktarılması düzelenmiş ise, veri sorumlusunun standart sözleşme gibi güvenceleri sağlamasına gerek olmadığı gibi istisnai hallerin bulunduğunu ortaya koyması gerekmeyecektir.

6. Öne Çıkan Uygun Güvenceler

6.1. Arızi Aktarımlar

Yeni aktarım rejimi ile getirilen en önemli değişikliklerden biri, yeterlilik kararının olmaması ve uygun güvencelerin sağlanamaması durumunda, arızi olması kaydıyla -yani tek veya birkaç kez gerçekleşen, süreklilik arz etmeyen ve normal faaliyet akışı içinde    bulunmayan istisnai durumlarda- Kurum'dan izin almadan kişisel verilerin yurt dışına aktarılabilmesidir. 

Ancak uygulamada, ne tür aktarımların arızi aktarım olarak kabul edilebileceği konusunda bir fikir birliği yoktur.

Rehber, arızi durumlarda gerçekleşen veri aktarımlarının istisnai bir durum olarak değerlendirilmesi ve çok dar bir yorumla ele alınması gerektiğini ifade etmektedir. 

Rehber'e göre, düzenli bir şekilde yapılan veri aktarımları, veri aktaran ile veri alıcısı arasında süregelen bir ilişkinin sonucu olarak sistematik ve sürekli tekrarlanan bir aktarım olarak kabul edilir ve arızi bir aktarım kapsamına girmez. Bu nedenle, bir veri alıcısına doğrudan bir veri tabanına erişim izni verilmesi, düzenli ve süreklilik arz eden bir aktarım olarak kabul edilecektir ve arızi aktarımlara dahil edilmeyecektir.

Yönetmelik’in 16. maddesinde düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi aktarım olarak tanımlanmaktadır. Rehber ayrıca, arızi aktarımların birden fazla kez meydana gelebileceğini belirtmektedir. Ancak bu aktarımların istisnai olarak nitelendirilebilmesi için düzenli, sürekli veya öngörülemeyen koşullar altında ve belirsiz zaman aralıklarında gerçekleşmesi gerekir. Örnek olarak bir turizm şirketinin müşterilerinin rezervasyon bilgilerini paylaşması, işletmenin rutin iş prosedürlerinin bir parçası olduğundan, arızi bir aktarım veya istisnai bir hal olarak kabul edilemeyecektir.

Rehber, açık rızanın yurt dışına aktarım yapılmadan önce alınması gerektiğini vurgulamaktadır. Aktarımın kesin olmadığı hallerde ise ileride gerekebileceği dü- şüncesiyle önceden açık rıza alınmamalıdır. Rıza, aktarımın planlandığı anda ve sadece bu işlem hakkında verilmelidir. 

Veri aktaranın kimliği, aktarımın amacı, kişisel verilerin kategorileri, açık rızanın geri alınabilirliği, aktarım için yasal bir gerekçe, güvenli ülke kararının bulunmadığı ve olası riskler, arızi aktarımlar için açık rıza bilgilendirmesinde olmalıdır. 

Rehber ayrıca, ilgili kişilerin, kişisel verilerinin yeterli koruma sağlayamayan bir ülkeye aktarılacağı konusunda bilgilendirilmesi gerektiğini ve ilgili kişinin aktarılan ülkede verilerin korunmasına yönelik yeterli güvenlik önlemlerinin bulunmadığı ve bu durumdan kaynaklanan özel tehlikeler hakkında açık bir şekilde bilgilendirilmesi gerektiğini belirtmektedir.

6.2. Standart Sözleşmeler

Kanun değişikliği ve ardından yayımlanan Yönetmelik ile standart sözleşmelere ilişkin birçok yeni düzenleme getirilse de standart sözleşmelerin açık bir tanımı yapılmamıştı. Bu eksikliği gidermek adına Ku- rum Rehber’de, standart sözleşmeleri, kişisel verileri aktaran veri sorumlusu veya veri işleyen ile kişisel verilerin aktarıldığı veri sorumlusu veya veri işleyen arasında kişisel verilerin yurt dışına aktarımına ilişkin uygun güvencelerin sağlandığını taahhüt eden ve içeriği Kurul tarafından belirlenen model sözleşmeler şeklinde tanımlamıştır. 

Ayrıca Kurum, kişisel verilerin yurt dışına aktarımında kullanılacak farklı senaryolara göre hazırlanmış 4 tip standart sözleşme taslağı yayımlamış olsa da, uygulamacılar arasında bu sözleşmelerin hazırlanmasıyla ilgili -özellikle sözleşme eklerinin doldurulmasına ilişkin- bazı fikir ayrılıklarının olduğu biliniyordu. İşte, Rehber ile bu fikir ayrılıklarının bir kısmı açıklığa kavuşturulmuştur.

Buna göre: 

• Standart sözleşmeler, birden fazla dilde çift sütunlu olarak düzenlenebilecektir. Ancak her durumda Türkçe metnin esas alınacaktır.
• Her ne kadar standart sözleşmelerin Ek-1’inde “Kişisel Veri Kategorileri” başlığı şeklinde bir ifade kullanılmış olsa da, Rehber’de söz konusu başlıkta veri kategorisine ek olarak kişisel veri türlerine de yer verilmesi gerektiği ifade edilmiştir. Rehber’de yer alan bu ifadeden, Kurum’un söz konusu başlık altında yalnızca yurt dışına aktarılan kişisel veri kategorilerine yer verilmesini yeterli görmeyeceği ve ek olarak kişisel veri türlerini de arayacağı anlaşılmaktadır.
• Aktarılan kişisel veri türleri ilgili olduğu kişi grubu/ grupları ile eşleştirilmelidir.
• Kişisel verilerin veri aktaran tarafından yurt dışına aktarımına ilişkin amaçlara ek olarak, veri alıcısının işleme amaçlarına da yer verilmelidir.

Standart sözleşmeler, aktarımın tarafları arasında imzalanmalıdır.

• Taraflar arasında akdedilen standart sözleşmelerin Kurum’a bildiriminde yabancı bir ülkeden alınan resmî belgelerin kullanılması halinde, söz konusu resmî belgeler Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesi'ne taraf bir yabancı ülkeden alınmışsa ek olarak apostil şerhi de alınmalı, aksi takdirde belgelerin ilgili yabancı ülkedeki konsolosluk veya diplomatik memurlar tarafından tasdik edilmesinin bekleneceği belirtilmiştir. 
• Standart sözleşmede aktarımın, Kanun’daki hangi işleme şartına dayanılarak gerçekleştirileceği belirtilmelidir. Ancak Rehber’in, Kanun değişikliği yapıldığından beri uygulamada devam eden: “Yurt dışına aktarımda ayrı bir hukuki sebep belirlenmeli mi, yoksa ana işleme faaliyet için dayanılan hukuki sebep (diğer bir ifade ile toplamanın hukuki sebebi) aktarım için de geçerli olur mu?” şeklindeki tartışmaya net bir cevap vermediği görülmektedir. Kanaatimizce, Rehber’de “Aktarımın hukuki sebebi” kısmında aktarıma ilişkin bir hukuki sebep yazılması gerektiği belirtildiğinden, bu kısımda veri toplama faaliyetinin hukuki sebebinin yazılmasının beklenmediği şeklinde bir çıkarımda bulunmak pek tabii mümkün görünmektedir. Fakat her halükârda, Rehber’in güncellenmesi halinde belirsizliğin de netleştirilmesi henüz yeni yeni şekillenmekte olan uygulama açısından faydalı olacaktır. 

6.3. Bağlayıcı Şirket Kuralları Başvuruları

Bilindiği üzere, Kanun değişikliğinden önce kişisel verilerin yurt dışına aktarılmasına ilişkin uygun güvence olarak Kanun’da yalnızca taahhütnameler öngörülmüştü. Ancak, çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından da taahhütna- melerin kullanılıp kullanılamayacağına ilişkin uygulamada ortaya çıkan belirsizlikleri gidermek adına, Kurul tarafından çok uluslu topluluk şirketleri arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere “Bağlayıcı Şirket Kuralları” kabul edilmişti. Kanun değişikliği ile bağlayıcı şirket kuralları, Kanun’da açıkça düzenlenen bir uygun güvence yöntemi haline gelmiştir.

Rehber’de, bağlayıcı şirket kurallarına dayanarak kişisel verilerin yurt dışına aktarılabilmesi için, bu aktarımın yalnızca Kurum’un onayı ile mümkün olacağı belirtilmiştir. Bu bağlamda, Kurum onayı alınmadan yurt dışı aktarım işlemlerine başlanması, -önceki yurt dışı aktarım rejiminde taahhütname başvurularının onaylanmasından önce aktarım faaliyetlerine başlanmasında olduğu gibi- yaptırım riski doğurabilecektir. Ancak, Kurum’un bağlayıcı şirket kuralları başvurularına ilişkin verdiği onay, her veri işleme faaliyetinin Kanun’a tamamen uyumlu olup olmadığına dair Kurum’un bir değerlendirme yaptığı anlamına gelmemektedir. Veri aktaranın, gerçekleştirdiği her bir ak- tarım özelinde Kanun’un gerekliliklerinin yerine getirildiğinden kendisinin emin olması gerekmektedir. 

Rehber’de değinilen bir diğer önemli husus ise, çok uluslu şirketler topluluğunun merkezi Türkiye’de yer alıyorsa bağlayıcı şirket kuralları başvurusunun, bu merkez kuruluşu veya belirli koşullarda kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’deki bir başka yerleşik kuruluş tarafından yapılması gerektiğidir. İkinci ihtimalde, başvurunun neden bir başka kuruluş tarafından yapıldığına dair gerekçeler de sunulmalıdır. Eğer çok uluslu şirketler topluluğunun merkezi Türkiye dışında ise, söz konusu şirketler topluluğu, Türkiye’deki bir kuruluşunu, kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği yetkili topluluk üyesi olarak belirlemeli ve bu yetkili topluluk üyesi kuruluş da topluluk adına başvuruyu Kurum’a iletmelidir.

 7. Sonuç

Yurt dışı aktarım rejiminin değiştirilmesinden bu yana uygulamada ortaya çıkan belirsizlikleri gidermek ve yeknesaklığı sağlamak amacıyla Kurum tarafından yayımlanan Rehber ile yeni aktarım rejimine ilişkin birtakım belirsizlikler ortadan kaldırılmıştır. Rehber, Kanun'un uygulama alanının nasıl belirlendiğine dair açıklık getirmiş; aktarım kavramının yorumu ve doğrudan toplama ile aktarım arasındaki farkların vurgulanması konularında önemli açıklamalar sunmuştur. Ayrıca, uygulamada sıklıkla gözden kaçan bir husus olarak, Rehber’de öncelikle kanunlarda veya usulü- ne uygun şekilde yürürlüğe konulmuş uluslararası sözleşmelerde yurt dışına veri aktarımına ilişkin bir düzenlemenin bulunup bulunmadığının değerlendirilmesi gerektiği ifade edilmektedir. Bu durum, özellikle regüle sektörler açısından önemli bir kolaylaştırıcı unsur olarak öne çıkmaktadır.

Ancak özellikle, Kanun’un yer bakımından uygulama alanı ve yurt dışı aktarımda dayanılacak hukuki sebep gibi konular başta olmak üzere bazı belirsizlikler hala tam anlamıyla açıklığa kavuşmamıştır. Kanun’un yer bakımından uygulama alanı belirlemesinde mülkilik ilkesi yanında uygulanacağı anlaşılan etki ilkesinin uygulanma koşullarındaki belirsizliklerin giderilmesi ve bu kavramın uygulamada daha net hale getirilmesi faydalı olacaktır. Bununla birlikte, değişikliklerin henüz çok yeni olduğu dikkate alındığında, zamanla Kurum’un mevcut veya gelecekte ortaya çıkabilecek belirsizlikleri gidermek için Rehber’in güncellenmesi dahil gerekli adımları atması kuvvetle muhtemeldir.