KVVK yönetmelik çıkardı, Turkcell'in 350 milyon dolarlık yatırımı çöp oldu

2016 yılında kanunlaşarak yürürlüğe giren kişisel verilerin korunması hakkındaki kanunda 8 yıldır eksikliği eleştiri sebebi olan, kişisel verilerin yurtdışına çıkartılmasına ilişkin düzenlemeleri içeren yönetmelik, 10 Temmuz 2024 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi.

Yeni yönetmelik en çok Turkcell'i vuracak. Turkcell, veri depolamak için 10 yılda 350 milyon dolarlık yatırım yapmıştı.

Yeterlilik şartı

BTDunyasi.net'in haberine göre kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile veri aktarımının yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması durumunda kişisel verilerimiz yurtdışına aktarılabilecek.

Yeterlilik yoksa

Yönetmelikte, yeterlilik kararı bulunmasa dahi kişisel verilerin yurtdışına aktarılmasına imkan tanıyan düzenlemeler de yer alıyor.

Yeterlilik kararının bulunmaması durumunda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıdak belirtilen uygun güvencelerden birinin taraflarca sağlanması durumunda da verilerin yurtdışına aktarılmasına izin verilecek.

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

İstisna Durumlar

Veri aktarımının yapılacağı ülke, sektör ve kuruluşlar yeterlilik şartını sağlamazsa ve dahi gerekli güvencelerden birisini vermese dahi süreklilik arz etmediği sürece (arızi) bazı istisnai durumlarda da kişisel verilerimiz yurtdışına aktarılabilecek.

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Kurul her zaman aktarım izni verebilir

Kişisel verilerin yurtdışına aktarılmasına ilişkin yeterlilik, güvence ve istisnai durum şartları aranmaksızın Kişisel Verilerin Korunması Kurulu, vereceği bir karar ile kişisel verilerin aktarılmasına izin verebilecek.

Ancak, kurumun vereceği izin için ilgili kamu kurum ve kuruluşunun görüşünü alması gerekiyor. Ayrıca, bu iznin verebilmesi için Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumun oluşması gerekiyor. Her halükarda kişisel verilerin yurtdışına aktarılmasına ilişkin izinlerde dahi uluslararası sözleşme hükümlerinin saklı kalma şartı aranıyor.

Turkcell'in 350 milyon dolarlık yatırmı çöp oldu

Turkcell Genel Müdürü Dr. Ali Taha Koç, “Türkiye’nin Turkcell’i olarak hedefimiz, ülkemizi ‘küresel veri üssü’ konumuna taşımak. Bir başka deyişle bölgenin ‘oyun kurucusu’ olacağız” dedi.

Bu vizyonla ocak ayında yeni bir şirket kuruluşu için adım attıklarını söyleyen Turkcell Genel Müdürü, TDC adıyla kuruluş aşamasında olan şirketin, ‘küresel veri sahipliği’ alanında, Türkiye’yi global arenaya taşıma hedefiyle çalışmaya başladığını ifade etti.

Veri merkezi yatırımları 350 milyon doları aştı

4’ü yeni nesil olmak üzere toplam 33 veri merkezinde yaklaşık 32 bin metrekare aktif beyaz alana sahip olduklarını belirten Ali Taha Koç, “4 yeni nesil veri merkezimizle 4 bin yerli ve yabancı şirkete bulut ve veri barındırma hizmeti sunuyoruz. Teknolojinin ve verinin güç olduğu bu yeni dünyada Turkcell olarak pozisyonumuzu güçlendiriyoruz, Türkiye’yi bölgenin veri üssü haline getirmek için var gücümüzle çalışıyoruz” dedi.

Ali Taha Koç, "TDC Veri Barındırma Hizmetleri ismiyle kuracağımız şirketimizin iş hedefi; ülkemizi dünyanın en önde gelen veri ve bulut teknolojileri üslerinden biri haline getirmek. Avrupa Veri Merkezimizle birlikte, bu alanda bugüne kadar yaptığımız yatırımlar 350 milyon doları aştı. Bu adımları, Türkiye’yi yakın coğrafyanın veri üssüne dönüştürmek için attık.” dedi.

ARTIK İSTEYEN VERİLERİ ÇIKARABİLECEK

Turkcell, yabancı şirketlerin sosyal verilerini Türkiye'de tutmak için son 10 yılda 350 milyon dolarlık veri depolama yatırımı yapmıştı.

2016 yılında kanunlaşarak yürürlüğe giren KVKK kanunu kapsamında verilerimizin yurtdışına çıkartılmasına ilişkin yönetmelik Resmi Gazete'de yayımlanarak yürürlüğe girdi.

Artık;

✔Yurtdışına veri çıkartılması için verilerin gideceği ülkenin, sektörün veya kuruluşun yeterlilik şartı taşıması isteniyor. 

✔Yeterlilik yoksa, güvence vermesi de yeterli. 

✔Hem yeterliliği yok, hem güvence verilmedi. Sorun yok. İstisnai maddeler var. Yine de yurtdışına veri çıkartılabiliyor. 

✔ Hem yeterlilik yok, hem güvence vermediler. İstisna diye kılıfına da uyduramadık, yine sorun yok. Kişisel Verileri Koruma Kurumu, Kurul kararı ile yine yurtdışına çıkartılabiliyor.